Comments 51
Если вынести за скобки обстоятельства, то звучит красиво. Но подозреваю у мошенников просто расширится окно возможностей в случае кражи симкарты.
Если смотреть на всё с позиции "а вот у мошенников", тогда мир вообще покажется киберпанком.
В 2022 году клиентам кредитных организаций возвратили 4,4% (618,4 млн
руб.) от всего объема операций по переводу денежных средств, совершенных
без согласия клиентов
Это если смотреть с самой оптимистичной позиции ЦБРФ.
По более реалистичной 90% хищений в статистику не попадают: "кому код из смс отправили, к тому и обращайтесь", "нет оснований не доверять сотрудникам колцентра сбербанка".
Может быть лучше немного остановиться и начать с того, чтобы отвязать всю "безопасность" от сим-карты? Сегодня человек, завладевшей вашей симкой или её копией, модет сделать с вами почти что угодно.
Или реализовать, например, цифровой паспорт в виде условной «государственной esim». Сейчас многие телефоны ее поддерживают. Перевыпуск такой симки можно сделать только через мфц. Дополнительным бонусом будет прямой номер телефона «откуда надо» к любому гражданину :)
Не надо ничего завязывать на сим карту! Ваши есим есть в 1.5 аппаратах, телефон у человека можно украсть, телефон можно утопить и остаться без доступа к сервисам. За границей российские симки более не работают в некоторых странах из-за санкций. В конце концов, я не обязан иметь российский мобильный номер!
Дайте мне возможность использовать везде ТОТР или аппаратный ключ в качестве второго фактора и дайте возиожность запретитить дистанционный сброс пароля.
УКЭП на токене Вас не устраивает?
укэп позволяет подписать любой договор и без госуслуг.
Вот только банки например об этом не знают (я в курсе про ЕБС но - опять же не все поддерживают и ЕБС это как раз госуслуги). Да и сотовые операторы не особо.
дело не в этом, а я в том, что получив доступ к вашей УКЭБ я могу сделать договор продажи всего вашего имущества с последующей инвестицией средств в мой стартап, и вы никак не отобьётесь ни в каком суде.
В Росстрестре была специальная опция про запрет таких не-личных регистраций (работа - вопрос отдельный).
Ну и - а как вы получили этот доступ если (допустим) у меня все все сделано корректно и я соблюдают все правила работы с УКЭП? Несанкционированный выпуск УКЭП это отдельная тема.
Кстати - а вот не факт что не отобьюсь. Если "всего имущества" - это вероятно значит что я банкрот. Подаю заявление о банкротстве, нахожу кого угодно кто пострадал (родственники например) и начинается история с оспариванием и разворотом сделок по банкротным основаниям. И плевать какие там подписи.
УКЭП немного для другого нужна, всё же.
И как мне с ней логиниться в интернет-банк и убедить банк, чтобы он не сбрасывал мой пароль по смс? Я звонил в несколько, везде мне сказали, что этот идиотизм отключить нельзя, у них мощный антифрод и он меня спасёт. Регулятору наплевать...
Я так понимаю что девайс с генератором TOTP и аппаратный ключ украсть или утопить нельзя?
В конце концов, я не обязан иметь российский мобильный номер!
Вы и TOTP/аппаратный ключ иметь не обязаны.
Вас никто не заставляет иметь TOTP. А меня иметь симку заставляют.
Я так понимаю что девайс с генератором TOTP и аппаратный ключ украсть или утопить нельзя?
Его можно забэкапить, в отличие от симки.
Он работает везде, на него санкции не действуют.
Самое главное, он не позволяет сбросить пароль, это настоящий второй фактор. в отличие от смс, которая единственный файтор и пароль сбросить позволяет, благодаря мудакам в банках и госорганах, на эту самую безопасность наплевавшим.
Странно, что эти элементарные вещи на хабре объяснять приходится.
Вы и TOTP/аппаратный ключ иметь не обязаны.
А это к чему вообще? Меня вынуждают иметь российскую симку а наплевать на безопасность, используя её.
которая единственный файтор и пароль сбросить позволяет.
На самом деле это - кривое использование, которое сервисы привыкли делать. Можно и правильно с этим обращаться. Скажем, если Гуглу SMS в качестве второго фактора поставить (у него возможны варианты), то оно будет именно вторым фактором - просто кода из SMS будет недостаточно, чтобы восстановить доступ к учетке - спросят что-нибудь еще.
Это не уберет остальные проблемы. Симки и номер вам не принадлежат, опсос в любой момент отберет у вас номер и отдаст его другому. Роуминг не работает в некоторых странах. Это фундаментальные недостатки, которые не решишь никак.
