Дополнительное подтверждение входа на "Госуслуги" станет обязательным с завтрашнего дня, 28 октября 2023 г. Пользователь сможет применить один из трех вариантов дополнительной защиты: код из SMS, одноразовый код из стороннего приложения или вход по биометрии. ИБ-специалисты разошлись во мнении, какой вариант наиболее безопасный.
© ComNews
27.10.2023
С 28 октября 2023 г. пользователи портала "Госуслуг" смогут один раз войти в аккаунт старым способом, чтобы уточнить данные, например номер телефона, и определиться с выбором дополнительной защиты. У тех, кто не установит второй фактор в этот визит, при следующем входе в аккаунт появится баннер с вариантами защиты.
Пока пользователь не выберет один из трех вариантов дополнительной защиты - код из SMS, одноразовый код из стороннего приложения или вход по биометрии, воспользоваться порталом не получится. По данным Министерства цифрового развития связи и массовых коммуникаций (Минцифры), второй фактор подключила уже почти половина пользователей "Госуслуг" - более 41 млн человек.
Небезопасные SMS
Технический директор Weblock (входит в ГК "Гарда") Лука Сафонов считает, что ни один метод аутентификации не является абсолютно безопасным, и рекомендует использовать комбинацию различных методов безопасности для повышения общего уровня защиты: "SMS-сообщения могут перехватить или скомпрометировать злоумышленники, особенно при использовании устаревшего протокола SS7 для маршрутизации сообщений. SIM-карты злоумышленники могут клонировать или использовать в атаках SIM swap, при которых они перехватывают контроль над номером телефона".
"SMS, в сравнении с другими, является наиболее уязвимым. Однако, за исключением фундаментальной уязвимости в протоколах Common Channel Signaling System 7, являющихся основой современной системы телефонной связи, которая позволяет злоумышленникам перехватить SMS, остальные риски связаны с организационными аспектами безопасности, неосторожностью пользователя", - объясняет директор по развитию и цифровой трансформации АО "Разумные деловые технологии" ("РДТЕХ") Евгений Осьминин.
Ведущий инженер CorpSoft24 Михаил Сергеев отметил, что пользователь должен быть осторожен и с электронными SIM-картами, так как злоумышленник может с помощью социальной инженерии получить SMS-код, который позволит ему перевыпустить электронную SIM-карту и получать SMS.
Внешние приложения генерации кода для входа на "Госуслуги"
Алексей Хмельницкий, генеральный директор ООО "Рукс Солюшенс" (ИТ-компания RooX, специализирующаяся на аутентификации, авторизации и разработке веб-платформ для корпоративного сектора), считает, что наиболее высокой степенью защищенности обладает технология TOTP (time-based one-time password).
"Эта технология производит аутентификацию с помощью одноразовых паролей, которые генерируются, например, в смартфоне. Ключ для TOTP вообще не передается по каналам связи. Системы аутентификации на основе одноразовых паролей являются самым надежным способом двухфакторной аутентификации. Их использование целесообразно не только для портала "Госуслуг", но и для любых других сервисов, в которых хранятся чувствительные данные клиентов.