Комментарии 126
Чтобы установить тотр, разве не надо СМС-подтверждение?
"это необходимо для повышения безопасности аккаунтов пользователей и усиления защиты персональных данных клиентов госсервиса" - а сам пользователь госуслуг может решить нужно ему такое "усиление защиты и повышение безопасности" или нет? :-)
Перенимают подход Apple к своим пользователям - "мы лучше знаем что вам нужно"? :-)
Защита безопасности сервиса - дело не только пользователей, но и самого сервиса. Тем более, что компрометация такого сервиса очень опасна, и большинство пользователей ничего не понимает в безопасности.
Учитывая, что кроме работающей российской симки возможен вариант с TOTP, не вижу никаких проблем для пользователей, даже если они сейчас не в России и приобрести такую симку не могут.
Проблема одна - на желание пользователя им .... :-)
Рекетиры тоже "защиту и безопасность" обеспечивают без вашего особого желания...
Безопасность - это та часть сервиса, где надо в первую очередь смотреть не на пожелания пользователей, а на лучшие практики и стандарты. Пользователь может желать иметь на всех своих аккаунтах пароль 1234 и никаких заморочек со вторым фактором.
Лучшие практики и стандарты это вообще отказаться от паролей в пользу подтверждения доступа через спец. приложения для этого или получения кода по email.
Ну так гос. услуги умеют TOTP.
Смс - самый простой вариант второго фактора для пользователей, которые с трудом пользуются компьютером. Более сложные варианты они просто не смогут освоить.
Смс это не про безопасность вообще ни разу. Уже огребаем проблем от того, что всё на смс завязали. Опсос в любой момегт отбирает ваш номер и отдаёт его Василию, Фатима из дагестанского аула перевыпускает симку и отдаёт её какому-нибудь прекрасному парню и т.д.
Ну так гос. услуги умеют TOTP
Интересно, почему это единственный сервис из всех, что я знаю, который не имеет, при этом, кодов восстановления.
Организационные проблемы не решаются техническими методами.
Если у вас нормально в любой момент совершить за человека некое действие по поддельному документу или вообще без него, то можно по левой доверенности поменять симку, а можно продать квартиру, вопрос только в Фатиме.
А вот когда Фатима знает, что за такое она гарантировано сядет лет на пять вместе со своим прекрасным парнем, а сделку отмотают назад - вопрос решается тут же.
Так у нас статья про технические методы, в мире розовых пони, где победили преступность, 2fa не нужна.
Самая главная организационная проблема в том, что смс, это не второй фактор, а единственный. Потому что по смс можно этот пароль сбросить. И эта лютая дичь везде.
И вы выбрали только один из аспектов. Как быть с тем, что номер человеку не принадлежит и опсос совершенно законно и легально может передать его другому?
А ещё смс перехватываются, а это уже самая настоящая техническая проблема.
Но все организационные проблемы врядли будут когда-то решены полностью. И даже если суд потом разберется, и откатит всё взад, это время, деньги и нервы, которые никто не вернёт. Мошенничество и воровство сущестаовало везде всю историю человечества. Поэтому применялись, в том числе, технические решения в виде замков и прочего.
Существует уже много лет надёжное техническое решение для второго фактора - аппаратный токен. Его никто не может перевыпустить без ведома пользователя, он не может сбросить пароль, он работает, в том числе, с телефонами. В качестве бэкапа можно привязать несколько токенов и разложить их по разным сейфам. Но ни государстао, ни банки не позволяют его использовать. Потому что у нас безопасность, это проблема пользователя. Государству и банку на нее, в целом, наплевать, т.к. убытки несут не они. Что опять возвращает нас к организационным вопросам.
Но ни государстао, ни банки не позволяют его использовать
Лет 5-7 назад у банков были аппаратные токены (фиговинка с кнопками, батарейкой и экраном)
Лет 5-7 назад у банков были аппаратные токены (фиговинка с кнопками, батарейкой и экраном)
Токен у них и сейчас есть. (тыкая пальцем в чип на карте). Но они им упорно не хотят пользоваться. Где-то так.
Лет 5-7 назад у банков были аппаратные токены
Были. Также была система одноразовых паролей - карточка, на которой нужно было стирать окошки.
И то, что сейчас их нет, говорит нам, что принцип простоты применения средств защиты с применением данных устройств, видимо, не очень соблюдался.