То же самое рассуждение применимо, скажем, к email, который оператор почты тоже может в любой момент отобрать. И атаки на учетки путем похищения доступа к почте - вполне очевидны и бывают. Поэтому когда нужна безопасность повыше, восстановление только по признаку доступа к почтовому ящики и не используется.
Но призывов отказаться от использования почтового ящика в качестве резервного способа входа - гораздо меньше, чем про отказ от телефона. Более того, многие этого хотят.
Не, тут проблема именно в том, что телефонный номер слишком привязывают к личности, давая выводу 'имеет доступ к телефону - значит он' чрезмерный приоритет.
Во-первых, я сам себе оператор почты. Во-вторых. ни один оператор почты не отберёт у вас ящик за 3 месяца неактивности. На остальное я уже 2 раза ответил, читайте тред.
Во-первых, я сам себе оператор почты.
А кому принадлежит ваш домен? А если Самый Справедливый Суд решит иначе? А если иначе решит регистратор?(а то были прецеденты (из широко известных - с GoDaddy и крымом например))
Если бы у бабушки был член, это был бы дедушка (с) Симку у вас заберут через 3-6 месяцев без суда. Это происходит постоянно и массово, в отличие от доменов и почты. Или её Маринка перевыпустит, если на вас будет целевая атака.
Вон расскажите человеку про домены: https://habr.com/ru/news/812175/comments/#comment_26792025
Я не отрицаю, что у телефонного номера есть существенные недостатки. Мой тезис - что их усиливают до неприемлемого уровня неправильным использованием. SMS-ка на номер телефона в качестве второго и только второго фактора - почему бы и нет?
Скажем восстановление доступа (ну бывает, что пароль таки забыл) - по резервному коду c бумажки и коду из SMS одновременно - выглядит вполне адекватно для многих случаев.
SMS-ка на номер телефона в качестве второго и только второго фактора - почему бы и нет?
Потому что смс, это ненадежный канал доставки. Потому что смс до тысяч россиян не доходят больше с российских номеров, а не российский указать нельзя. Потому что смс, это неудобно, когда силишь дома за компом, удобнее аппаратный ключ. Смс может быть вторым фактором только как необязательная опция. И не должно быть безальтернативных "введите номер телефона для регистрации". Некоторые уже охренели настолько, что убрали, работавшие ранее, логины/пароли и оставили вход только по смс.
Это всё летит в бездну ровно по одной причине: номер телефона стал обязательным, чтобы зарегистрироваться где-то. И вот это должен жёстко запрещать и контролировать регулятор. Когда сервисы будут обязаны делать взаимодействие с пользователем, у которого нет телефона, маразма станет поменьше естественным образом.
А ещё, чтобы банки, наконец, начали думать о безопасностию а не как сейчас, требуется вводить zero liability.
цифровой паспорт в виде условной «государственной esim».
Не надо так. Надо уже, наконец, сделать нормальный ID-карточку, что до сих пор не сумели сделать из-за упорного желания сэкономить и сделать все руками какие-то посторонних структур.
А использование номера телефона (даже не SIM-ки как чипа) вместо удостоверения личности - надо старательно удавить.
Казалось бы, имея такой мощный сервис как госуслуги, выпустить карточку - элементарно. Непонятно, чего ждут...
Непонятно, зачем вообще всех принудительно в стране (по новым законам) загонять в авторизацию через очевидно-уязвимые телефоны, вместо того, чтобы, наконец, открыть авторизацию через гос.услуги для всех, вместо короткого списка избранных.
Потенциальная проблема с этим "для всех" - всякие mail.ru и гнилые ягоды могут начать вымогать госуслуги (может быть даже это не будет обязательным требованием, примерно так же как № телефона способный принять SMS там - не обязательный), разумеется только в целях защиты вашего аккаунта и они никому никогда не сообщат полученные данные.
А следующием номером - какой нибудь DDoS GUARD например придумает систему защиты от DDoS'а и лишних капч - просто авторизоваться через госуслуги один раз.
Как минимум нужно условие что ресурс должен работать БЕЗ госуслуг.
Смотрите... У нас и так уже практически обязательная связь с номером телефона - т.е. поголовно, везде, от соц.сетей до магазинов. Причем часть сайтов вообще законодательно обязали телефоны узнать и использовать при регистрации в дальнейшем. Т.е., грубо говоря, в куче мест и так уже знают ваш телефон - т.е. вообще нет проблем выяснить ваши реальные данные - утечек было уже столько, что по телефону добраться до ФИО/Паспорта/места проживания вообще не проблема.
