Comments 21
Было бы неплохо предложить возможность замены такого ненадёжного канала, как SMS на коды с тех же Google/MS Authenticator. Но это уже идёт вразрез с политикой импортозамещения в свете еще и возможных блокировок Google
во-первых google authenticator это просто приложение реализующее totp, таких приложений десятки, в том числе и свободные, например andOTP.
во-вторых для работы самого totp соединение с интернетом не нужно, код зависит только от текущего времени и секрета который сохраняется один раз, так что даже если гугл заблокируют, totp продолжит работать.
ну и никто не мешает госуслугам написать свое собственное приложение по типу GA которое будет реализовывать totp без бренда Google на нем, не думаю что это займет больше недели у какого-нибудь студента.
Да, вендорлок в госпродукте просто офигенная идея…
И как быть людям с телефонами на которые нельзя поставить "Google/MS Authenticator"?
Как быть тем у кого нет Google/MS аккаунта?
Но это уже идёт вразрез с политикой импортозамещения
Это идет в разрез с здравым смыслом.
Есть ещё Яндекс.Ключ, использую его вместо вышеназванных.
Как быть тем у кого нет Google/MS аккаунта?
Для работы этих приложений аккаунт не нужен.
Поломка телефона в поездке, покупка нового телефона и прочие неприятности приведут к тому, что вход в приложение станет недоступен. Смс и звонки - всё ж более гибкий способ подтверждения, хотя и требуют доверия к оператору....
Обычно используются резервные коды активации, которые при генерации рекомендуют сохранить в надёжном месте. Считается, что 10 штук достаточно для того, чтобы привязать новый девайс и, при необходимости, сгенерировать другие резервные коды генерации.
Еще почитал отзывы на Google Authenticator, да понимаю что большинство плохих отзывов не от большого ума пользователей, но по факту лучше от этого не становится.
Я не понимаю, почему это называется двухфакторной аутентификацией, когда в реальности чтобы зайти на портал нужен только телефон - пароль сбрасывается и на телефон приходит код.
Двухфакторная на мой взгляд это когда необходимо знать пароль и владеть телефоном. В случае утери одного из этих элементов должна быть долгая и тяжелая серия проверок что ты это ты.
Двухфакторная на мой взгляд это когда необходимо знать пароль и владеть телефоном.
Ну как бы так и есть. Два шага — вводишь пароль, а потом код из пришедшего на второй канал аутентификации сообщения. В принципе, тут неважно, что за второй канал (SMS, PUSH в каком-то приложении или вобще голубь с запиской на лапке).
Но тут есть один тонкий момент — это все хорошо для людей, подкованных в IT-технологиях, а вот для обычных пользователей (возраст даже не важен, хотя те, «кому за» больше этому подвержены по моему опыту) это все лишняя сущность, которая делает «ой сложна» и вызывает кучу негатива. Не забывай, что именно люди ставят пароль 1234, графический ключ в виде линии и вешают данные для входа в учетку на монитор на стикере.
в реальности чтобы зайти на портал нужен только телефон - пароль сбрасывается и на телефон приходит код
А вот это вообще дичь...
После 45-ти я понял, что настойчивые требования вэбсайта Госуслуг дать им данные моего нового гражданского паспорта выполнять не обязан не только я.
А если по IP какую-то проверку сделать? пусть провайдеры должны стараться давать статические IP-адреса (это скорее всего будут IPv6 адреса, IPv4 адресов на всех уже просто не хватит), а пользователи будут их указывать в качестве разрешённых для подключения. Или государство введёт для провайдеров необходимость сообщать по какому-то интерфейсу, какой IP у такого-то пользователя (но это сложнее).
Хотя это не очень удобно, с мобилкой IP может быть статическим только в пределах одного региона, хотя и довольно большого, а на фиксе вообще достаточно часто адрес привязан к месту. Переехал - иди в МФЦ сообщать новый IP.
либо динамический DNS: либо оператор обновляет имя на своём DNS-сервере (как в белорусском МТС было сделано, а в российском нет), либо пользователь запускает приложение, отправляющее запрос на обновление IP на стороннем DNS-сервере.
Список разрешённых DNS-адресов (возможно с длиной префикса IPv6) указывается в настройках госуслуг. При подключении сервер резолвит эти адреса и разрешает пользователю доступ, если адрес пользователя совпадает с одним из адресов, полученных в результате резолвинга. Тогда и статический IP не нужен. Возможна и комбинация этих способов, можно указать либо статический IP, либо DNS.
Ещё можно включить проверку сертификата клиента в HTTPS. Нет сертификата - пошёл нафиг.
Получение кредита только при личном посещении с обязательной фото-и-видеосьемкой процесса на сертифицированное защищённое устройство с подтверждением личности клиента не менее двух сотрудников сильно усложнит задачу мошенникам. А при отсутствии хотя бы одного из вышеназванных элементов - списание кредита - заставит МФО задуматься что простота хуже воровства... несбыточная мечта, к сожалению....
СМИ: мошенники через операторов связи и фишинг получают доступ к аккаунтам портала госуслуг для оформления займов