Существует уже много лет надёжное техническое решение для второго фактора - аппаратный токен.
Которым может служить, насколько я знаю, непосредственно SIM-ка. Сам чип. И всякие одноразовые коды тоже может сам чип. Даже на тупых кнопочных телефонах. Но нет, технологию не осилили.
Аппаратный токен это алгоритм в заключённый в девайс. Однако, все алгоритмы условно известны, различие в таких токенах только в инициализирующем значении, поэтому можно использовать как сторонние программное приложения, так и самому скомпилировать open source приложение из исходников. На аппаратных токенах, как и на девайсах для хранения эл. подписи лишь зарабатывают производители и организации, которых их продают, но они ничего общего с безопасностью не имеют.
Во-первых, это удобство. Вставил в порт/приложил к телефону и прошел аутентификацию. Для домохозяек это важно.
Во-вторых, про безопасность вы не правы. Приватный ключ вирусня из токена не стырит, а с компа только так.
Удобно это отметил в приложении, что это ты и ввел код с экрана, если нужно, и не зависишь не от какой дорогой флешки, которую можно легко потерять - это частый кейс для домохозяек, телефон же всегда под рукой. Вирусня как-раз таки стырит все что угодно, но приватный ключ так же должен хранится в зашифрованном виде, если мы про файловый токен и расшифровываться в момент подтверждения, в этом смысле нет разницы аппаратный токен или программный и где он лежит.
Удобно это отметил в приложении, что это ты и ввел код с экрана, если нужно
Нет, это гораздо менее удобно, чем воткнуть ключ в порт, как по мне.
телефон же всегда под рукой
Нет, телефон почти никогда не под рукой у меня. Зачем он мне дома или в офисе? К тому же "его легко можно потерять", так ведь? Да и стоит он гораздо дороже "дорогой флэшки".
приватный ключ так же должен хранится в зашифрованном виде
Приватный ключ не должен покидать "дорогой флэшки". Если он расшифровывается в память, его оттуда можно слить.
Компьютеры не у всех есть и он не всегда доступен, постоянно с собой его возьмёшь. Телефон сколько не смотрел, абсолютно у всех в моей выборке (коллеги, друзья, знакомые, родственники, да и люди на улице) либо постоянно в руках/сумке/или в шаговой доступности. Поэтому в плане доступности никакая флешка не может сравниться с телефоном и когда компьютера нет, то это бесполезная вещь.
Компьютеры не у всех есть и он не всегда доступен, постоянно с собой его возьмёшь.
Т.е. в контексте входа в Госуслуги - оно происходит именно с этого телефона. И иметь 'второй фактор' на этом самом телефоне - так себе выглядит.
А по поводу доступности - смотри (еще раз) ключи от квартиры, банковские карты, просто деньги, паспорт. Никаких особых различий между всеми этими вещами и 'флешкой' нет. Если Госуслуги нужны постоянно - то постоянно с собой и носим. Вот прямо на связке с ключами. Если не очень постоянно - храним там же, где хранятся нечасто используемые документы.
Если вы хотите усложнять себе жизнь, пожалуйста. Второй фактор это не обязательно второе устройство, второй фактор - это про второй канал аутентификации. Смски тоже могли бы хорошо работать, если они имели надёжное шифрование и при покупке прав на номер - он бы принадлежал конкретному человеку и не мог быть отозван без суда. К сожалению, пока это не так, смски не могут гарантировать безопасность и создают проблемы.
Троян на телефоне прекрасно сможет читать и пользовательский ввод пароля и текст смс. Это обязательно должно быть второе устройство, как по мне.
Сотовой связи может просто не быть в том месте, где человек пытается куда-то войти. Например, в полуподвальном офисе.
СМС банально тупят регулярно, особенно в роуминге.
Канадцы отменили роуминг с РФ, а иногда его нет потому что не договорились. Удачи вам во время пребывания в стране без роуминга.
СМС - это самое отвратительное из того, что могли придумать. Особенно сегодня, когда оборудование для перехвата стоит хорошо если $500.
Аппаратный токен можно воткнуть в порт телефона или даже просто приложить, если в телефоне есть NFC. Он универсальный, в этом его преимущество. А компьютер у каждого первого офисного работника есть на столе. На котором может любой кейлоггер стоять легко. Только не рассказывайте мне, что люди не ходят с рабочих компов по личным нуждам.
