Comments 76
Я бы ещё посоветовал двухфакторную аутентификацию сделать через одноразовые ключи, которые в Яндекс.Ключ или Google Authenticator даются, там есть такая возможность. Хотя бы для госуслуг, а то на них очень много функционала понавешано.
Что совершенно не помешает восстанавливать доступ по привязанному к аккаунту номеру телефона. А номер телефона отвязать нельзя, только сменить на другой.
Хоть как то должен спасать контрольный вопрос, который стоит считать паролем для восстановления и генерировать из случайных букв и цифр.
Всмысле? Если указан вход по ключу, можно все равно войти по смс? 0-0
Мошенники делают восстановление пароля, чем тут поможет вход по ключу?
А там при восстановлении пароля OTP не задействуется? Только номер телефона? Вот это номер, если честно
это не просто дыра в безопасности...
Пароль сбросить смогут, но это им не поможет, т.к. ОТР останется.
Если не ошибаюсь, то в том же Гугле, Эппл и Протоне можно указать номер телефона для восстановления доступа. И для такого восстановления не нужна 2fa.
И для такого восстановления не нужна 2fa.
У гугла - нужно. Когда включаешь 2fa оно требует сделать три артефакта доступа. (обычно включая телефон, но можно сделать и по другому).
Если утерял один (пароль или OTP генератор) -- оно спрашивает какой-то другой. Как раз для того, чтобы при восстановлении - оно не вырождалось в один фактор.
В общем - что для входа, что для восстановления будет нужен "два из трех" (или больше) факторов.
Госуслугам и прочим хорошо бы так же поступать.
Проблема в том, что при получении доступа к аккаунту Госуслуг, мошенники сразу ставят ОТР на своё устройство, и отключают аутентификацию по СМС. Если для сброса пароля требовать код ОТР, хозяин сам не сможет оперативно поменять пароль в случае потери доступа.
Проблема в том, что при получении доступа к аккаунту Госуслуг, мошенники сразу ставят ОТР на своё устройство, и отключают аутентификацию по СМС.
Для изменения(да и для входа, собственно) пароля при включенной 2fa нужен и код OTP и еще что-нибудь. Как мошенник доступ-то получил по одному коду?
Но, вообще, это тоже решаемо - но уже весьма неудобно.
Решение - для входа нужно 2 артефакта доступа. А вот для смены/замены этих утерянного - уже 3.
Но тогда нужно иметь 4 артефакта доступа (чтобы при утере одного еще три оставалось) - но где их взять столько?
Для первичной установке все норм, а для замены способа визит с паспортом в МФЦ как 4 вариант, не?
визит с паспортом в МФЦ
Часть народа очень плохо реагирует на предложения визита и хочет удаленный способ восстановления.
По хорошему, государству уже давно пора чипованные карточки (не полноценный ID, а просто карточки) с ключами выпускать и в каждом супермаркете продавать. Чтобы зарегистрировал такую в учетку, в сейф/тумбочку положил - и можешь использовать ее в качестве способа входа. Ни или даже не чипованные а просто скретч-карты.
(это отличается от резервной фразы и кодов тем, что содержимое чипа нельзя продиктовать по телефону, т.е. мошеннику значительно труднее этот способ из человека вытащить - надо физически его как-то вытаскивать)
аппаратный ключ - это без сомнения лучший вариант
аппаратный ключ - это без сомнения лучший вариант
По хорошему, государству уже давно пора чипованные карточки (не полноценный ID, а просто карточки) с ключами выпускать и в каждом супермаркете продавать. Чтобы зарегистрировал такую в учетку, в сейф/тумбочку положил - и можешь использовать ее в качестве способа входа. Ни или даже не чипованные а просто скретч-карты.
Государство когда-то пыталось сделать карту УЭК, в который был ключ для аутентификации на госуслугах. И эта штука потом должна была стать электронным паспортом и заменить бумажный. Но там что-то не получилось.
Но там что-то не получилось.
Не получился полноценный ID/электронный паспорт. Да еще за скинув всю недешевую бюрократию и процедуры, с этим связанные, на банки.
