Comments 191
Ещё надо помнить, что через госуслуги можно входить на кучу других сайтов. И начудить там.
Слышал, что в Абзелиловском районе были случаи, когда ходят разные люди и под всякими предлогами пытаются сфоткать документы у людей, не знаю связаны ли эти ситуации, не интересовался
Следите за включенностью двухфакторной авторизации и уведомлений.
Какой в этом смысл, если всегда можно найти взаимопонимание в Янгильском сельсовете, что перекроет любую защиту?
ну чтобы затереть старое хотя бы не могли
Уже писала на эту тему. Один профит - о смене вашего номера телефона на госуслугах вам по крайней мере придет смс на привязанный номер. А то, что номер могут сменить где-то в ЦО или в банке или еще где, от этого никто не застрахован. Даже если перепривязывамый новый номер привязан к другому аккаунту на госуслугах.
Госуслуги умеют TOTP. Это куда лучше телефона, симка может быть подделана.
Пароли - только в парольном менеджере, случайные и разные для любых сайтов. Любой другой подход создаёт риски.
Для мусорных сайтов, куда один раз зайди, можно и единый пароль использовать. И временную почту (кстати, мэйлра и Яндекс стали их предоставлять)
проблема всё же немножко глубже. при заведении TOTP госуслуги не предоставляют коды восстановления, на мой вопрос "а что делать если утерян аутентификатор" (ну ведь и базу keepass можно потерять, и телефон утопить.. да мало ли..) мне было отвечено "прийдите в авторизованный центр обслуживания где вам отключат TOTP". Тоесть схема с "добазарился с девочкой в сельском ЦО" всё ещё остаётся рабочей даже при использовании TOTP.
KeePass умеет TOTP тоже. У меня не вызвало проблем подключить и на телефоне - Яндекс Ключ, и на компе - KeePass, а у него общая облачная база с Keepass2Android, кстати, там предусмотрен отдельно ввод кодов TOTP через свою защищённую клавиатуру (наравне с обычными паролями - просто выбирается другое поле базы данных). Ну и, может быть вариант с биометрией на компе, кроме похода в МФЦ. Ну а база KeePass отдельно хранится по правилу 3-2-1, а кроме того та копия, что лежит на компе, также защищена "историей файлов" (на NAS), а также общим копированием содержимого всего компа по правилу 3-2-1. Я ещё не всё перечислил :)
Дело не в том, что умеет или не умеет KeePass и сколько у вас копий паролей, а в том, что один гнилой сотрудник в произвольном ЦО делает все эти продвинутые схемы совершенно бесполезными.
На это есть защита тоже: уведомление на почту о входе, периодические входы в приложение/на сайт. Когда узнал, как у нас изначально построена была система реагирования на инциденты в банках согласно законодательству, взял за правило не реже двух раз в сутки внимательно проверять состояние всех счетов во всех банках, выбрал банк, где счет, на который переводят пенсию автоматически застрахован. Так и с Госуслугами можно построить работу. Согласен, не удобно, но в выборе баланса между безопасностью и удобством я в данном случае сместил акцент на безопасность. Но у каждого своя предпочтительная точка [условно] между этими двумя полюсами.
А если я не в РФ, куда мне приходить?
Понятно, что заранее сделанная ген. доверенность поможет решить этот вопрос, но все же.
Лучше бы умели U2F webauth, там хоть приватник неизвлекаем в токенах.
Только добавила электронную подпись, как мою учетку вскрыли. Всё, что успели сделать, это подать заявку на справку о трудовой деятельности. Кому это понадобилось - хз
> Берем фамилию классика татарской литературы, переводим имя на латинский алфавит, конвертим не-ASCII буквы в сочетания, добавляем год смерти. Получаем ghabdullatuqay1913, maecitghafuri1934, fatixaemirxan1926.
То есть вы повторно наступаете на те же грабли, размещая в общем доступе алгоритм генерации своих паролей? Достаточно теперь обогатить слитые пароли сгенерированными по этому алгоритму и привет?
В этом предложении заложен скрытый и широко понятный в узких кругах сарказм ) Никто не знает, как правильно написать слово по-татарски латиницей из-за того, что вариантов транслитерации столько же, сколько пользователей )
Сомневаюсь, что при всем разнообразии написаний тот же Габдулла Тукай даст хотя бы пару десятков вариантов. Даже если вы будете транслитерацию с междунарожного фонетического алфавита использовать - серамно не даст :)
Это если в одной системе будет один вариант передачи букв :) Представим, что у буквы есть 5 вариантов передачи, но система отсуствует настолько, что 5 вариантов передачи другой буквы не зависят от этих вариантов. Итого там что-то вроде 5^10 вариантов набегает, по числу букв, что неоднозначно передадутся в ascii ))))
Тукай тут конечно плохой пример, а вот M(a|ae|e|ea)(c|z|j|zh|dj|dzh)i(d|t) (G|gh)afuri уже неплохо так )
M(a|ae|e|ea)(c|z|j|zh|dj|dzh)i(d|t) (G|gh)afuri уже неплохо так )
Считаем варианты:
(a|ae|e|ea) - 4 варианта
(c|z|j|zh|dj|dzh) - 6 вариантов
(d|t) - 2
(G|gh) - еще 2.
Итого имеем 4*6*2*2 = 96 вариантов.
А если взять пароль из двух случайных букв латинского алфавита, у нас уже будет 24*24 = 576 вариантов.
Каждый раз в подобных ситуациях говорю одно и то же.
Бессмысленно добавлять в алфавит пароля регистр, цифры, спецсимволы, иероглифы, свою мать, потому что это увеличивает основание степени. А вот увеличение показателя степени, то бишь длины пароля, усложняет пароль на порядки.