Мне кажется, что не любой аппаратный токен можно воткнуть в порт каждого телефона? NFC классная технология, можно было бы иметь токен в виде баковской карты. Но что же мы видим, теперь почти у каждого внутри телефона уже встроена банковская карта. Зачем костыльное устройство снаружи, если есть уже аналоги внутри? Кстати, аппаратные токены можно было бы помещать внутри симкарты, но нужны стандарты для этого. Но если загуглить, уже такое разрабатывается.
Наверняка, не любой. А любой телефон можно успользовать для доступа к тем же госуслугам?
можно было бы иметь токен в виде баковской карты.
Это неудобно, т.к. не универсально. USB порт есть в любом компьютере, а NFC нет почти ни в одном. Таскать с собой ещё одно устройство (кардридер) постоянно? Чем вам не угодили существующие токены с NFC, которые также втыкаются в USB порт, почему вы всё время хотите сделать кому-то плохо?
Но что же мы видим, теперь почти у каждого внутри телефона уже встроена банковская карта.
Я вас удивлю, но это далеко не так. В РФ среди моих родственников не-айтишников телефоном платят хорошо если 10%. И это в крупных городах, в сёлах и деревнях, я уверен, даже картами никто не пользуются, налом в основном.
А в той же Сербии картой платит 1 из 5 в лучшем случае, телефоном/часами не платит никто, ни разу не видел. Наверняка, существует такая группа людей, но она настолько малочисленна, что на глаза не попадается. Полно магазинов, где принимают исключительно наличку.
Зачем костыльное устройство снаружи, если есть уже аналоги внутри?
Затем, что завязывать всё на одно устройство не безопасно. Затем, что токен универсален, а телефон нет. Многие люди пользуются звонилками и компьютерами. Затем, что я пишу про устройство, которое подойдёт всем, а вы с завидным упорством хотите чтобы хорошо было исключительно вам.
Кстати, аппаратные токены можно было бы помещать внутри симкарты
И каждый раз подключать телефон в компьютеру? А рабочий токен мне в личный телефон прошьют или вторую огромную говнолопату выдадут, чтобы я две таскал? Спасибо, но нет.
Зачем костыльное устройство снаружи, если есть уже аналоги внутри?
И мир туда и движется. Все эти WebAuthn, Passkeys в варианте работы на смартфоне - именно оно и есть. Вот только, к сожалению, в наших краях использование сильно тормозиться желанием ГОСТ-овской криптографии.
Но что же мы видим, теперь почти у каждого внутри телефона уже встроена банковская карта.
А вот тут смешивают два сценария, что нехорошо.
Карта как средство покупки - внутри телефона нормально.
А вот как средство входа в кабинет банка - уже не очень. Лучше бы было 'приложи карту, чтобы авторизоваться'(в том числе, не только это, разумеется). Хотя бы для первоначальной привязки приложения.
от какой дорогой флешки, которую можно легко потерять
Смотри 'ключ от квартиры, где деньги лежат'. Люди, в общем, довольно редко ключи теряют. Умение хранить мелкие важные вещи - сильно натренированный навык.
Вы наверное никогда симку не меняли, потом все банки просят новую регистрировать. Сейчас банки не только к смс но и симке привязываются, поэтому нет проблем, что номер отдадут Фатиме .
Это как раз вы, судя по всему, не меняли. У меня 6 банков, я менял симку несколько раз. Если раньше полтора банка как-то возбуждались по этому поводу, то в последний раз никто не отреагировал. Госуслугам всегда было плевать.
Сейчас банки не только к смс но и симке привязываются, поэтому нет проблем, что номер отдадут Фатиме .
К чему они привязываются? Назовите любой крупный банк, у которого нельзя установить приложение и получить доступ ко всем деньгам, имея симку и зная номер карты/счета (не секретная информация)?
возьмите Сбер, сходите просто смените симку в салон и у вас больше не будут работать коды аутентификации смс. Аналогично и с госуслугами сделают.
Вот именно сберу 2 последних замены симки было на эту самую замену наплевать. Как работал, так и работает, все смс приходят и 3d secure и на вход в интернет-банк. Жена тоже симку меняла пару лет назад и тоже сберу было пофиг. Опсосы у нас разные. Госуслуги вообще ни разу за 4-5 замен сим-карт не возбуждались. Хватит уже эти мантры повторять. Это всё работает, в лучшем случае, через раз, а чаще не работает, чем работает.
