Comments 38
Двухфакторная аутентификация должна быть не только смс, а через приложение, например, Google Authenticator. И я уже 3-4 месяца не могу зайти в свой аккаунт на андроид телефоне, т.к. при переключении между приложениями (госуслуги и смс) приложение госуслуг сбрасывается обратно на ввод логин-пароль...
при переключении между приложениями (госуслуги и смс) приложение госуслуг сбрасывается обратно на ввод логин-пароль...
Есть такое, и не только в Г.У. Некоторые банковские приложения таким страдают. Видимо, не хватает памяти, ОС прибивает приложуху, а потом она не может вспомнить, на чем остановилась...
Есть такое, и не только в Г.У. Некоторые банковские приложения таким страдают. Видимо, не хватает памяти, ОС прибивает приложуху, а потом она не может вспомнить, на чем остановилась...
Скорее не хватает квалификации разработчиков, а тестирование либо очень плохое, либо отсутствует в принципе (бага прям очевидная). У ВТБ так когда-то было, но после одного из обновлений стало работать корректно.
Некоторые выставляют такие требования безопасности (что правильно) - блокировать сессию приложения при уходе в фоновый режим и просить повторную разблокировку. Только забывают указать, что блокировать надо не сразу, а, например, секунд через 30 или пару минут пребывания в фоне.
Возможно, у меня такое поведение после обновления. Но баг, если это он, не носит глобальных масштабов, судя по всему...
Да какая там квалификация... Очень часто такие приложения — это браузер, который умеет ходить только по одному адресу, а содержимое грузится с сайта банка. А на сайте навешано всяких картинок/JS/прочего, отчего приложуха быстро выедает всю память, и система ее прибивает. Ну или пытается освобдить память для приложения SMS...
Спасибо, не знал куда рыть. Но у меня Oppo Reno 10x, 8gb ram. Очистил перед входом, не помогло. Но сейчас хотя бы направление поисков задано, спасибо. 8 гиг оперативны и мало, видимо много вкладок в хроме :)
За впендюривание логина через всякую мутную херню, требующую смартфона, гугель сервисов и прочего шлака надо руки ломом ломать.
Круто, теперь мошенники сделают фишинговую страницу по, конечно же, обязательной смене пароля, где будут запрашивать СНИЛС, ИНН и паспортные данные, ссылаясь на эти нововведения.
Почему бы не сделать смену пароля госуслуг только через онлайн-банк? Сейчас же можно подтвердить учетку госуслуг через личный кабинет банка. Нажать на услугах "забыл пароль" а там бы надпись "зайдите в личный кабинет вашего банка и следуйте инструкциям". Заходишь в лк а там простое "введите новый пароль. Если вы не хотите его менять нажмите Отмена. И все никаких кодов по смс, вводов дополнительных данных, которые могут быть украдены в слитых базах с тех же госуслуг и вся защита потом пойдет крахом. У кого нет онлайн-банка - через банкомат своего банка. Карточки то у всех есть.
Карточки есть не у всех. И запросто можно попасть в ситуацию, когда до ближайшего "своего" банкомата три дня пути (реально три дня)...
Для случая когда до своего банка два дня через тайгу можно завязать систему на Почта-банке. Чтобы он позволял менять пароль госуслуг при вставлении карты любого банка. Банкомат есть в любом почтовом отделении, а оно есть практически в любой деревне. А кто не пользуется банками - визит в мфц по паспорту. Неудобно, но надежно.
Для случаев когда надо вот прямо сейчас записаться к врачу, а пароль забыл можно и оставить смену пароля через смс. Но выдаваемый пароль должен быть типа временного с ограниченным правами. Войдя с ним чтобы нельзя было менять критичные настройки и просматривать полностью все личные данные. Только совершать безобидные операции типа записи к врачу или получения каких-либо справок.
В любом случае - подвязывание в систему в качестве носителя ключа ещё одну систему опасно потенциальными дырами в той самой системе безопасности, которую латают...
Вот в моей деревне отделения российской почты нет, живу в Чикаго %)
Деревня, я так понимаю, украинская? ;)
(Для тех, кто в танке: в Чикаго есть район, который так и называется: "Украинская деревня")
Карточки то у всех есть.
совсем не у всех, страна огромная.
Почему бы не сделать смену пароля госуслуг только через онлайн-банк?
всё разбивается об простой вопрос: "какой банк то?"
сбером сейчас адекватные люди не пользуются, а остальные банки от этой кормушки хотят отодвинуть (недавно тут же на хабре новость была)
Мне непонятно, почему не сделать возможность входа только по one time password, без смс. Просто запретить возможность пользоваться смс и все.
Хотя понятно, это нужно только 0.001% таких как я.
Если пользователь, например, прошляпил телефон, или забыл разлогиниться в каком-нибудь МФЦ, или (как в статье пишут) передал мошенникам учетные данные, а потом сменил все же пароль, злоумышленники все еще будут залогинены под чужими данными в старой сессии (проверено). Здесь слово "стыдно" даже неуместно.
Пора уже номера телефонов выдавать при рождении и пожизненно. И даже после смерти чтобы числился за ним, другим не передавать никогда. Слишком много на них завязано.
Мне одному кажется, что использовать смс в 21 веке это маразм?
Минцифры пояснило, что никакие сотрудники портала «Госуслуги» никогда не звонят без заявки пользователям и не выпрашивают у них личные данные.
Они и при наличии заявки не звонят.
Вот только откуда звонящие знают кто я? :(
Зы: и да... пару дней назад звонили (первый раз в жизни) мол с ГУ, начали чегото про смену номера телефона. Положил трубку, номер в бан. Дак звонит опять, с недовольным голосом :) чего мол ему делать.
А почему бы не звонить на телефон с вопросом: нажмите один, если хотите войти?
Звонок никак не передашь злоумышленнику :)
Думаю им стоит обратить внимание что произошло в Украине
Из за уязвимости CMS взломали сайты гос структур
Так что стоит внедрять новые решения только если сможете обеспечить безопасность
Кто-нибудь знает, удалить с Госуслуг старый номер телефона в соответствии с 152-ФЗ, без получения нового российского номера, уже можно?
А можно для чайника, зачем мошенникам мой пароль от Госуслуг? Единственное, что мне в голову приходит – это QR код своровать. Ну или за квартиру за меня заплатить.
например кредит получить путём подтверждения через ГосУслуги
Во-первых, есть ларьки на остановках, которые дают кредиты через свои сайты с авторизацией через Г.У. При выдаче кредита они более ничего не проверяют.
Во-вторых, есть возможность «угнать» Вашу недвжимость. Это, конечно, чуток посложнее, чем получить кредит, но возможно.
Минцифры усилило защиту аккаунтов при смене пароля на портале «Госуслуги» из-за активизации мошенников