40^5 и 60^5 - это 1,024 * 10^8 и 7,776 * 10^8 вариантов.
40^5 и 40^7 - это 1,024 * 10^8 и 1,6 * 10^11 вариантов.
Значит, пароль Va$YaNy4 - хуже, чем habruzhenetort.
Несомненно, но есть и обратная сторона. Когда длинные пароли — это предложения, то некорректно о них думать, как о случайном наборе символов. Это все же набор токенов (условно 2-4) из словаря в 5 тыс слов, может быть с небольшими морфологическими изменениями в окончаниях. А вот 5к ^ 2 это совсем не такая большая величина, как кажется, при взгляде на этот пароль с позиции случайных символов.
А вот 5к ^ 2 это совсем не такая большая величина, как кажется,
ага, всего 250 000, а вот 5000^4 - это уже 6,25*10^14. Выходит, пароль allthelonelypeople несильно хуже как набор слов, чем набор символов, а забыть его почти невозможно. Также словарь можно расширить не только английским языком, но и любым, записываемым латиницей, соответственно, для условно американского хакера словарно брутфорсить пароль whatawonderfulworld может оказаться проще, чем japierdole.
Кроме 5 тыс слов ещё есть словоформы. А можно и специально неграмотно написать
И транслит - с чего и началась эта ветка обсуждения)
В этом плане у тех, у кого нативная письменность не латинская, возможностей собрать надёжный и запоминающийся пароль - выше крыши.
Мне не кажутся неграмотное написание или особенности транслитерации хорошими методами. Мы же пытаемся найти такие пароли, которые запоминать человеку легко, а компьютеру подобрать сложно.
Когда мы берем предложение — то в реальности не помним все слова, скорее помним некоторый набор смысловых векторов и еще несколько отличительных признаков. По ним мы и воссоздаем заново предложение. Мы на это тренировались десятилетиями в процессе жизни, изучая язык.
А вот специально вносить ошибки или кривой транслит — навык совсем не такой тренированный и поэтому сильно повышается сложность пароля для нас самих (скорее мы тренированы на обратное — на коррекцию ошибок). Вы скорее всего слова вспомните, а вот набор ошибок, который надо внести — забудете.
Ошибки — это по сути вторая система правил, конкурирующая с основной (смысловые предложения).
Я бы подумал в сторону компромиса: можно вторую систему правил использовать как соль: на каждом сайте логин будет написан с какой-то ошибкой, и эта же ошибка будет присутствовать в пароле. Получим вобщем-то все преимущества соли: не выйдет использовать радужные таблицы, не выйдет сравнивать пароли между сайтами.
Иногда навык тренированный. См. Падонкаффский йазыг. А ведь есть и древние "языки" типа кирпичного языка. Такое сложно забыть, а коль и забыл - туториалы есть и справки все.
Я использую оба метода. Первый - это предложенный в статье, а вторая часть пароля - это смещение в определенном иррациональном числе. Но не "пи", но - подобное ему. Причем в первой части пароля определенным способом закодировано смещение и длина. Да, сложно, не особо человекочитаемо, но освобождает от запоминания второй части пароля, которая может быть длинной. Но есть метод попроще, где не надо знать константы до миллионной длины. Вот пример - brybakHrybakayvidit3izdaleka. Этот пароль составной, и привязан он к всем известной таблице ASCII. Но как же она работает, как это вообще понять? По фразе - она всем известна, можно вычленить лишние символы. Это bHy3. Каждый символ в таблице ascii - это определенный байт. Получаем 062 048 079 033. Но это в шестнадцатеричной системе. И это важно, потому что в ней есть алфавитные символы. Не буду утомлять: итоговый пароль выглядит как rybakrybakaviditizdaleka62487933. Он именно выводится "аналитически". Коряво? Не спорю. Но без знания алгоритма расшировки - затея сложная.А со знанием - в уме все делается.
Сам я использую систему кодирования посложнее, как раз на основе иррационального числа (ну возьмите пи тот же), кодирущие ( они же "мусорные") символы в начале слов в результате и дают смещение по числу, а общее количество символов в пароле - это длина блока данных от смещения. Поэтому пароли можно иметь как и короткие, так и до бесконечности. Без возможности перебора.
Всё так, это классика уровня xkcd.
Va$YaNy4 в md5 брутфорсится меньше чем за сутки.
Бессмысленно добавлять в алфавит пароля регистр, цифры, спецсимволы, иероглифы, свою мать, потому что это увеличивает основание степени. А вот увеличение показателя степени, то бишь длины пароля, усложняет пароль на порядки.
Это действительно верно. Но сайты при регистрации требуют верхние регистры, цифры, и иногда спецсимволы. Поэтому с практической точики зрения это сделать хотелось бы, но не дают.
автор сказал, что разработал алгоритм, но не сказал, что использует этот алгоритм для ГУ :)
Это может быть ложный след
размещая в общем доступе алгоритм генерации своих паролей?
Этого мы знать не можем, возможно автор написал тут про классика татарской литературы, а сам в реальности использует имена классиков немецкой музыки, написанное русскими буквами в латинской раскладке, например bjufyy[hbpjcnjvdjkmaufyuntjabkvjwfhn
И то верно: оспаривать "бумажную" подделку, когда и если Вы о ней узнаете, дотопав ножками до соответствующего присутствия и отстояв многочасовую очередь, куда как интереснее...