Райф и Тинькофф таки пароль требуют, просто номера карты и одноразового кода недостаточно.
"Пользователь может желать иметь на всех своих аккаунтах пароль 1234 и никаких заморочек со вторым фактором." - и в чем проблема? Пусть имеет - это его законное желание, задача сервиса не "смотреть на лучшие стандарты и практики" а просто предупредить/научить пользователя "какие последствия могут быть" и что сервис за действия пользователя ответственности не несет (а почему собственно должен?), он должен предлагать различные варианты аутентификации, а не запрещать какие либо, а уж пользователь сам выберет удобный и безопасный (по его мнению) для него.
Может MS или Google или Apple отказались от аутентификации по паролю без второго фактора? Или это для вас не "лучшие практики и стандарты "? :-)
пользователь сам выберет удобный и безопасный (по его мнению) для него.
Пользователь некомпетентен в большинстве слуваев. В критичных вопросах всегда есть регулирование. Например, вы не можете абы как переделать газовую трубу в своей (!) квартире и обязаны пускать инспектора для контроля.
"Пользователь некомпетентен в большинстве слуваев." - это означает что все пользователи "некомпетентны" в конкретном случае? Или все же это означает "мы лучше вас знаем что вам нужно"? К примеру я пытался в нескольких банках отказаться от смс подтверждения операций, заявляя что готов подписать необходимый документ/заявление для банка что всю финансовую ответственность за это "беру на себя". И? Казалось бы, банк в этом случае ничем не рискует (имея от клиента такое заявление). Но нет... :-) "Мы лучше вас знаем что вам нужно..."
Казалось бы, банк в этом случае ничем не рискует
У банка в коде это не поддерживается, никто не хочет пилить фичи, нужные ничтожно малому количеству людей, это дорого. Думаете, сброс паролей по смс почему сделали? Я ведь помню времена, когда это не работало и если забыл пароль, нужно было топать в отделение. Просто сели и посчитали, сколько денег на это тратят, пока работники отделений занимаются вопросами восстановления паролей. И убрали лишние расходы.
:-) Отключить второй фактор = "пилить фичи"? С учетом того что аутентификация по второму фактору появилась "как фича"? И кто и на основе каких данных решил что "эта фича" нужна "ничтожно малому количеству людей"? И если это "ничтожно малое количество людей" (в отличии от массы "не специалистов") отлично и четко понимают что реально необходимо именно им (не слушая маркетинговый бред поставщиков сервисов)? Не будьте как Apple которые заявляли что "copy/paste" нужен только "ничтожно малому количеству людей"... :-)
И убрали лишние расходы.
На самом деле, повесили их на клиента, а не убрали.
У меня телефон для просмотра порнухи и переписки с любовницей, а не банковский сейф. Могу в кабаке пьяный забыть, могу в карты проиграть вместе с симкой. Я слышать не хочу про эти ваши коды-шмоды.
Почему банк заставляет меня носить все мои деньги в кармане + кредитный лимит, что вообще ни в какие ворота?
Прекрасных историй, как люди из успешных и обеспеченных становились вечными должниками без копейки денег, можно где-нибудь на банки.ру почитать. Всего-то обронили телефон с симкой на банк завязанной.
Пользователь может желать иметь на всех своих аккаунтах пароль 1234 и никаких заморочек со вторым фактором
Интересно, у автора этой фразы хотябы такой "пароль" на симке привязанной к банку стоит?
он должен предлагать различные варианты аутентификации, а не запрещать какие либо
Это из каких посылок сделано такое утверждение?
Вроде во всех соглашениях на какое-либо ПО, которые я читал, написано, что всё предоставляется AS IS без каких-либо гарантий, в том числе гарантий пригодности для решения той задачи, для решения которой данное ПО и создавалось.
Пусть имеет - это его законное желание
А сервис - джинн, обязанный исполнять чужие желания?
Вроде мы при капитализме живём, сервис должен только одно - решать задачи, поставленные перед ним его владельцем. Для всех остальных: "не нравится - не ешь", никто пользоваться не заставляет.
надо в первую очередь смотреть не на пожелания пользователей, а на лучшие практики и стандарты.
Ну раз надо, давайте посмотрим на ваши лучшие практики и стандарты на примере росбанков.
На сегодня, на сколько я знаю, в рф лучшая и она же практически единственная(*) практика состоит в том, чтобы повесить всё на SMSки. Если есть какие-то пароли и ОТР, то их всегда можно сбросить через отправку SMS на тот же самый номер.
