Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 46
Хакер в столовой.jpg
Вот тут форма обращения от Минцифры. В категориях есть и 'по поводу сайта Госуслуг'.
Они, конечно, более-менее отписками отвечают, но письмо, похоже, все-таки в Госуслуги передают.
А как хакер может ввести неправильный код, если он приходит на ваш телефон? Предполагается же что телефон находится у законного владельца? А если нет, и хакер вошел в телефон, то там уже без вариантов он получит доступ к госуслугам.
А как хакер может ввести неправильный код, если он приходит на ваш телефон?
Просто случайный вводит. Маленькая вероятность угадать есть.
И это повод беспокоится. Потому что означает, что пароль он уже знает.
там 6-значный код, если (как я подозреваю) это автоматическая перебиралка паролей и кодов, то сделав жалкий миллион попыток в течение м.б. часа (на разные аккаунты с разных IP) что-нибудь выловить да удастся. отдельный вопрос откуда берутся "попадания" в пароли (не исключаю что в моем случае он был недостаточно хитроумным)
т.е. смысл в том что атакуют не конкретно меня а ищут произвольный аккаунт в который удастся зайти
Госуслуги это всего-лишь ресурс, а двухфакторную авторизацию Вы проходите в системе ЕСИА. Скорее всего в системе ЕСИА не предусмотрена процедура записи в лог удачных, неудачных входов по двухфакторке(по паролю в СМС сообщениях). И скорее всего в моделе угроз и нарушителей не предусмотрен вариант описанный вами. Ваше исследование или проигнорируют (как меня на просьбу по исправлению ошибок в методических реккомендаций к ЕСИА), или сподвигнет к изменению модели угроз и нарушителей, а это в свою очередь приведёт к повторной сертификации. Кто-то может получить атата, но в специализированных организациях периодически получают атата поэтому все привыкли.
Хотя окно ввода пароля двухфактороной аутентификации отображается на ресурсе, и ввод некорректного пароля двухфактороной аутентификации отображается.
Для повышения шанса реакции жаловаться надо не в Минцифры, а во ФСТЭК, чтоб они сертификат отозвали (конечно не отзовут, иначе вся страна останется без госуслуг).
Нужны дополнительные исследования аутентификации с QR кодом и с помощью квалифицированной электронной подписью(КЭП).
спасибо за подробности
не предусмотрена процедура записи в лог удачных, неудачных входов по двухфакторке(по паролю в СМС сообщениях).
удачные-то как видим пишутся :)
жаловаться надо не в Минцифры, а во ФСТЭК
звучит угрожающе, но спасибо за информацию. моя-то цель не нажаловаться - но если бы была возможность бедолагам-разработчикам написать про забытый кейс наверное было бы хорошо :) не думаю что они это со зла... хотя квалификация "специалистов ИБ" в разных компаниях меня конечно в последние годы слегка озадачивает.
Да, именно так. Вы смотрите лог авторизации на госуслугах, а двухфакторная авторизация происходит в ЕСИА, ЕСИА не шлёт ресурсу сообщение при неудачном вводе второго пароля.
ЕСИА ждёт по таймауту правильный второй пароль(код из СМС) и возвращает ресурсу только ответ о продолжении процедуры.
В Методических рекомендациях по использованию Единой системы идентификации и аутентификации есть схема авторизации в п.3.2, тут процесс двухфакторной авторизации происходит между пользователем и ЕСИА(на схеме пользователь проходит аутентификацию), ресурсу ничего не шлют.
Вы же понимаете, что "бедолаги-разработчики" не решают, что и как им разрабатывать в этом случае?
Это вполне могло быть запланированным поведением по ТЗ или ограничением. Например, не все события в логи могут писать потому, что заказчик решил, что для них это не критичная информация.
А, ну и ещё. При нескольких попытках неправильного ввода пароля или кода из СМС, УЗ скорее всего заблокируется, либо включится период тишины на n часов/минут. Подобрать код или пароль будет трудозатратно.
Остаётся случай, когда могут попасть пальцем в небо, но от этого никто не застрахован и никак это не обойти на 100%
А, ну и ещё. При нескольких попытках неправильного ввода пароля или кода из СМС, УЗ скорее всего заблокируется,
Это неважно. Пользователю надо знать, когда кто-то другой его пароль знает и надо это как-то показывать. И лучше, по хорошему, не в этих логах, а прямо на главной странице. "Было столько-то успешных попыток ввода пароля не с текущего устройства, а оттуда-то. Это точно вы были?"