Вы исходите из того, что суд назначит подчерковедческую экспертизу, которая с достаточной достоверностью покажет, что закорючку на, скажем, кредитном договоре ставили не Вы. Но также исходите из того, что тот же суд схавает в качестве "доказательства" распечатку лога якобы Ваших действий в системе ДБО, представленную той же МФО, что в противном случае представила бы поддельный кредитный договор. Хотя распечатка, в отличие от договора, вообще не является допустимым доказательством и суду следовало бы ее отклонить даже без оценки. Так может проблема в суде, а не информатизации?
ПАО "Вымпелком", как по-Вашему, совсем олени или не совсем? А они дважды (!) представляли в ФАС поддельный договор со мной. Уже в первый раз не прокатило, но они снова представили подделку через какое-то время по другому делу.
ПАО "Вымпелком" — занятные очень…
на запрос следствия "чей номер" ответили что принадлежит компании в которой работаю (именно принадлежит, а не используется по договору), хотя по договору с ними этот номер не выделялся и вообще в коде другого города.
так же отказывались предоставить сведения о текущих договорах и указанных в них телефонных номерах.
а следствие пришло к нам, мол какого лешего вы совершаете мошеннические звонки и обманываете людей на сотни тысяч рублей...
Ох, если бы это работало именно так! За последнее время аж трое родственников старшего поколения столкнулись с кредитами, взятыми на их паспорт, уж не знаю каким способом. В двух случаях оказались мелкие суммы в микро-помойках, которые проще было вернуть, чем оспорить, а вот третий был уже приличный и дело дошло до суда. Так вот, доказывать все-таки вынужден потерпевший и до вынесения решения суда, договор считается действительным и все платежи по нему нужно вносить. Можно, конечно, и не вносить, но в этом случае кредитный рейтинг пробьет дно и его отдельно нужно будет восстанавливать, полагаю, что с помощью отдельного обращения в суд.
>> Так вот, доказывать все-таки вынужден потерпевший
Оспорить по безденежности и сверху заявить что ничего не заключали
>> до вынесения решения суда ... все платежи по нему нужно вносить
Ни в коем случае, это фактическое признание договора. Пускай шуруют в суд и взыскивают, если докажут
>> но в этом случае кредитный рейтинг пробьет дно и его отдельно нужно будет восстанавливать
Принести в БКИ решение суда о том что договора вы не заключали и написать заявление, запись исключат
Оо, как же сильно вы заблуждаетесь... Может быть поздно будет что-то доказывать.
У подруги так юр. лицо увели. Поддельное заказное письмо в налоговую со сменой гендиректора и состава учредителей. И прямой путь к счетам в банке открыт. Думаете кого-то нашли и что-то там доказали? Ха! Спасибо, что сами виноваты не остались.
И что? Не потребовалось ни личного визита, ни подтверждения ЭП?
Да и одно заказное письмо, без договора подтверждённого у нотариуса, недействительно. Банк опять же, электронно ещё надо получить доступ, он никак не связан со сменой руководства. Физически, нужно прийти с документами и печатью организации. Плюс процедура смены занимает неделю минимум. За это время налоговая пришлёт электронное письмо о смене.
Что то вы и/или она не договариваете.
Не уверен что в те времена уже были распространены ЭП достаточно широко. Но к истории они отношения не имеют. Во всем остальном я говорю как есть, по фактам.
Оказалось что это достаточно распространённый способ мошенничества. Кто-то сливает данные о проводках/суммах в банке. Кто-то готовит поддельные документы. По словам налоговой – хватило заказного письма. Не исключено что в самой налоговой есть "крысы" на откате. В нашем случае "повезло", и денег они украсть не смогли, р/с к моменту атаки был почти пуст. Но прикол еще и в том, что в случае такой атаки юр.лицо вернуть под свой контроль очень сложно. А "дропа", на кого оформили директорство и размытие доли, само собой, не найти. Полиция, само собой, занята более важными делами.
Просто надо, чтобы облегчения в автоматизации не касались "скользких" мест. Например, прежде чем можно подписывать электронной подписью кредит, можно выставить настройку, убираемую только через личный визит, что брать кредиты с электронной подписью нельзя. У нас же вывернули эти удобства наизнанку, поменьше рядовому маглу и побольше пронырам.
Например, прежде чем можно подписывать электронной подписью кредит...
Нужно, как минимум, сделать так, чтобы это была полноценная электронная подпись, которую человек получил в полноценном удостоверяющем центре, на физическом носителе, притопав в этот УЦ ногами. Как с юриками.
А сейчас смс-ку стали электронной подписью называть. Подтверждение чего угодно по смс нужно в принципе искоренить. Потому что сим-карта и телефонный номер не принадлежат и не контролируются человеком.
Ну закон её так называет - простоя электронная подпись. А та что после топания ножкой - это усиленная электронная подпись и это не одно и тоже.
Я знаю. И я категорически против этой дичи. Подтверждением моей личности является что-то, что не принадлежит мне и может быть у мення отобрано в любой момент без моего ведома. Это феерический бред.
Учитывая любовь УЦ генерировать сертификат и ключи полностью у себя, а не по запросу — тут безопасности тоже не особо добавляется.
Не все УЦ такие .
Ну и я думаю вполне можно найти даже какой то публичный документ от ФСБ или хоть от КриптоПРО про правила обращения с ключами где будет прямо сказано что генерация не пользователем = закрытый ключ возможно скомпрометирован и надо перевыпускать.
Потому что это вообщем то так и есть же.
генерация не пользователем = закрытый ключ возможно скомпрометирован
С генерированием пользователем есть засада - далеко не все его осилят. И поэтому найдутся желающие помочь в этом деле, которые, конечно, помогут, но приватный ключик могут и себе оставить.
Правильно - это генерировать внутри нормального аппаратного токена и под присмотром персонала УЦ, если сам не можешь.