При этом по умолчанию на симках даже пин-кода не установлено. По этуму кража симки (с телефоном или без) чревато кражей не просто всех имеющихся на счетах денег, но еще и на несколько лет вперёд, потому, что эта же симка позволяет взять кредит.
Может быть SMS это сверхсекретный протокол, а ОПСОС в цену трафика включил страховку всех ваших возможных потерь? Ведь не зря он берёт более 14 000 000 (четырнадцать миллионов) рублей за 1 (один) гигабайт трафика SMS (при цене SMS 2 рубля), т.е. примерно в 1 000 000 (миллион) раз дороже обычного трафика.
Но нет, протокол никак не защищен собственными средствами, и ничем не лучше какого-нибудь http. А максимальная компенсация которая вам светит это возврат стоимости бесплатной входящей SMS.
Т.е.даже если опсос просто так ради хохмы отправит вашу SMS Фатиме из Дагестана это вообще для опсоса никакой ответственностью не грозит. То что вы повесили на совершенно не предназначенную для этого технологию все свои деньги, это исключительно ваша проблема и результат вашего свободного волеизъявления о чем свидетельствует ваша подпись в договоре с банком. Опсосу до этого вообще никакого дела нет.
Может Быть банк уже включил все риски в тариф и вам не очем волноваться? Но нет, банк считает что если он послал код голубиной почтой на деревню дедушке, и этот код вернулся в форме на сайте или в приложении, значит это подтверждает волеизъявление клиента.
При чём, банку в этом случае надо верить на слово. Но проблема полность ложится на клиента, что подтверждает ничтожная доля возвратов банками украденных денег, что видимо соответсвует количеству найденных похищенных денег.
Второй лучшей практикой в дополнение к вышеописанной является практика авторизовать пользователя по телефону используя публичные данные - дата рождения, номер паспорта и т.п.
Может я зря жути нагоняю и банковское мошенничество это экзотика благодаря идеальной работе правохранительных органов и абсолютной неотвратимости наказания? Но опять нет - один только втб в 22м году зафиксировал 7,8 млн случаев мошенничества. Это примерно 1 случай на 2 клиента?
"Отличный план Уолтер, надёжный как швейцарские часы..."
И не смейте указывать банку как защищать ваши деньги.
(*) - некоторым исключением из вышеописанного (в основном для юрлиц и ИП) можно считать некую вакханалию с сертификатами/ЭЦП, но это уже другая и тоже не очень радостная история.
на примере росбанков
Зачем? Речь идёт исключительно про портал госуслуг.
есть какие-то пароли и ОТР, то их всегда можно сбросить через отправку SMS на тот же самый номер
На госуслугах без личного присутствия в МФЦ не прокатит.
Может быть SMS это сверхсекретный протокол
Это второй фактор. Он поднимает сложность взлома: теперь недостаточно тем или иным образом получить пароль, надо ещё либо скопировать симку с помощью сотрудника ОПСОСа, либо увидеть содержимое смс с помощью того же сотрудника. Ну ещё есть перехват содержимого по воздуху, но тут вообще надо быть физически рядом с пользователем.
Пользователи как раз отлично всё понимают. Ничего в безопасности не понимают разработчики сервиса "госуслуг". Как и работники их офисов и служба поддержки.
Простейшая ситуация. У меня сменился номер телефона. Естественно, обратился в МФЦ с соответствующим заявлением.Сначала они предлагали "ждать СМС час", потом три часа. Потом три дня.
Потом советовали восстановить учётную запись по СНИЛС. Но при попытке восстановления, сообщения слались на старый номер, который уже принадлежал другому человеку.
Метод "через банк" тоже не привёл к успеху. Банк отправил в МФЦ "на второй круг".
Классный кейс, жаль, что он не такой массовый, чтобы что-то изменить...
У меня поинтереснее кейс был.
Купил новую симку красного оператора. Попользовался и оставил со вторым телефоном.
