Comments 26
А следующий шаг - "теперь для подтверждения вашего обращения покажите код, который вам в мессенджер пришел": во-первых, всем придется ставить, во вторых, начнут звонить разные сотрудники, коды спрашивать...
А следующий шаг
Делать так, чтобы никакого кода и не понадобилось. Ткнулся в бота/миниапп или как он там в MAX называется - и та сторона сразу знает что ты - это учетка Госуслуг id такой-то.
Ради этого же все это и придумывалось.
И это, кажется, не очень умный шаг. Хотя бы потому что раньше для каждого сервиса мошенникам приходилось запрашивать отдельный код а теперь достаточно получить код от MAXа и вот ты уже получил доступ ко всему многообразию ботов с ID госуслуг жертвы.
Лучше бы нормальные системы авторизации внедряли...
а теперь достаточно получить код от MAXа и вот ты уже получил доступ ко всему многообразию ботов с ID госуслуг жертвы.
Но точно так же - с сайтом Госуслуг. Когда в них залогинился - там уже дополнительных подтверждений, в общем, не спрашивают.
Только сайт без остальных средств связи не может нормально спросить 'тут ты в меня еще из какого-то место залогинился, подтверди, что это точно ты?'. А месседжер - может.
Если MAX воспринимать как еще один GUI к ним, в дополнении к, собственно, сайту и приложению - то такой подход выглядит плюс-минус нормально. Но вот способ входа в сам MAX надо старательно защищать - это да.
Госуслуги могут пускать то ТОТР и ничего не спрашивать ни у какого мессенджера и тем более не отправлять никакие СМС. у тебя либо есть приватный ключ для генерации - либо нет.
Если бы они добавили ещё авторизацию по passkey было бы в 100 раз безопаснее чем какой то левый мессенджер непонятно зачем.
P.S. кстати, сама идея двухфакторки через СМС, позволяющая сброс первого фактора тоже по СМС, явно придуманна какими то "гениями" ничего не сыслящими в безопасности. А потом рождаются всякие MAXы.
Госуслуги могут пускать то ТОТР
Который можно продиктовать мошеннику, чем те успешно, как известно по СМИ, и пользуются. не должен фактор доступа быть доступным по каналам связи.
Про Passkeys - согласен.
По поводу MAX - ну так его полноценно с Госуслугами еще и не интегрировали. Как в нем разрешат по учетке Госуслуг регистрироваться - я думаю, все кривые способы входа в него отключат или дадут отключить.
Чтобы этого избежать, нужно с самого начала вбивать в головы людям: код из мессенджера можно вводить только на официальном сайте или в приложении, но никогда не диктовать по телефону
Но кто будет этим заниматься?
cracklab'a на них нет:-) был бы клиент очень похожий на сабж, но с немного другим функционалом
МФЦ переведут часть сервисов в мессенджер корпорации Mail.ru
Давно не удивляет.
Вообще за всей этой "борьбой за безопасность" в виде принудительного внедрения госмессенджера, принудительного перевода рекламы только на определенные площадки, запрета не тех сетей и сервисов, ограничение не тех дата центров и прочего - явственно торчат уши некоторых отечественных корпораций, которые от всей этой движухи получают вполне реальный профит.
А борьба за безопасность тут просто очень удобный предлог, удачно подвернувшийся.
Либо очень удивительное и необычное совпадение, на грани чуда...
Во‑вторых, отказ от использования SMS для уведомления граждан о ходе предоставления услуг, что позволит сократить расходы бюджетных средств субъектов РФ.
Класс, а если у пользователя обычный кнопочный телефон, он на Госуслуги уже не зайдет?
О я уже предвкушаю. Чтобы записаться на прием, нужно будет сначала скачать Max, зарегистрироваться в нем, найти там нужного бота, пройти квест из десяти вложенных меню, а потом бот тебе скажет свободных слотов нет, попробуйте позже. И все это ради "удобства граждан"
Спасибо, не надо
Но чем оно отличается от того, что сейчас есть кроме использования MAX? Тоже нужно найти нужного бота сайт Госуслуг, залогинится в него (вот этого, если все правильно делать - не будет - сразу по учетке тебя определят), и выполнить квест с кликанием мышкой и общением с ботом (на госуслугах оно тоже есть) и получить то же самое 'слотов нет'.
Пожалуй именно тем, что для получения государственных услуг используется специализированный государственный ресурс, а не мессенджер частной компании. По моему, отнюдь не пустая формальность.
по сути новость можно рассказать одной фразой "МФЦ сделает бота для уведомлений и записи через мессенджер Мах". но так, конечно, никому будет неинтересно, поэтому напишем "переведут часть сервисов" будто сейчас это где-то в другом мессенджере можно сделать)
переведут - означает что на госуслугах их не будет, так что кроме написания бота отключат то, что есть на портале
В госуслугах обычно старый функционал не отключают. Например, ГИС ЖКХ до сих пор работает, хотя уже давным давно есть дублирующее его приложение Госуслуги.Дом. Права можно посмотреть в разделе документов госуслуг, хотя есть приложение Госуслуги.Авто. Вход с подтверждением через Мах уже пару месяцев как предлагают, но подтверждение по смс и даже TOTP продолжают быть доступны.
Тем не менее в заголовке указана громкая фраза "переведут", что либо означает что редактор / автор статьи лукавят на кликбейт либо не очень понимают разницу (лично я в это не верю). А так, да, TOTP прекрасно работает, сам пользуюсь. Хотя реклама этого Макса в лицо прилетает сразу же при попытке авторизоваться.
Если всё так, как вы говорите, то пусть будет, я не против. Хоть и печальная тенденция.
МФЦ переведут часть сервисов в национальный мессенджер Max