Я же описываю просто карточку с ключем. Анонимную. Даже изначально зашитым, без возможности генерации (криптографы-параноики сейчас поморщатся) и потому дешевую. А привязывается к учетке и человеку она уже самим человеком.
просто карточку с ключем. Анонимную. Даже изначально зашитым, без возможности генерации (криптографы-параноики сейчас поморщатся) и потому дешевую.
Поясните, плз, механизм действия...
Поясните, плз, механизм действия...
Выпускаются чипы (приблизительно такие же, как SIM и банковские). В них прямо на заводе вшиваются ключи доступа. Упаковывается, отсылается в магазины. Они будут дешевые именно потом что механизма генерации ключа в них нет (я подозреваю, что 'настоящие' аппаратные ключи именно из за него такие дорогие).
Форм фактор - 'банковская карта' с дополнительным плоским USB контактом на краю или 'флешка'.
Потом:
Человек идет в магазин, покупает такой. Логинится в учетку сайта (госуслуг или другого). Предъявляет (через NFC или контактный USB) карту "я будут этим пользоваться в качестве фактора входа".
Сайт публичный ключик этого чипа запоминает ну и так далее.
В общем, как обычный аппаратный ключ, только, собственно, ключевая пара сразу на заводе сгенерирована, чтобы все это удешевить.
Поясните, плз, механизм действия...
FIDO U2F
Если регистрировать спецкарту опционально, то точно так же мошенники будут это делать после первого своего входа.
Если регистрировать спецкарту опционально
Так надо настоятельно рекомендовать это делать. Вот как номер телефона добавить 'рекомендуют'.
Первую карту регистрируешь в МФЦ, последующие (для бэкапа, например) только после ввода пароля и предъявления первой карты. Для любых изменений, связанных с аутентификацией предъявление карты обязательно.
То же самое, в обязательном порядке для всех банков.
Если регистрировать спецкарту опционально
Тому, кто отказывается привязывать карту, любые изменения, связанные с аутентификацией только в МФЦ. Но если ты влогинился, разрешить блокировку аккаунта до визита в мфц.
Напомнило - раньше такое было у банка Unicredit. Карточка с закрытым слоем на 40 одноразовых кодов. Применялась как для входа, так и для проведения банковских операций. Активировалась в личном кабинете или приложении по номеру этой карточки. Надо какой-то код (а они требовались рандомно) - стер монеткой и ввел. Банк выдавал до 3-х таких скретч-карт за раз..
Для изменения(да и для входа, собственно) пароля при включенной 2fa нужен и код OTP и еще что-нибудь. Как мошенник доступ-то получил по одному коду?
На Госуслугах не так. Если включён ОТР, поменять пароль всё равно можно по коду из СМС. Но войти по этому паролю не получится без ОТР. Выше написал для чего так сделано.
На Госуслугах не так. Если включён ОТР, поменять пароль всё равно можно по коду из СМС.
Т.е. пароль - не важен. На самом деле для входа нужны доступ к SMS-кам на телефон и генератор. И смысла тогда его вообще делать?
Я проверял, пароль можно сбросить, но войти по нему без OTP нельзя. А если ты не вошёл, нельзя выключить OTP.
У меня не получилось "взломать" свой акк на Госуслугах.
Я проверял, пароль можно сбросить, но войти по нему без OTP нельзя. А если ты не вошёл, нельзя выключить OTP.
Тут возможен такой сценарий: меняем пароль по коду из SMS и используем его (вместе с генератором) для входа в учетку.
Но получается что пароль вроде бы - лишний. Можно было бы сразу по коду из SMS и OTP коду пускать.
Отличие от сценария "нужно два фактора из трех" в том, что в нем можно пароль (длинный и сложный) записать, положить в тумбочку и использовать его только для смены либо телефона либо OTP, если потеряешь. А входить - именно по SMS и по коду из генератора (одновременно).
С недавних пор на смену типа двухфакторки SMS / OTP и обратно требуется вторая СМС помимо первой для входа
Лучше так, чем в банках, где доступ к аккаунту только по коду из смс и по номеру карты, который не является секретным.
