Минцифры РФ ввело в профили пользователей на портале Госуслуг обязательное использование двухфакторной аутентификации.
Аутентификация по второму фактору стала обязательной для новых пользователей портала и восстановления учетных записей в связи с требованием проверки личности. До недавнего времени дополнительное подтверждение личности при входе на сайт Госуслуг было рекомендацией, а к октябрю 2023 года к нему подключился каждый третий посетитель портала - всего более 35 млн пользователей.
Госуслуги предлагает три метода двухфакторной аутентификации для пользователей сайта:
- Биометрия - то есть технология, которая распознает изображение человека с камеры компьютера или ноутбука. Этот метод аутентификации можно использовать только на стационарном мобильном телефоне, а не на мобильном телефоне. Для обработки биометрических данных посетителя необходимо предварительно зарегистрироваться в одном из отделений банка, сотрудничающих с Госуслугами. Самый трудоемкий метод, но он также обеспечивает наибольшую надежность.
- Пароль из приложения - протокол TOTP (одноразовый пароль на основе времени) поддерживается приложением Госуслуги. Технология требует предварительно установленное приложение на телефоне пользователя для использования с ним. Используя QR-код на сайте Госуслуги, пользователь может преобразовать его в единый пароль с добавлением этого приложения. Этот фактор меньше зависит от смс-подтверждения и более удобен.
- Код в СМС - подтверждение входа на сайт Госуслуги посредством СМС на привязанный номер телефона является дополнительным шагом к защите своего аккаунта. В этом случае помимо логина и пароля пользователю придется каждый раз ждать прихода СМС с одноразовым кодом. Очевидно, желательно никому об этом не сообщать в связи с тем, чтобы избежать попытки взлома личного кабинета Госуслуг с использованием классических приемов социальной инженерии и фишинга. Кроме того, в случае взлома учетной записи злоумышленник повторно предоставит второй фактор аутентификации на свой номер телефона и тогда уже владельцу аккаунта в Госуслугах без личного посещения офиса МФЦ не обойтись.
После 1 октября 2023 года посетителям сайта Госуслуги, которые еще не выбрали метод двухфакторной аутентификации, в последний раз будет предоставлен доступ по паролю, но им будет настоятельно предложено выбрать один из методов двухфакторной аутентификации. Отсутствие регулирования двухфакторной аутентификации любопытно, учитывая его существование. В сообщении Минцифры указывается, что в ближайшее время он будет реализован на уровне Правительства РФ, поскольку технологии развиваются более быстрыми темпами, чем система их регулирования.
В сообщении Минцифры РФ сообщили о том, что постановление о двухфакторной аутентификации еще не принято, но его примут в ближайшее время на уровне Правительства РФ. По словам Максута Шадаева, технологии развиваются быстрее, чем их нормативное регулирование в России.