А теперь OAuth госуслуг. Это просто тупо уникальный ид, который не сообщает о вас ничего. При этом для каждого сайта он, по идее, еще и разный, т.е. ваши аккаунты даже связать друг с другом просто так не получится. Всякие доп. данные типа ФИО Госуслуги выдают строго после вашего-же подтверждения. Кроме того сам по себе сайт тоже не может всё что попало запросить с гос.услуг - это контролируется соответствующими политиками и сайт можно наказать за попытки получать избыточные данные.
Т.е. просто вот при сравнении - OAuth вообще всем лучше, чем телефон.
А следующием номером - какой нибудь DDoS GUARD например придумает систему защиты от DDoS'а и лишних капч - просто авторизоваться через госуслуги один раз.
И? Чем это плохо-то?
Поймите, вы давно уже не анонимны. Чтобы быть реально анонимным в современном интернете - это надо столько приседаний сделать, что уже практически нереально для большинства. Банальный фингерпринт браузера/железа уже позволяет вас вычислить и связать аккаунты в разных местах. И защититься вы сможете только используя отдельный уникальный комп + уникальный впн куда-то. И это вообще не гарантирует, что вас в итоге нельзя будет связать с реальными вашими данными.
Более того... Учитывая, что в сети сейчас под 80% трафика - боты, то принудительная авторизация везде через контролируемые государством сервисы уже само по себе благо. Несмотря на очевидные недостатки для отдельных граждан это в итоге полезно для большинства. Банальное сокращение ботов в соц.сетях уже само по себе благо.
Не все. И - с сайтами я могу разные номера использовать если оно мне сильно надо. Как e-mail'ы и прочее. И поменять их без проблем. И кстати - я так делаю. Ну и если на e-mail (или телефон) начинает что-то неожиданное приходить - проще проблему решить.
Насчет того что дополнительные данные Госуслуги выдают после подтверждения - а толку то с этого если во всех случаях что мне встречались - это самое подтверждение требуют на следующем экране после логина и не пускают дальше.
Проблема тут даже не идентификация перед государством - проблема в том что такое решение это по сути отдать данные в общий доступ.
Вот звонят мне на засвеченный много где номер и говорят что из службы безопасности сбербанка - но если я знаю что банкам и госуслугам дан другой номер - проще такое ловить сразу (точнее у меня на засвеченном номере аппарат вообще не звонит если это не контакт, если жду курьера - снимается ненадолго а симка "для банков" лежит в другом аппарате, который вообще не смартфон).
Не все.
Да уже практически все. Это просто вопрос времени когда это станет поголовной практикой. Как минимум - это позволяет затруднить регистрацию ботофермам (поднимает цену). И вы просто себе не представляете сколько пустых регистраций делают боты в сутки - там жуть.
И - с сайтами я могу разные номера использовать если оно мне сильно надо.
Вообще по барабану сколько вы телефонов возьмете. Есть рекламные куки. Есть перекрестный обмен данными между сайтами ради маркетинга-скидок. Есть фингерпринтинг (которым давно и успешно пользуются те же рекламщики). Есть, наконец, сотовый оператор, который ваш телефонный номер прям в серверных запросах на сайты отдает - открытым текстом.
Т.е. связать ваши несколько телефонов в одну запись - не сильно сложная проблема при наличии достаточного кол-ва данных. А у рекламщиков эти данные есть.
Как e-mail'ы и прочее.
Вы уже забыли, что email'ы регистрируются уже тоже с подтверждением по телефону? Что яндекс, что мейлру. У Гугла вообще весь аккаунт на телефон завязан.
Опять-таки, имея на руках данные вот этих тысяч утечек связать вас по косвенным данным можно, даже если вы уникальный емайл возьмете. Остальное-то не будет уникальным.
Насчет того что дополнительные данные Госуслуги выдают после подтверждения - а толку то с этого если во всех случаях что мне встречались - это самое подтверждение требуют на следующем экране после логина и не пускают дальше.
Суть в том, что требуют только то, что реально надо. А не вообще всё - как при обычной регистрации на сайте. И, насколько я помню, в политиках у OAuth Госуслуг есть про то, что нельзя требовать больше, чем нужно для работы (да и это во всех OAuth-сервисах так)
Проблема тут даже не идентификация перед государством - проблема в том что такое решение это по сути отдать данные в общий доступ.
С чего бы? Наоборот - ваши данные уходят туда, куда вы хотите. Уходит не всё, а исключительно то, что вы реально подтвердили. При этом все эти места еще и можно посмотреть на Госуслугах и в любой момент разрешения отозвать.