С генерированием пользователем есть засада — далеко не все его осилят. И поэтому найдутся желающие помочь в этом деле, которые, конечно, помогут, но приватный ключик могут и себе оставить.
У Контуру (именно Контура) когда у них получаешь — там достаточно внятная на мой взгляд даже для обычного пользователя инструкция и генерация сводится (для пользователя) к запустите то-то, подвигайте мышкой.
Так что решаемо средствами нормальных инструкций пользователю.
Аппаратный токен — тут сразу добавляется проблема с тем, что делать если он сдох или утрачен, нужна процедура перевыпуска а до этого — без подписи. Да, возможно размен на снижение шансов что уплывет подпись — того стоит.
Ну и проблема с тем что не только на компе может быть подпись нужна.
Вот как мне кажется — с Госключом сделали достаточно удобно:
- нафиг вообще УЦ куда надо ножками
- УНЭП выдается по факту аккаунта на Госуслугах (все же — это получше чем по SMS на телефон, да — можно поломать его но можно и хоть какие то меры принять)
- УКЭП выдается по факту наличия аккаунта на Госуслугах И биометрического загранпаспорта с его чипом (и смартфона который может его прочитать). Пролюбить загран сложнее чем токен + два загранпаспорта одновременно — иметь можно
Так что решаемо средствами нормальных инструкций пользователю.
С пунктами о проверке, что дистрибутив, что нужно запустить -- тот что надо. И пунктом о проверке того, что страничка, где смотришь контрольные суммы - та, что надо. И как-то еще надо проверить, что сама инструкция -- та, что надо, а не слегка подредактированная злодеями.
Я, конечно, утрирую, но если параноить по поводу того, что УЦ может сгенерированный им ключик украсть, то нужно параноить и по этому поводу.
Кража ключика персоналам, кстати, должна быть порядком затруднена, если оно все внутри облепленного пломбами и сертификатами HSM происходит. Ну вот как ключики внутри банковской карты -- они тоже где-то непонятно где создаются и в карту записываются. И как-то никто особо этим фактом не возмущается.
Не могу согласится. По хорошему то да надо… но
Случаи когда УЦ выдавали то, что не должны были выдавать (ну например — по сканам паспортов и даже без видео связи с человеком и вроде бы можно было и не совсем по своим сканам — судя по обсуждениям некоторых проблем у фирм с тем что всплывали их ЭЦП о которых их руководство — не знало) — насколько я помню в России — были так что угрозу можно считать 100% реальной.
Контрольные суммы — а если речь о мобильном приложении то как тут проверять? Termux ставить и apk с сайта? Люди — забьют.
судя по обсуждениям некоторых проблем у фирм с тем что всплывали их ЭЦП о которых их руководство — не знало) — насколько я помню в России — были так что угрозу можно считать 100% реальной.
Так это не кража приватного ключика при генерации его в УЦ. И генерирование ключа самостоятельно вроде как от такого не защищает.
УКЭП выдается по факту наличия аккаунта на Госуслугах И биометрического загранпаспорта с его чипом (и смартфона который может его прочитать). Пролюбить загран сложнее чем токен + два загранпаспорта одновременно — иметь можно
(Задумался о схеме "Угоняем учетку Госуслуг, получаем через них загранпаспорт, получаем УКЭП)... ну и так далее.
Интересно, хоть кто-нибудь за всем этим "что можно получить/восстановить имею на руках что" следит? А то, поди, снова все так или иначе возвращается к какому-то легко добываемому секрету.
А в чем особенность именно паспорта нового образца? Тем, что в него встроен чип, которому "мощности" хватает и токеном побыть? )) *шютка, хотя чем не идея
Тем, что в него встроен чип, которому "мощности" хватает и токеном побыть?
Токеном оно вряд ли может быть. Или я чего-то не знаю - неужели чип там такой мощный?
Но если учесть, что еще один вариант получения УКЭП - это по запомненной в Госуслугах биометрии (отсюда или из этого видео) -- то видимо именно биометрию оттуда и выдирают.
Госуслуги это это умеют (отсюда или из видео).
Из этого, кстати, возможно, следует, что загранпаспорт с биометрией лучше не терять - с минимальными усилиями (грим) воспользуются и УКЭП получат.
Так, если по биометрии генерируют УКЭП, то что мешает, добыв биометрию цели из какого-нибудь FacePay, сделать то же самое, либо добыть приватный ключ готовой УКЭП, которую цель сама сделала из своего заграна? Может, проще биометрию не сдавать?
Похоже, не генерирует, а позволяет где-то обработать и присвоить статус 'квалифицированная'.
Как работает - а кто его знает. У меня есть некие нехорошие подозрения, что вытащенная из загранпаспорта фотография (из паспорта - чтобы было заверено, чья именно фотография) сравнивается с той фотографией, что делаешь в госключе в этой ветке регистрации.
Это считается достаточным фактом, что вот именно тот человек(чей загранпаспорт) смарфон в руках держит и поэтому можно происходящему доверять.
На хабре была статья, ссылается на технологию IDPoint. Как оно работает - мне найти не получилось.
По поводу кражи приватного ключа (цитата из комментария к той статье):
Ключ ЭП хранится на устройстве пользователя в зашифрованном контейнере, ключ от которого хранится на HSM "в облаке".
По "IDPoint" гуглится пара pdf-ок из которых я несколько не понимаю, где что в каком виде доступно, где что возможно перехватить и где и как злодей может перехваченным воспользоваться.
с минимальными усилиями (грим) воспользуются и УКЭП получат
Госключ не требует селфи делать, так что и без грима можно.
