Все новостиДоступ к «Госуслугам» станет возможен только по двухэтапной аутентификации
Дополнительное подтверждение входа на «Госуслуги» станет обязательным с завтрашнего дня, 28 октября 2023 г.
Пользователь сможет использовать один из трех вариантов дополнительной защиты: код из SMS, одноразовый код из стороннего приложения или вход по биометрии. ИБ специалисты разошлись во мнении, какой вариант наиболее безопасный.
С этого числа пользователи портала смогут один раз войти в аккаунт старым способом, чтобы определиться с выбором дополнительной защиты. У тех, кто не установит второй фактор в этот визит, при следующем входе в аккаунт появится баннер с вариантами защиты, и пока пользователь не выберет один из трех вариантов дополнительной защиты, воспользоваться порталом не получится.
По данным Министерства цифрового развития связи и массовых коммуникаций (Минцифры), второй фактор подключила уже почти половина пользователей "Госуслуг" - более 41 млн человек.
Небезопасные SMS
Технический директор Weblock (входит в ГК «Гарда») Лука Сафонов считает, что ни один метод аутентификации не является абсолютно безопасным и рекомендует использовать комбинацию различных методов безопасности для повышения общего уровня защиты: SMS-сообщения могут перехватить или скомпрометировать злоумышленники, особенно при использовании устаревшего протокола SS7 для маршрутизации сообщений. SIM-карты злоумышленники могут клонировать или использовать в атаках SIM swap, при которых они перехватывают контроль над номером телефона.
SMS в сравнении с другими, является наиболее уязвимым. Однако, за исключением фундаментальной уязвимости в протоколах Common Channel Signaling System 7, являющихся основой современной системы телефонной связи, которая позволяет злоумышленникам перехватить SMS, остальные риски связаны с организационными аспектами безопасности, неосторожностью пользователя. Пользователь также должен быть осторожен и с электронными SIM-картами, т. к. злоумышленник может с помощью социальной инженерии получить SMS-код, который позволит ему перевыпустить электронную SIM-карту и получать SMS.
Внешние приложения генерации кода для входа в «Госуслуги»
ИБ специалисты считают, что наиболее высокой степенью защищенности обладает технология TOTP (time-based one-time password). Эта технология производит аутентификацию с помощью одноразовых паролей, которые генерируются, например, в смартфоне. Ключ для TOTP вообще не передается по каналам связи. Системы аутентификации на основе одноразовых паролей являются самым надежным способом двухфакторной аутентификации. Их использование целесообразно не только для портала «Госуслуг», но и для любых других сервисов, в которых хранятся чувствительные данные клиентов. Однако такой способ не подходит для подтверждения платежных операций из-за отсутствия технической возможности выбора конкретной операции для подтверждения. Если одновременно открыть окно создания, например, платежного поручения с одними реквизитами и суммой, и рядом другое окно - с другими реквизитами, то код из приложения подойдет для всех операций.
Игорь Корчагин, руководитель департамента ИБ АО «Информационная внедренческая компания», тоже наиболее оптимальным методом аутентификации видит получение одноразового кода из специальных приложений, использование которых не снижает общую защищенность, т. к. приложение не обладает обязательными сведениями о логине и пароле, и рекомендует использовать ПО от отечественных разработчиков – «Яндекс Ключ» или Kaspersky Password Manager.
Будущее за биометрией?
Безопасность сдачи биометрии через приложения «Госуслуг» высокая, однако более точно оценить ее пока сложно, поскольку сервисы, работающие через специализированное приложение, либо сайт, предполагают использование аппаратного обеспечения пользователя и используют ограниченный набор типов сдаваемых данных. Биометрические данные из-за неизменности являются чувствительной информацией, позволяющей не только аутентифицировать пользователя сервиса, но идентифицировать конкретного человека. Устранить проблемы, связанные с компрометацией таких данных, гораздо сложнее, чем при использовании иных способов аутентификации.
Чтобы зайти на портал «Госуслуг» с помощью биометрии, ранее нужно было зарегистрировать ее в отделении банка. С 20 октября 2023 г. россиянам стала доступна упрощенная сдача биометрии в Единую биометрическую систему (ЕБС) через мобильное приложение «Госуслуги биометрия» без использования загранпаспорта нового поколения.
Полностью биометрия другие способы аутентификации в ближайшее время не заменит, поскольку по поводу технологии и возможных утечек биометрических данных есть сильная озабоченность значительной части общества. Но государство, очевидно, заинтересовано в распространении этой технологии, и будет этот процесс всячески стимулировать.
По материалам ComNews
