Комментарии 34
Вообще-то она там уже давно есть... и даже с OTP работает, а не только с СМС, что вот прямо совсем хорошо. Так что что обязательной с 01.06 сделают - это новость, да, а что изменится с 01.03 - непонятно.
А можно поподробнее про OTP на Госуслугах? - в справке у них только СМС описаны.
И на данный момент СМС или e-mail единственное необходимое для сброса пароля. Т.е. по сути пароль - временный токен доступа формируемый на основе CMC, а никак не самостоятельный независимый фактор.
Скорее всего с марта новых пользователей заставят вводить коды из СМС. А в июне всем пользователям без мобильника принудительно "сбросят пароль".
У меня настроено OTP, работает через Authy (прежде всего т.к. это даёт нормальный бекап). О существовании такой возможности узнал, кстати, некоторое время назад тут же на Хабре в комментариях к другому посту - и тут же включил.
Вот в настройках профиля:
Вопрос, как я понимаю, не об этом. А о том, нельзя ли где-нибудь нажать 'восстановить пароль/использовать другой способ входа', после чего на телефон успешно прилетает код, дающий доступ к учетке.
Ну вопрос был как раз про наличие OTP, т.к. в справке только про СМС.
Ваш вопрос тоже интересен. Кнопка "восстановить" есть, как оно работает при включенном OTP - на себе проверять не стал, чтобы чего-нибудь не сломать случайно, ибо возможности восстановить с паспортом в МФЦ нет, а то, что процесс может завести именно к такому варианту - не исключаю. Но самому интересно.
Два месяца назад потребовалось сменить тип с OTP на SMS (разгильдяй - сломался телефон, а бекап не сделал). Смогли решить только при личном посещении МФЦ,
спасибо
Обладая послезнанием, что оно существует, внутри по контекстным подсказкам уже легко находится. Почему они решили сделать из этого тайну - загадка.
ТОтп появилось относительно недавно. Примерно полгода назад. До этого пару месяцев вьюха для его установки была на поддомене esia, но не работала (при попытке установить приходила жсонина с ошибкой). Затем его реализовали в лк на основном домене, помимо смс-отп.
Можно потыкать на тему сброса основного пароля при наличии тотп, вангую, что оно точно так же завязано на смс (то есть сбросится и тотп-токен).
Это всё же лучше чем ничего, и спасает от грубых атак.
Гораздо лучше было бы, будь возможность запрета аутентификации по любому набору способов/факторов (особенно смс). Если, к примеру, у меня есть УКЭП (защиту ключа которой тоже можно реализовать через несколько факторов, используя разные техсредства), то начерта мне плейн пароль, смс и прочее?
Но нет, будем привязывать всех к набору цифр, которыми они не владеют...
Получается, реализация соответствует RFC не только в нотации ключевых слов, но и в примерах =)
Сливать, так сливать!
Все бы хорошо, только вот двухфакторная аутентификация - это в первую очередь способ потерять доступ (иногда без возможности быстрого восстановления, а то и вообще восстановления), а уже только потом что-то там от чего-то защищает.
Пароль можно хранить распределенно и отказоустойчиво, а сим-карту с телефоном — нет.
Во всех двухфакторных схемах по хорошему должны быть предусмотрены запасные факторы. Т.е. если одна телефон или сим-карта сдохла -- то берем запасной телефон,OTP генератор, резервный код и логинимся им.
Вот только возможность использовать несколько факторов на выбор - систематически не делают.
Если ничего не сломают с этими нововведениями - то сейчас на Госуслугах работает 2FA через TOTP, которая вполне себе бекапится (см. мой комментарий выше).
Это Вы грамотно распоряжаетесь паролями, и знаете что такое аутентификация, и чем она отличается от авторизации.
Для большинства пользователей Госуслуг - установить один и тот же пароль на одноклассники, сайт знакомств, сайт магазинчика из соседнего городка и госуслуги, да вообще без проблем и раздумий.
Штош. Это не моя проблема, а их. Зато я оставался без телефона и симки в отпуске в далекой стране. То есть, без доступа к банкам и другим сервисам. Мне не понравилось.
Проблема в том что безопасность вашего пароля это не только вы сами. Но и те же госуслуги или банк или ещё кто-то. То есть грубо говоря утечка данных будет у них, а вот доказывать что вы не верблюд придётся вам.
Ну, так они точно так же и про Вас могут сказать - "это ваша проблема".
Тут, видимо, по введению двухфакторки решение принималось, исходя из того, при какой ситуации будет меньше проблем и жалоб от пользователей. Предполагаю, что людей у которых могут увести пароль, затем слить данные, навесить кредитов и т.д. больше, чем тех, кто потенциально может остаться без телефона и симки в другой стране или просто потеряет сим-карту, телефон.
В последнем абзаце новости написано про биометрию, может, это ваш кейс?
Можно больно удариться головой в отпуске и забыть пароль, например. И вообще все креды от всех записных книжек. Папиллярный узор при этом не изменится.
Да, я не фанат использования идентификационных токенов для аутентификации. Но я за то, чтобы у пользователя был выбор. Удобство и безопасность - всегда компромисс, по-хорошему, этот компромисс надо формализовать статистически.
надеюсь без номера телефона можно будет обойтись?
Это Госуслуги. Там не то номер телефона, а даже паспорт вводят обычно. Иначе в них смысла мало.
Паспорт это паспорт, а номер телефона это немного другое.
Зачем для оформления каких-то услуг нужен паспорт/права/т.п. - это понятно, зачем нужен телефон - нет.
А номер телефона разве не привязан к паспорту? Ну то есть разве сейчас можно симку анонимно купить?
Смена номера это не такая частая операция. В нее добавляется один шаг «Сходить в МФЦ и сменить привязанный номер телефона». В общем особо проблем не видно. В тайге где нет МФЦ менять номер тоже проблематично.
Поддержка OTP токенов это хорошо и правильно, но если ее нет это тоже не трагедия в данном случае.
Речь, в том числе, о бенефициаре идентификатора. Номер паспорта выдаёт вам владелец (в той или иной степени) портала госуслуг.
Номер телефона принадлежит опсосу и находится у вас во временном пользовании.
Уж сколько копий поломано в рассуждениях о глупости завязывать на номер телефона идентификацию и, тем более, аутентификацию.
Номер телефона, кстати, тоже принадлежит государству, и опсос платит за него деньги
Возможно, я некорректно выразился о безусловной принадлежности. Да, действительно, государство является регулятором и устанавливает правила для опсосов. Но пользователь, в свою очередь, связан договором с оператором (вспомните, сколько радости было, когда ввели MNP, или недавние дискуссии о возможности смены региона принадлежности номера).
Какой же это отстой. Находишься в другой стране достаточно долго, например 6 месяцев и всё, оператор деньги отнимает, а номер перепродает. Восстановить почти невозможно, только заново купить этот номер если получится. А если ты забыл, то его купит кто-то другой и вот другой уже имеет все доступы
И это я не придумал, это реальный мой опыт.
С 1 июня двухфакторная аутентификация станет обязательной для всех пользователей «Госуслуг»