Как я понимаю — тем, что что это нормально (а не через распознование текста) машинночитаемый документ с реквизитами пользователя который можно сверить с теми же госуслугами, аккаунт госуслуг можно слить, паспорт — ну обычно человек в курсе что его пролюбил и хоть какие то меры предпримет.
Вот правда есть интересный вопрос — ICAO проводило исследование и выяснилось что в этой системе с биометрическими документами осталось еще одно интересное место — списки отзывов сертификатов, у кучи стран (вроде как и России) их вообще — нет. Насколько это реальная угроза в случае Госключа — вопрос отдельный.
Получение загранпаспорта нового — два визита в МФЦ.
В моем случае еще и в дополнение к заявлением через госуслуги — заполнение от руки бумажки.
Вообще за усиленной можно и не топать, а просто отсканировать биометрический загранпаспорт. И это довольно удобный подход, главное загранпаспорт не терять.
Гражданин, вы расписались на заявлении в с. Янгельское. Езжайте туда и там предъявляйте свои претензии, чего вы от нас хотите?
На самом деле глупый совет. Туда должен ехать следователь, и выяснять каким образом появилась подпись (ну или каким образом нажалась кнопочка) . А после того как выяснилось, поспособствовшего человека надо посадить. Лет на несколько. За дискредитацию системы, которая должна защищать человека. И об этом необходимо сообщать по ТВ, и всех кто работает в этой системе ознакамливать под роспись. Чтобы человек, решивший "подтвердить" аккаунт знал - что очень скоро он окажется в тюрьме. За нажатую кнопочку. Это называется "неотвратимость наказания".
Смешно.
Не совсем глупый. Согласно закону: Во-первых, должно быть подано заявление от пострадавшего. И это заявление должно быть подано по месту совершения преступления т е в с. Янгельское. Далее следователь в с. Янгельское вызовет на опрос пострадавшего. Ну а потом дело закроют, так как пострадавшего опросить не удалось.
А зачем? Заявление подаётся в твой отдел, возбуждается УД опрашивается пострадавший. Затем оно направляется в Янгельское по месту окончания преступления. Или не направляется, знаю случай когда сотрудники из Томска летали винтить жулика в Санкт-Петербург, и ничего, не обломились. Хотя имели полное право отправить туда дело или дать поручение
На должность с такой ответственностью будет тяжеловато искать людей, даже если сделать достойную ЗП. Представьте: в удостоверяющий центр пришёл какой-то левый хрен с качественным поддельным паспортом (допустим с незначительно изменённой фоткой). Вы - оператор центра - проверили всё и обслужили человека. И вжух - на Вас уже висит уголовное дело, если хлопчика с левым паспортом не удалось выловить.
Ожидание и реальность...
..нам этот ваш интернет нафиг не нужон! (с)
Проблема в том, что этот шланг надо закрывать с другой стороны. Ну то есть вы можете прекратить пользоваться Госуслугами, но это не помешает негодяю воспользоваться ими за вас.
Есть отдельные сервисы, где можно заблокировать электронное оказание услуг, но - сильно не все.
Лет 10 назад это было вау-вау. И как порядочный гик, был early adopter'ом всего этого, включая Госуслуги
Кхм... Лет 10 назад любой порядочный гик обходил госуслуги за два километра.
Лет 10 назад это было вау-вау. И как порядочный гик, был early adopter'ом всего этого, включая Госуслуги.
Вы не помните, случайно как регались? Насколько я помню (тогда ~10 лет назад) нужно было идти в один из УЦ Минкомсвязи с паспортом, потом вам выдавали код на бумажке/конверте для первоначального доступа и регистрации. Причем вроде как никаких привязок к номеру телефона не было, вроде бы даже после такой регистрации телефона в профиле госуслуг не было. Или я что-то неправильно помню?
А теперь везде и всюду форсят телефонный номер, регистрация на госуслугах через передачу данных из банков и прочие "удобные неприятности" - неудивительно, что все пошло по наклонной.
А не помните, номер телефона был тогда в учетке госуслуг сразу после первоначальной регистрации по выданному коду? Вроде бы не было. Вообще вроде только требовался email и ничего более. Вход по СНИЛС(логин) и установленному потом самим паролю.
Короче это я все к тому, что привязка всего к телефонному номеру - очень опасный тренд последних 5 лет или около того. Он создает больше проблем безопасности, чем все остальное вместе взятое (по моему мнению). Сначала они (доблестные цифровизаторы) решили везде пихать номер ради удобства. Большинство людей не думают и привязывают кучу вещей к одному номеру. Отсюда и проблема утечек - откуда-то что-то утекло с номером из одного места, потом из другого - выполняем join по номеру и узнаем все данные. В банках сейчас походу вообще нельзя без номера телефона даже открыть счет, и при открытии они заставляют согласиться еще, что твои данные передаются некому списку организаций - opt out cделать нельзя. А потом все удивляются почему везде такая(ой) <нужное слово подберите сами> с безопасностью.
И это продолжается. В имеющейся системе я вижу только несколько способов избежания проблем:
пробовать юридически заставлять их выполнять законы (ФЗ "о персональных данных"), отзывать разрешения на обработку, просить всегда уничтожать неиспользуемые данные
везде стараться использовать либо пароли, либо токены безопасности или OTP, но не в коем случае не СМС и номера телефонов
использовать отдельные номера телефонов для каждого сервиса/сайта, либо как минимум один номер телефона для критичных вещей, и один для некритичных
всегда использовать разные email или email aлиасы для разных сайтов
Этот тренд начался с ВК в 2011 или около того, спасибо Дурову.
Ну как пример еще, на озоне несколько лет назад потребовали принести им на заклание телефонный номер, ИЧСХ после этого с паролем вообще войти нельзя в учетку озона (только через код на телефон в крайнем случае на email). Cейчас новым пользователям зарегаться без телефона невозможно. До этого был просто логин/пароль и email.
