Если внезапно пришла СМС‑ка «код для входа на госуслуги 314159» — какие обычно ваши чувства и действия? Если кратко — пароль, похоже, надо поменять — код приходит только после того как ввели правильный пароль, если не ошибаюсь.

Но эта маленькая заметка о другом — в списке активностей такие попытки не отображаются. Не думаю что это прочтут специалисты из Госуслуг (хотя, вдруг?) — но поскольку кейс с «двухфакторной» авторизацией популярный, хотелось бы обратить внимание на этот момент — на случай «вдруг кому пригодится».

Действия по порядку

Пробуем логиниться на госуслуги (а можете потестить и какой‑нибудь другой сервис с двухэтапной авторизацией — и рассказать как там), при условии что настроен вход по логину‑паролю и коду из СМС.

Вводим логин, вводим пароль. Как и многие пользователи я плохо помню свой пароль, поэтому пару раз ввожу неправильно. На третий раз удаётся и я вижу форму «введите код из СМС». Сообщение приходит на телефон, набираю нужные цифры — и ура, я залогинился.

Теперь щёлкнем «Профиль» в верхнем‑правом углу, там выберем «Безопасность» и «Действия в системе». На всякий случай — в картинках, чтобы не путать общественность:-)

тултип забавный, не находите?
тултип забавный, не находите?
Зашёл Гаврила в Госуслуги...
Зашёл Гаврила в Госуслуги...
Сначала слева щёлкаем "безопасность" потом сверху "действия"
Сначала слева щёлкаем "безопасность" потом сверху "действия"

Так мы добираемся до списка попыток входа в систему, выглядит как-то так:

чтобы что-нибудь понять нужно снизу вверх читать
чтобы что-нибудь понять нужно снизу вверх читать

Тут в соответствии с вышеупомянутыми попытками воспоминания пароля как раз и написано что два раза была "Ошибка" - пароль неправильный.

А что если неправильный СМС-код?

Разлогинившись или попробовав зайти из другого браузера, можно повторить попытку - но после правильного пароля ввести неправильный код.

Или не вводить его вообще (пока не истечет таймер).

Что появится в логе активности, который мы рассмотрели выше?

А ничего.

Поэтому картинку не прилагаю, она идентична предыдущей.

Подытожим логику

  • Если вход удался — запись в лог активностей создаётся

  • Если вход не удался по причине неправильного пароля — запись тоже создаётся (с пометкой «Ошибка»)

  • А вот если кто‑то ввёл правильный пароль и сидел тестировал разные коды — об этом записи не будет.

Хорошо ли это? По-моему нет. Конечно, пользователь в принципе будет оповещён СМС-кой, но если он её второпях удалил или она вообще не дошла...

Может нам был бы интересен IP‑шник с которого эти злокозненные попытки происходили (в случае если пароль не подобрали а воспользовались забытым где‑то ноутбуком с открытой страницей — друзья или родственники) — но мы его не узнаем.

В общем, хотя я не претендую на какие‑то познания в области информационной безопасности, кажется что это косяк.

Заключение

Попытался найти на сайте какую-нибудь форму для отправки запроса на улучшение функционала, но не нашёл. Советуют обращаться к боту по имени Макс. Он неплохо подсказывает где какой раздел (в интерфейсе без него реально разобраться сложно) - но на остальные вопросы отвечает неконсистентно.

Если нажать "показать ещё" - там будет вплоть до подключения к электросетям
Если нажать "показать ещё" - там будет вплоть до подключения к электросетям

Ещё есть раздел «подат�� жалобу» для рассмотрения Органами Власти. Пока всё же решил действовать через Хабр :-)