Вот звонят мне на засвеченный много где номер и говорят что из службы безопасности сбербанка - но если я знаю что банкам и госуслугам дан другой номер - проще такое ловить сразу
После 100500 утечек - это всё бессмысленно. Куча взломанных сайтов, некоторые даже не чинят - и оттуда данные сливаются в реальном времени, как с тех же доставщиков. Когда достаточно сделать заказ в любом магазине и через 5 минут уже начинают "службы безопасности" названивать.
Но опять-таки - одно дело предоставить те данные, что захотел сайт (и его рекламщики), а другое - ограниченный минимальный набор данных. От чего меньше вреда будет?
. У Гугла вообще весь аккаунт на телефон завязан.
Это не так. В смысле более-менее завязан, но не на номер, а на сам аппарат. Телефонный номер он клянчат и предлагает добавить, но на него не завязываются и не вымогает. Просто номер телефона - самый распространенный фактор, который можно использовать для восстановления доступа.
Вот тут описывал.
Всмысле не вымогает. Через пару дней после регистрации он заявляет, что хочет подтвердить вашу личность и требует телефон, всё остальное не работает.
Вы уже забыли, что email'ы регистрируются уже тоже с подтверждением по телефону?
Мои текущие адреса зарегистрированы без телефона и у меня есть 200% уверенность что этот почтовый сервис телефон не потребует никогда. И это совсем не уникальный случай.
Дополнительно к этому еще и simplelogin используется который внезапно тоже не требует телефона.
Это просто вопрос времени когда это станет поголовной практикой.
Будем значит дальше искать способы решать проблемы. И (да), устраивать скандалы с техподдержкой если например регистрация не работает хотя должна,
Суть в том, что требуют только то, что реально надо. А не
То что требующие считают что им реально надо.
вообще всё - как при обычной регистрации на сайте. И, насколько я помню, в политиках у OAuth Госуслуг есть про то, что нельзя требовать больше, чем нужно для работы (да и это во всех OAuth-сервисах так)
То то сразу после входа через FB/Google многие ресурсы сразу требуют еще чуть ли не сексуальную и политическую ориентацию а иначе не работают.
После 100500 утечек - это всё бессмысленно.
На практике вполне себе работает - откуда протечки определить более менее получается (для почты, с телефонами чуть сложнее - все же несколько номеров это минимум 150 рублей за номер в месяц пока)
Есть, наконец, сотовый оператор, который ваш телефонный номер прям в серверных запросах на сайты отдает - открытым текстом
да? И как же он это делает если почти весь трафик с моих устройств по сотовой сети - идет через VPN(не всегда кстати VPN в другую страну)?
Но опять-таки - одно дело предоставить те данные, что захотел сайт (и его рекламщики), а другое - ограниченный минимальный набор данных. От чего меньше вреда будет?
Пока что я вижу требование предоставить ЕЩЕ и валидированный государством набор данных, еще и с непонятно как работающей процедурой отзыва согласия (и контроля выполнения этого отзыва), при полной отсутствии технического описания как это будет работать. Ну вот простой пример - допустим я создаю сайт с такой авторизацией - кто и как проверит что мне данные реально нужны? Как мой сайт узнает(технически) что кто-то отозвал согласие? Как будет контролироватся (технически и административно) что данные с моей стороны потерты?
Я помню про подставновку номеров в HTTP-заголовках, это было давно, и может быть даже во времена, когда https был редкостью. А возможно эти сервисы партнёров были на серверах оператора.
Что же до контроля, то никак не контролируется, тут только поймать за руку, когда вы засветили данные, разрешения на которых у вас нету.
Что же до контроля, то никак не контролируется, тут только поймать за руку, когда вы засветили данные, разрешения на которых у вас нету.
Выше было чуть иное (в контексте госуслуг да) :)
А я вот помню в контексте обычных сайтов - про взлом некоторых сайтов мне стало известно когда на выделенный для сайта e-mail начала приходить ну очень странная реклама. Сами сайты кстати предупреждали что да у нас тут утекло. Никаких извинений и объяснений. Я не вижу почему так же не получится с данными через "платформу согласий", допускаю что так сделать можно но хотелось бы техническое описание как хотя бы попробовали дыры закрыть. Но видимо его не будет.
Никаких извинений и объяснений. Я не вижу почему так же не получится с данными через "платформу согласий",
Платформа согласий, как я понимаю - она не про защиту от утечек. Точнее, про защиту, но косвенную. Она про то, что если кто-то явно использует данные, а ты ему не разрешал - то какой-нибудь регулятор мог на основании данных этой платформы больно использующего стукнуть. Желательно - автоматически.