Кроме того, даже можно было (в старые добрые времена) оплатить товар при получении - кэшем!
Умного человека Дуровым не назовут! /s
Мне заказным письмом код приходил. Бумажным.
Заказным письмом код приходил. Только юмор в том, что почтальоны его часто просто в ящик бросали.
Вдумайтесь: у нас в системе есть удостоверяющие центры, за деятельность которых мы не отвечаем, в которых происходят уголовные преступления по серии статей в массовом порядке.
Норм идея, да чего мелочиться — можно такие центры сразу в местах заключения открывать, поближе к коллцентрам "службы безопасности" — так сказать, сделать мошенникам обслуживание в едином окне, чтобы далеко не ходить. /sarcasm
Ну почему же, просто надо органы привлекать. Думаю у оператора просто нет доступа к нужным данным.
А вообще все изменения выполняемые оператором в ЦО, подписываются УКЭП этого самого оператора.
Обычно в камере единое окно.
У всех есть. Ударившиеся во все тяжкие нотариусы, клепающие доверенности например. Абсолютно надежных систем нет.
Не вижу ничего о заявлении в МВД о том, что у вас взломали Госуслуги и что на вас взяли кредит, а также не написана досудебная претензия в МФО о признании догвора займа не заключённым. Ещё можно ради веселья написать в ЦБ РФ после претензии в МФО и попросить их проверить, чем они там занимаются.
Предоставить информацию о более раннем состоянии УЗ не представляется возможным, поскольку УЗ была удалена.
Тут какая лажа, либо я так же могу придти к провайдеру и заявить удаляй мой трафик и логи как мои ПД, а закон яровой меня не колышит нечего их хранить без мое разрешения.
С первого октября двухфакторка всё равно станет обязательной, но на всякий случай её включил, как и вход по ЭП(аппаратный токен).
А то после таких историй стало как то неспокойно.
главное - обеспечить бэкап вашего ТОТР
а то потеряете телефон - и доступ к госуслугам вместе с ним
Потому есть ЭП. Токен из дома никуда не выходит.
В Google Authenticator есть бэкап в гугл аккаунт. Но только как зайти в гугл аккаунт на новом устройстве, если в него тоже вход по TOTP?
Бэкапные коды на бумажке
Зайти в него заранее. На старом телефоне/планшете, например. И временами включать и проверять, что он ещё жив и коды синхронизирует из гугла.
Google Authenticator — очень большая бяка, так как некоторое время назад они изменили формат базы, зашифровав её. И все бэкапы превратились в тыкву... Рекомендую Aegis.
В Google Authenticator есть бэкап в гугл аккаунт
...который в любой момент может превратиться в тыкву милостью закукливателей рунета.
Вообще это достаточно глупо со стороны всяких гуглей — перекрывать самим себе такой ценный канал сбора явок-адресов-паролей. Раньше всё было сложно — чтобы стащить у противника секретные документы, нужно было шпыёнов с микрофотокамерами засылать — а теперь он их сам на почтовики заливает, добровольно и с песней.
Да и не только аналитика, но и заметная прибыль в районе 1-1,5% с каждой операции.
Хотя возможно потому и отключили: "Не надо нам ваших грязных денег".
Логика отключения свифта была Не «не надо нам ваших денег» а «не надо ВАМ наших денег»
Но нефть и газ при этом продолжаем жрать в три горла, пусть и окольными путями. И как оплатить и поставить немецкую оптику для танковых прицелов тоже пути найдём. А вот Васе фрилансеру его копеечек не дадим, «не надо ВАМ наших денег». А Вася, тем временем, от безысходности, вынужден пойти на военный завод писать алгоритмы управления ракетами. С такими "врагами" Путину никакие союзники не нужны.
С такими "врагами" Путину никакие союзники не нужны.
Фриварный "артблокнот" так никто за полтора года сделать и не сподобился, "отважные бойцы в окопах" до сих пор лицензии покупают — так что не всё ещё потеряно...
(Это, кстати, к вопросу о "серьёзности" этой воблы. Так и вижу, как в 1943 году бойцы башляют Шпагину, чтобы купить лицензию на N выстрелов из его автомата).
Если вася -разработчик не нашёл ничего лучше, кроме как пойти писать алгоритмы для управления ракетами в нынешней ситуации - значит вася говно, каких поискать.
Так что ваш пример так себе.
А если вы полагаете, что в случае полного отказа мира от российских энергоносителей васе станет жить лучше - так вы ошибаетесь.
Тут будет в точности как в анекдоте:
-папа, у нас стало меньше денег. Это значит, что ты будешь меньше пить?
-Нет, сынок, это значит, что ты будешь меньше кушать
Могу рассказать об аунтификации в российской глубинке. Уверен, до сих пор примерно так и работает.
При обращении в разные гос. учреждения менеджер (или оператор, как их там) просто просит у обратившегося логин и пароль от госуслуг, заходит с рабочего ПК и делает им то, что попросил обратившийся.
Ещё для обмена паролями и сканами паспорта могут попросить скинуть всё в WhatsApp.
Когда всё только настроил маме и она пошла в какую-то бюджетрную контору, всё это мне выложила сначала она, потом дала трубку оператору и он всё тоже рассказал, что так и работают.
Более того, несколько лет назад оформлял выплату по уходу за инвалидом, так в ПФ сказали: "У инвалида есть госуслуги? нет? Ну мы сейчас зарегистрируем, скажите только чей-нибудь телефонный номер, чтоб смску-подверждение могли вам сообщить, а то у наших сотрудников уже свободные номера закончились"
Грустно, что "достаточно технически грамотный" человек, называет аутентификацию - авторизацией. :(
Такое ощущение, что это скрипт какой-то обходит госуслуги, он потом и берёт микрокредит.