Что такое ОТР?? Гугл говорит, что "организационно-технологические решения"
При включенной OTP двухфакторке, мошенники могут сбросить пароль если узнают код из СМС, но войти без ключа всё равно не смогут.
При регистрации акка на госуслугах надо сразу ставить восстановление пароля с контрольным вопросом, тогда войти в госуслуги можно либо через пароль+смс, либо через контрольный вопрос+смс, но в любом случае надо вбивать самому или называть явно и никакой доступ к смс не поможет мошенникам. Ну и конечно никогда не расшаривать экран, не называть смс, не называть любые персданные, при любых сомнениях звонить родителям. А родителям включать мозг и разруливать.
Сделали бы самозапрет на смену пароля в госуслугах по смс! Если и сделают, то подозреваю лет через 10... Чтобы сделать самозапрет на кредиты и удаленное оформление недвижки, как раз примерно столько потребовалось... Причем этот самозапрет еще надо самому установить! (а по хорошему такое надо включать по умолчанию всем, а уж те кто понимает что это, пускай включает)
А говорили "мошенники не звонят через мессенджеры".
Давайте я вам сейчас перезвоню по WhatsApp, вы покажете экран, я подскажу...
Давать доступ к своему устройству кому бы то ни было — это надо уже немножко альтернативно одарённым быть.
Или ребёнком.
(и не доступ, а расшаривание экрана)
(и не доступ, а расшаривание экрана)
«Расшаривание экрана» — это и есть доступ к экрану.
Доступ к экрану - частично да, доступ к устройству - нет. Вы бы там промеж себя разобрались кто из вас о чём говорит )
Доступ к экрану - частично да, доступ к устройству - нет.
То есть экран типа не на устройстве?
То есть экран типа не на устройстве?
Ага. А устройство, типа, у человека, а у человека, типа мозг. Получается, если некто в зеркале увидел отражение экрана телефона, то он получил доступ к мозгу этого человека? Ну-ну.
Не пытайтесь подогнать общепринятые термины под глупость, которую сморозили. Выглядит жалко.
А как ДЕМОНСТРАЦИЯ экрана позволят хоть что-то сделать на целевом компьютере? Вот вообще непонятно - что произошло?
Схватили паспорт и прибежали в МФЦ.
По моему опыту, сбросить пароль можно прямо из дома, даже если мошенники уже поставили ОТР. Возможно, быстрее было бы заблокировать акк по телефону тех. поддержки, если только до МФЦ не 3 минуты ходу.
Да. Можно звонком в службу поддержки.
Но там блокируют на 2 суток, кажется. Т.к. шел активный этап работы с заявлениями в ВУЗы - решили, что лучше сбегать до МФЦ.
Можно записать как ещё один совет, что если до МФЦ далеко - блокируете по телефону.
Спасибо.
Можно даже без звонка в техподдержку, просто поменять пароль перед тем как бежать в МФЦ. Через ту же самую процедуру с СМС кодом, которой воспользовались мошенники.
Если они не дураки (а скорее всего они не дураки, за ними государство стоит), то сразу поставят контрольный вопрос на восстановление и просто по смс уже не восстановить.
Они не дураки, но пароль по коду из СМС сбросить можно - из собственного опыта. Скорее всего так намеренно сделано на Госуслугах.
Именно так они и сделали.
Оффтоп. Может, кто подскажет, на что меня пытались развести?
(Стандартно, звонок "Это курьерская доставка Озон, бла-бла-бла, скажите номер заказа из СМС". Были посланы вдаль, естественно. Но вопрос - "куда хотели зайти" - остался. Вроде не госуслуги, там 6 цифр)
Вот, собственно, сама СМС
На заднем плане они должны были громко радоваться, что зашли к вам на госуслуги или что-то такое, вы бы начали нервничать, вам бы позвонил "банк" (из соседней камеры) и предупредил, что на вас оформляют кредит. Примерно такой план, с двойным дном
Это только первый шаг, дальше было бы что то подобное
вы говорите им этот код, на том конце слышите фразу "Ваня работаем, я взломал этого лоха"
вы в панике начинаете бегать в банки, мфц, и т.д. и все блокировать, перевыпускать
через некоторое время вам вам звонит 'товарищЪ майор', и строгим голосом говорит "вас уважаемый взломали, некоторе время назад, ведется расследование, процессуальные действия, назовите код что бы мы наказали мошенников"
Понятно, спасибо. Эх, не довел я до конца... Еще была мысль назвать рандомные 5 цифр... Поприкалывался бы...