не решают, что и как им разрабатывать в этом случае?
про бедолаг-разработчиков, это утрировано
есть там менеджеры, аналитики, тестировщики - целая банда трудится, как и везде :)
и не должно быть вот этого как в старом фильме:
-- я больше никогда не смогу ходить!
-- почему? что с тобой сделали?
-- они... они связали мне шнурки на ботинках!
отдельный вопрос откуда берутся "попадания" в пароли (не исключаю что в моем случае он был недостаточно хитроумным)
Сидят зловреды (очень тихо, не вызывая лишних подозрения) на компах пользователей, следят за происходящими и сливают пароли из буфера обмена и форм браузера, когда на госуслуги вход происходит. 2 фактор и нужен, чтобы от такого защищать.
да, это вероятный сценарий, хотя как я упомянул в моём случае у меня больше подозрение на то что я легкомысленно достаточно очевидно пароль скомбинировал считая что 2FA в любом случае спасёт (вот ВТБ вообще вместо паролей на 4-значные коды перешёл, странные люди)
вот ВТБ вообще вместо паролей на 4-значные коды перешёл, странные люди)
Обычно там аргументация, что оно только на твоих устройствах действует, где уже логинился. И на других устройствах новую сессию открыть не позволит. Логика в этом есть... слегка. Потому что остается вопрос, как именно определяется, что устройство уже знакомое.
не-не, там не пин связанный с данными, сохранёнными в браузере текущем, как у других, а реально 4 цифры вместо пароля. вот сейчас в инкогнито логинюсь из браузера который никогда не использую для этих целей, через прокси в чужой стране, с ноута которым тоже не пользуюсь для заходов в банки - спрашивает сначала 6-значный код из СМС, потом 4-значный который когда-то установлен вместо пароля (на другом компьютере, браузере и т.п.)
писал в поддержку, ну сказали мол не писай, всё будет зашибись, у нас спецы круче чем везде (видимо поэтому все остальные лохопеты до такого еще не додумались :)
Определяется-то просто: на устройстве сохранён токен для входа, вход по паре токен-пин.
Определяется-то просто: на устройстве сохранён токен для входа, вход по паре токен-пин.
Зловред, который может украсть пароль (а именно от таких пин, привязанный к устройству нужен) может и токен, в общем, украсть, если он не лежит в защищенном хранилище системы. А если пользуешься хранилищем - то тот пин, что демонстрируют, становится слегка не нужен - можно напрямую защищенным токеном пользоваться.
Сегодня как раз юзер подходил с вопросом "пришел код от госуслуг, хотя сам не входил". По мне так тут надо не айпиадреса смотреть, а пароль менять. Так что то, что такое в логе не отображается, не страшно. А если пользователь удалил смс, то он сам себе буратино.
Смс может не дойти по разным причинам и пользователь никогда не узнает о попытке
"пришел код от госуслуг, хотя сам не входил"
Там еще сценарий восстановления пароля. Который через пароль не проходит. Надо на текст смотреть и предложенные меры дополнительной безопасности использовать.
да, есть, но там другой текст ("подтверждение смены пароля...")
ну и кстати попытки смены пароля тоже не отображаются по-моему :)
Вроде бы можно подключить доверенный аккаунт для смены, ну т.е. функционал есть. Как будет работать пока непонятно, но судя по справке третьим фактором
но судя по справке третьим фактором
Вторым(или первым - смотря как считать) в сценарии восстановления доступа. При входе - никак не используется.
Дополнительным, не вместо. Т.е. понадобится СМС от тебя и что-то там от доверенного лица?
Тогда отлично. Узнать кто доверенное лицо не так тривиально, и одновременно атаковать двоих всяко сложнее
Тогда отлично. Узнать кто доверенное лицо не так тривиально, и одновременно атаковать двоих всяко сложнее
За исключением случая, когда доверенное лицо - и есть атакующий.
Убалтываем жертву сделать мошенника таковым и потом все раскручиваем.
Я им туда уже предложение написал, чтобы можно было поставить несколько доверенных лиц и из них несколько штук должно согласиться, что ты это ты, для восстановления доступа.
Написали отписку но посмотрим, может и сделают.
Слишком сложно и всё равно ведь не менее надежно чем без него. Проще уж тогда пароль и смс получить от жертвы...