Обратите внимание на сумму ущерба - именно 5тыщ руб. Уголовка по 158 статье за кражу начинается только с ущерба свыше 5 тыщ. руб. Мошенник себя максимально обезопасил.
Мне тут на днях звонили из "Мои документы" и спрашивали могу ли я получить письмо, которое они мне отправили через почту. Я сказал что могу. Тогда оператор сказал что сейчас он у себя зарегистрирует это письмо и мне придёт СМС с номером регистрации которое я должен ему сообщить. И тут приходит сообщение СМС с кодом для входа на banki.ru Когда я сообщил оператору, код почему то не подошёл. Пришлось оператору ещё два раза регистрировать это письмо.
Я это к тому что в 99% обход происходит потому что смогли обманом выцыганить такой вот код ,а не потому что "скрипт обходит блокировки".
А зачем мошенникам логиниться на banki.ru с чужого номера?
Не знаю. Я туда 100 лет не логинился, поэтому их нравов не знаю. Пришла СМС, "оператор" усиленно пытался узнать код из СМС.
"оператор" усиленно пытался узнать код из СМС.
Надо было давать какой-нибудь левый код и божиться что "да вот же он, пришёл!"
Так я именно так и делал
Когда я сообщил оператору, код почему то не подошёл. Пришлось оператору ещё два раза регистрировать это письмо.
Чем больше я задержу мошенников на себе, тем меньше времени у него останется на тех, кто может ему поверить
Люблю рвать шаблоны. Один мошенник позвонил (со зверским ындийским акцентом), пытался развести по старой схеме "с вашей карточки оплатили компьютер в магазине XXX на 100500 денюх" и изрядно завис, когда я "да, да, это я купил!". Минуты через две отвис и попросил назвать модель компьютера и номер заказа. Когда ему была названа придуманная модель и придуманный номер, он стал меня убеждать, что нет такой модели и нет такого номера, но переубедить меня — "да вот же, у меня в инвойсе напечатано!!!" не смог, бросил трубку :)
Там есть заявки на кредит. Банки.ру это агрегатор
Может это и не совсем мошенники были, а желание слить рейтинг кому нибудь там.
Есть еще УК РФ Статья 272 ч.2
Трешовая история, конечно. Сочувствую автору.
То, что нам создают - новый "дивный" цифровой мир - до добра точно не доведёт, поскольку у руля не созидатели, а надсмотрщики.
Берем фамилию классика татарской литературы, переводим имя на латинский алфавит, конвертим не-ASCII буквы в сочетания, добавляем год смерти.
(настороженно) а почему именно смерти? это вы их всех убили, даааа?
у меня для хранения паролей самопальная прога есть. заодно случайные пароли генерирует и в проги вставляет.
Двухфакторная авторизация тоже нн всегда спасает - у отца (мальчику 85 лет) тут перехватили Госуслуги, поменяв пароль при включённой двухфакторке - он просто кому-то по доброте душевной сказал цифирки.
Один раз я его поймал на таком, но тогда это был SMS-код от личного кабинета МТС: рядом сидел и слышал как позвонили и рассказали байку о некой компенсации которая ему причитается - пришлось выхватить телефон из рук и высказать всё что думаю.
Тот случай, когда нужно отбросить предрассудки и начать определять дееспособность в конкретных областях по реальности, а не руководствоваться идеей "это же родители, о них нельзя плохо думать". Лучше думать "плохо" чем потом разбираться с последствиями.
Это да...
...взросление - это когда к родителям начинаешь (приходится) относится как к детям...
Да уж, недавно тоже мама пожаловалась что "голова кружится и ходить тяжело, но к врачам не пойду. Буду помирать - деньги там-то". Пришлось самому ее записать на приемы к врачам и возить. И то после каждого врача (терапевт, кардиолог, невролог) норовила сбежать. В итоге сказал ей что мне приходится взрослого человека за руку водить так как я своего малого вожу по поликлиникам - тогда только успокоилась. И ничего - пропила курс лекарств, капельницу отходила (сама уже) и пришла в норму.
Зачем вообще регится на гос? В тени всё делается! Я даже ООО, когда открывал, то только на левого человека и уставной фонд. Правят миром те люди, кто не оставляет даже цифрового следа! Можно на бомжа открыть и не париться! Можно даже 1нкомнатную бомжу купить… А вообще есть стрпнные люди, которые могут работать за $3000 в день. Я так не поднимаюсь с кровати, если мне за 4 часа не заплатят $10000
Цените себя и свою работу!
На прошлой неделе поняла что не стоит двухфакторная аутентификация, быстренько сделала её. И вот, с 12 числа, кто-то настойчиво пытается зайти на мой аккаунт. Очень вовремя...наверное.
После прочтения статьи решила проверить всё и у себя. На госуслугах не нашла ничего подозрительного, а вот в отчете кредитной истории нашла аж 3 запроса кредитной истории 3х разных микрокредитных компаний, но они были сделаны еще в апреле-мае
так то жесть, так сам же отдал логин пароль чему удивляться то? а смена номера телефона разве происходит не через смс и\или ввода снилс\паспорта ?!
Спасибо за статью.
Зашел, добавил контрольный вопрос.
Теперь для генерации хорошего пароля надо татарином стать? Хотелось бы попроще что-то. Хотя ваши пароли даже по-английски не особо читаются.