Еще была мысль назвать рандомные 5 цифр...
А можно — букв!
Оффтоп. Может, кто подскажет, на что меня пытались развести?
Самое очевидное (необязательно верное) - получить посылку которая пришла на ваше имя. Ее все равно получат так или иначе, но если был использован номер из СМС, то вы - соучастник. CDKShopping это не CDEK Shopping. Нверное у сдэка как и у почты можно узнать есть ли на ваше имя посылка. Если есть, которую вы очевидно не заказывали, решайте сами что делать. Можно не делать ничего, можно заяву ментам попытаться написать, но им оно не надо. Прикольный момент может быть, когда по истечении срока хранения внезапно окажется, что статус посыли - получена, а не отправлена обратно. На мой взгляд в этот момент неплохо бы формально сигнализировать лучше в электронном виде, но без фанатизма, типа - такой вот факт, мопед не мой, дальнейших действий предпринимать не буду.
Работникам приемной комиссии приходится по 100 раз объяснять
Если они сами не могут похлопотать, то организация дисфункциональна и пускай дальше страдают.
Большое спасибо, полезная статья!
Мошенники сейчас на каждом шагу, в самых неожиданных местах появляются. Чем-то напоминают даже креативных менеджеров из OpenAI - людей, которые делают то, чего не было в общем доступе раньше в таком виде, которые могут придумать что-то новое. Только мошенники это делают, Марко говоря, в отрицательном ключе.
ЗЫ. К чему бы это такая реклама вылезла (после статьи) 🧐😉
ЗЫ. К чему бы это такая реклама вылезла (после статьи) 🧐😉
К тому, что вне хабра Вы интересовались темой снаряжения, экипмента, оружия, войны и т.д. Это лишь контекстная реклама, которая будет по вашему профилю показывать тематическое банера у любого партнера, хоть хабр, хоть сайт агенства недвижимости.
К чему бы это
«Ждёт тебя, внучек, дорога дальняя в зону специальную...»
У меня, почему-то, реклама промышленно-энергетического форума в Тюмени. Пойду билеты в Тюмень покупать.
Количество мошенников и спамеров пугает. Радует, что сейчас как-то редко звонят, с года два прям почти каждый день – и службы безопасности банка, и приставы, и товарищи майоры всех ведомственных структур. Но больше всего переживаю за пенсионеров, они в группе риска и таким звонят гораздо чаще, матушка регулярно жалуется.
Эх, вот бы ответственность за мошшенников на ОПСосов переложили, хоть частично. А то у нас все под колпаком, включая мессенджеры, трафик анализируется, а когда по мобильнику звонят с какой-то виртуальной АТС с определенной территории, то провайдер вообще не в курсе, кто же это. И главное, кто такие услуги предоставляет тоже "не знает", кто его услугами пользуется. И нет механизма на это повлиять – да, один номер можно заблокировать, и то на уровне телефона. А почему нельзя заблокировать номер на уровне оператора, почему нельзя заблокировать подсеть или звонки от какого-либо провайдера SIP, или хотя бы вайт / блэк листы.
«Славик из администрации президента».
Славик там больше не работает.
еще весной сказал: «Будь я мошенником — взялся бы за абитуриентов.»
И какие действия были предприняты?
Никакие.
"Ребенок" (17!!! лет) не обладает элементарными навыками безопасного поведения в сети.
Никакие дополнительные меры защиты аккаунта Госуслуг не предприняты. Включение двухфактурной авторизации через приложение и установка контрольного вопроса исключили бы "угон" аккаунта.
Короче, "Пока гром не грянет ..."
— Здравствуйте мошенники, это абитуриент, вам сказать код из СМС? — Нет, спасибо, мы сами