Мм... наверное можно было бы становиться доверенным лицом за небольшие деньги если как-то прокачать доверие :). С тем, чтобы никогда более не было возможности восстановить пароль удаленно, ну т.е. только при личной явке.
Много доверенных лиц - это тоже отлично, яб добавил всех родственников, друзей и сослуживцев и указал что нужно одобрение абсолютно всех одновременно. Человек 50.
ЗЫ. То, что в госуслугах зачем-то можно восстанавливать пароль не лично явившись в МФЦ, а дистанционно - огромный косяк...
Здесь хотя бы пароль спрашивают, а в Сбербанке, если ставишь с нуля мобильное приложение и вводишь свой телефон, то сразу переходят ко вводу СМС и если корректная, то вход в Приложение осуществлён - пароль не требуется!
Я неоднократно уже писал им в поддержку help@sberbank.ru и на +7 495 500-55-50 звонил, чтобы пожаловаться, какая-то двухфакторная аутентификация у вас неправильная, но воз и ныне там. Плюс пароль в Сбербанке регистронезависимый, то есть заглавные/прописные буквы не различаются.
Уважаемый Герман Оскарович! Где двухфакторная аутентификация в мобильном приложении, где регистрозависимые пароли?
хех, в ВТБ пароль (пока это были не 4 цифры) был не то что регистронезависимый, а вообще только из цифр (хоть и больше четырех)
Где это такое было? Я регистрировался в 2019 где-то, пришлось делать пароль с буквами, цифрами и специальными знаками. А кодовые на цифры не только у них есть, на Т-банке тоже и вроде на Сбер.
да вроде буквально только год-полтора назад как мне "многоцифровой" на "простоцифровой" пришлось изменить... даже меньше, я гляжу сейчас по интернетам что эта волна возмущения много где прокатилась, например
https://www.banki.ru/services/questions-answers/question/710970/
кодовые цифры на других банках - они к браузеру привязаны. а здесь это типа пароля теперь :)
Поменяли около года назад. Народ схавал
Почти во всех банках так же
Либо пароль формально есть, но сбрасывается смской
Какая вам двухфакторная аутентификация если вы в телефон в который получаете смс ставите приложения ? Ее не будет ни при каком раскладе в таком сетапе. Ну т.е. либо вы каждый раз будете ваодить пароль, либо ничего не поможет. Пароль, кстати тоже поможет лишь слегка, вводить вы должны что-то одноразовое...
А что не так к переходу ввода кода с смс, минуя пароли? У человека должен быть физический доступ к сим-карте и банковской карте, чтобы войти в аккаунт сбера.
>> У человека должен быть физический доступ к сим-карте и банковской карте, чтобы войти в аккаунт сбера.
как показывает практика, вовсе не обязательно... Номер карты вообще не нужен, номер телефона мошенник уже знает. Если для привязки приложения мошеннику достаточно получить одну-единственную смс, мой пожилой родственник ему ее и скажет... Он и пароль конечно сказал бы - если он его знал бы:)
Плюс пароль в Сбербанке регистронезависимый, то есть заглавные/прописные буквы не различаются.
Эти регистронезависимые пароли сейчас с нами в одной комнате?
А я вот похоже не узнаю что мой пароль теперь не пароль... ибо не доверяю смс. И использую честную двухфакторку TOTP.
И да, очень бесит, что не смотря на то, что я использую хорошую двухфакторку, мне каждый раз предлагают использовать с.. Мах
С точки зрения создания программистами пользовательского интерфейса, юзеру не надо знать о неудачных попытках входа в своем профиле. А смысл? Это банальная защита юзера от развода мошенниками.
Допустим тебе позвонят мошенники и скажут, что в ваш аккаунт госуслуг взломан или были многократные попытки. Юзер заходит в свой ак и видит тысячи неудачных попыток авторизации с красными крестами, предупреждающими сообщениями и начнет паниковать. В этой ситуации сработать мошеннику на психологии юзера будет проще. Смс же отдельная тема. Много не наспамить их. Вот скажите - зачем мне, как простому юзеру, а не специалисту пентентеста, знать с каких иностранных IP пытались вломиться в мой ак госуслуг? Что лично тебе даст понимае этой информации, кроме как стресс и судорожные попытки писать в поддержку и звонить в МЧС с криками - меня взломали, присылайте все бригады?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Мелкий нюанс безопасности логина на примере Госуслуг