У меня похожий скрипт. Есть любимое слово (одно для работы, одно не для), любимое число. В английской раскладке по-русски слово, название сайта по-русски, цифра. Если надо-первая буква большая, последний разряд числа с шифтом (знак). То есть набираю или без шифта, или два раза шифт. Для каждого сайта получается 2,максимум 4 варианта пароля. Можно цифру после первого слова или как разделитель между словами.
если сайт знает ваш телефон и емейл, не значит, что в случае "странной" авторизации он уведомит вас сам
Обратное допущение - вообще какая-то фантазия. Это вовсе не универсальная практика и считать ее таковой нет никаких оснований.
То что в госуслуги угоняли создавая свои ЦО, а далее создание ЭЦП, навешивание кредитов, продажа квартир - это я и раньше знал.
А вот то, что телефонная поддержка госуслуг «угнала» аккаунт уже в вашу пользу спросив лишь ваш номер СНИЛС - это ещё больший уровень треша.
У меня была аналогичная ситуация и тоже "Привет, сосед"
В начале мая точно так же увели учетку на Госуслугах, заметил через 2 дня, восстановил сразу как увидел, через приложение Сбера. Злодеи пытались зайти на манимэн (онлайн МФО).
В истории на госуслугах были все IP-адреса с которых злодеи регались, сразу через веб-форму накатал заяву на сайте МВД с указанием подробностей; накатал заяву в техподдержку манимэна - с их слов ничего не было выдано)
Через месяц проверял кредитную историю - все ок
Для тех, кто удалил аккаунт с госуслуг: что может случится, если мошенники зарегистрируют новый аккаунт с украденными паспортными данными /СНИЛС?
Берем фамилию классика татарской литературы, переводим имя на латинский
алфавит, конвертим не-ASCII буквы в сочетания, добавляем год смерти.
Получаем ghabdullatuqay1913, maecitghafuri1934, fatixaemirxan1926
Татарские хакеры радостно потирают руки. Теперь все ваши возможные пароли стало очень легко перебрать. Лучше чтобы пароль был короче, но, по настоящему случайный, а не "запутанный" приёмами, типа наберу русское (или татарское) слово переключившись на латиницу или используя какой-нибудь другой способ конвертации. Все эти на первый взгляд сложные ходы не важны, важно лишь количество энтропии в пароле, т.е. количество реально не предсказуемых, абсолютно случайных бит, использованных для создания пароля.
Вообще важность сложности пароля я по настоящему прочувствовал, когда знакомый попросил меня взломать пароль с какого-то публичного архива с кряком, зная что пароль из 5 букв. Казалось бы, 5 символов - тоже ведь не мало. Так вот RTX3090 сломала его за 0.1 секунду. Возможно там использовались какие-то эвристики, которые запускали на перебор наиболее вероятные символы... но 0.1 сек - это всё равно круто и ещё эффектно )
Что же касается сервисов доступных удалённо, то может утечь хеш пароля или пароли может подбирать ботнет с разных ip-адресов. Маленькая энтропия = возможность быстрого взлома.
Вообще важность сложности пароля я по настоящему прочувствовал, когда знакомый попросил меня взломать пароль с какого-то публичного архива с кряком, зная что пароль из 5 букв. Казалось бы, 5 символов — тоже ведь не мало. Так вот RTX3090 сломала его за 0.1 секунду. Возможно там использовались какие-то эвристики, которые запускали на перебор наиболее вероятные символы… но 0.1 сек — это всё равно круто и ещё эффектно )Справочно выдержка из документации к архиватору 7zip
Советы по выбору длины пароля
Ниже приведена таблица с приблизительным временем необходимым для подбора паролей различной длины. Пароли созданные c случайных комбинаций букв латинского алфавита в нижнем регистре.
Мы исходим из того, что один пользователь может проверить 10 паролей в секунду, а организация с бюджетом около одного миллиарда долларов может проверить 10 миллиардов паролей в секунду. Также мы предполагаем, что мощности компьютерных процессоров удваиваются каждые два года, что добавляет по одной букве латинского алфавита каждые 9 лет перебора пароля.
Результат — промежуток времени, необходимый для взлома пароля:
Длина пароля Один пользователь Организация
1 2 секунды 1 секунда
2 1 минута 1 секунда
3 30 минут 1 секунда
4 12 часов 1 секунда
5 14 дней 1 секунда
6 1 год 1 секунда
7 10 лет 1 секунда
8 19 лет 20 секунд
9 26 лет 9 минут
10 37 лет 4 часа
11 46 лет 4 дня
12 55 лет 4 месяца
13 64 лет 4 года
14 73 лет 13 лет
15 82 лет 22 года
16 91 лет 31 лет
17 100 лет 40 лет
Так что 5 символов, это не так уж и много. А если подойти с умом, и знать с каких байт начинается хотя бы один файл содержащийся в зашифрованном архиве, то можно на порядки ускорить процесс подбора пароля.
Решил вывести формулу
- длина алфавита
- длина пароля
- время удвоения вычислительной мощности
- начальная скорость перебора, паролей/eд. времени
- искомое максимальное время перебора
Составляем уравнение для времени перебора паролей:
После взятия интеграла и решения получаем
Как видно при предельном переходе 
(скорость вычислений остается постоянной), можно воспользоваться приближением 
и формула преобразуется в тривиальную
P.S. Оставляю сопоставление параметров , и cо значениями в родительском комментарии в качестве упражнения :)
организация с бюджетом около одного миллиарда долларов может проверить 10 миллиардов паролей в секунду.
Хотелось бы услышать, как организация с бюджетом сможет проверить 10 миллиардов паролей в секунду, если после третьего неправильного ввода пароля целевая система блокирует логин на сутки.
Какими приключениями грозит невключенная двухфакторная аутентификация на Госуслугах