Например - начинаем мониторить исходящие звонки компаний и сразу же автоматически проверяем по этой платформе, есть ли у этой компании разрешение. Если нет, и звонков становится как-то много - выписываем компании конский штраф.
Или - опять таки есть звонки, а запросов в платформу нет. Откуда, спрашивается, телефоны взялись? Вы их что запомнили и храните? Вот вам еще одни штраф.
Я не уверен, что такое - хорошая идея, но образ мыслей про эту платформу, судя по всему, именно такой.
Перевыпуск такой симки можно сделать только через мфц
при том, что сейчас запросто сделать копию симки или отдать другому человеку? ну и мфц - т.е. ещё и за телефон лично отстоять все недельные очереди?
Ранее, я могла приехать в Россию и тут же купить симку, чтобы сообщить встречающим о своём местоположении. Как теперь? Одновременно получать ГУ и сим, чтобы банально связаться?
И это, будто бы у современного российского гражданина мало минимально необходимых документов и справок: паспорт, загран, инн, снилс, военбилет и т.д. - и всё это пожалуйста и в электронном и в бумажном виде, в 3х экземплярах и 4 нотариально заверенных и переведенных копиях...
Не все телефоны умеют в eSIM. Ни один не-смартфон не умеет в eSIM.
Кто физически будет обслуживать эти eSIM? Как с ЭройГлонасс спецMVNO?
Тарифы какие? И что в них - только голос и SMS? Как насчет VoLTE/VoWiFi? Как насчет роуминга хотя бы по СНГ? Если телефон НЕ двухсимочный то обычный оператор человеку все равно нужен остается.
Совершенно не факт что по этой eSIM можно будет дозвонится гражданину (особенно если диапазон утечет и начнутся звонки из служб безопасности сбербанка).
Да - частично может помочь жесткое решение что звонки на эти eSIM только с других таких же или с IP-телефонии организаций/ИП выданных с полной идентификацией компании (УКЭП как минимум), без кучи номеров одной организации а один многоканальный номер, входящие на который тоже принимаются, публично доступный API для определения организации/ИП(включая ИНН) по номеру телефона + закон что звонок на спецSIM с такого номера выделенного организации (согласно ответу API) - это звонок от этой организации (никаких - ой а мы посредник и мы этот номер кому то выделили), если при этом организация например предлагает услуги на которых у нее нее лицензии - это (при жалобе клиента) - сразу палка для контрольных структур про деятельность без лицензии.
И в лучшем случае получим решением которое работает не у всех, требует либо оплаты ежемесячно либо госрасходов либо нагрузки на операторов "бесплатной" и которое все равно не гарантирует что до человека можно достучатся оперативно если ему в данный момент оно не надо.
На ПКС организации будут делиться информацией о клиентах через открытые API.
Ну зачем же с первго-же абзаца палиться.
По данному обмену будет проводиться многоуровневая идентификация перед согласием, есть подозрения что данная процедура будет проходить по средствам ЕБС на госуслугах.
По моему идея простая, я просто сложил *эту новость с этой-> https://habr.com/ru/news/811179/
Будут присылать и повестки и рекламу повесток и контракты и... "режим одного окна".
А еще есть такая "прелесть" - если сим картой не пользоваться какое-то время, Ваш номер продадут новому пользователю.
У меня так получилось с аккаунтом Телеграм - переехал в другое место, там другой оператор нормально работает. Соответственно, другая сим карта в работе, а старой не пользуюсь.
В какой-то момент - облом при попытке войти в Телеграм. А оказалось, мой номер продали другому человеку, он стал входить в телеграм, указал уже свой (мой бывший) номер, получил смс с кодом подтверждения и задал уже свой пароль.
И посторонний человек получил полный доступ ко всем моим перепискам в телеграм.
Приятного мало, но в случае Госуслуг последствия могут быть куда серьезнее, особенно, если сделают то, что в статье описано.
Самый юмор в том, что на госуслугах нельзя удалить свой номер телефона. Настроил ты TOTP, уезжаешь в Гондурас и вот хрен тебе. Только поменять на другой российский(!) номер. Государство в очередной раз даёт тебе понять, как оно к тебе относится.
Ха, если опсос отобрал номер, то ты даже сменить его не можешь:
На старый номер телефона придёт дополнительный код подтверждения. Укажите его, и номер обновится
ЦБ и Минцифры РФ готовят к запуску пилот платформы коммерческих согласий на базе портала «Госуслуг»