Ничего не предвещало беды, как в одно прекрасное утро, проснувшись, увидел смс - ваш номер госуслуг был изменен, которое пришло в 4 утра. Причем код подтверждения авторизации не приходил. Зная, что можно сделать с госуслугами, сразу авторизуюсь с помощью ЭЦП и смотрю номер телефона - номер изменен. Пишу в поддержку, внятного ничего сказать не смогли. Какой номер стоит в лк - без понятия, звоню, абонент не абонент (тогда я еще не знал, что это мой новый номер)
Захожу в историю логов, там все чисто, никто в 4 утра не заходил
Нигде никакой информации нет, что и как делать, госуслуги нужны, ждем ответа от минцифры по ИТ аккредитации. УЖе не помню, как я понял, что это мой номер. По приезду домой вернул старый номер телефона к госуслугам.
Пользователи как раз отлично всё понимают.
Пф, вы давно общались с живыми обычными пользователями? Насчёт желания всюду ставить один пароль вроде 1234 - это не художественное преувеличение.
Учитывая, что кроме работающей российской симки возможен вариант с TOTP
...это если этот TOTP работает. У меня вот он на пустом месте сломался. Что дальше делать - вообще не очевидно.
У меня по началу не сработал, потому, что часы на телефоне отставали.
...и так на трех устройствах, где время по NTP? Кажется мне, это не у меня часы отстают.
Ни разу не ловил проблем с totp, но проблемы с временем могут быть не только на твоей стороне
Похоже, как и значительное количество разработчиков, проживающих в Москве, разработчики сайта Госуслуг считают, что все-все пользователи их сайта живут исключительно по московскому времени. У меня тоже TOTP ни разу не срабатывал, пока я на телефоне не выставил таймзону Moscow и текущее московское время (агент Штирлиц ни разу не палится, ага...)
У меня сейчас время на тефоне GMT+1, TOTP прекрасно работает на десятке сайтов, включая госуслуги. Вы точно уверены, что проблема в таймзоне была, а не в том, что у вас время на 40 секунд уплыло и синхронизировалось при смене таймзоны?
С учётом того что оно считает от одной точки
По умолчанию — время от начала UNIX эры
И неудивительно что у тебя работает. Установи корректное время и корректный часовой пояс - значение времени используемое для расчёта у всех будет одно. На сколько я понимаю этот механизм. Но вообще, хватит и нескольких секунд рассинхрона (на любой стороне) чтобы на краях временного отрезка могли быть проблемы
...не помогло.
Что не удивительно, учитывая что, как уже написали ниже, TOTP по алгоритму не должен зависеть от часового пояса.
TOTP по алгоритму не должен зависеть от часового пояса.
Я в курсе, но я в жизни видел много всякого. Я видел такое, во что вы, люди, просто не поверите. Атакующие корабли, пылающие на плече Орона. Я видел Си-лучи, пронизывающие тьму близ врат Тангейзера. В том числе и то, как люди начисто игнорируют спецификации, потому что "ну у нас же всё работает!"
Проблема в том, что сами пользователи чаще всего решают что им удобней пароль 12345, и ничего больше.
Сложный пароль пользователь точно забудет. Пользоваться менеджерами паролей умеют пару процентов населения. Регулярным бэкапом своего архива паролей занимаются пол процента населения. А навык этого дела достаточно важен а современном мире. И по хорошему этому навыку должны учить в школе на уроках обществознания, ОБЖ или разговоров о важном, например. Но там учат другим вещам. Поэтому 12345*
*Три два один, я иду искать. Господи помоги мне.
Помнится на уроках обществознания, звучала замечательная фраза: "Твои права заканчиваются там, где начинаются права другого человека". Только в реальной жизни много кто игнорирует это. Так же, было много всяких разных других предметов, но эту школьную программу мало кто может вспомнить.
Можно хоть сто раз об этом напоминать, но пока не сделаешь принудительно, процент тех кто с этим будет заморачиваться, будет чрезвычайно низок.
Буквально вчера пытались изменить потерянный номер на актуальный в МФЦ - никто из работников не смог этого сделать. Просто 4 часа потрачены зря. Все разводят плечами и отправляют...в ПФР! В итоге сделали самостоятельно через перерегистрацию через банк. Бардак.
Ну как бы в банках без смс кода не зайти, а тут полный доступ к вашей жизни, хоть имущество продать, хоть человека прописать, даже развестись или пожениться можно, всё онлайн.
Заявление написать можно, но за документом всё равно надо ножками (кроме прописки, которая в РФ отменена в 1993м, как раз сегодня юбилей).
Чтобы получить паспорт, надо —
1.1) подать заявление через госуслуги,
1.2) прислать фотографию через госуслуги,
1.3) прислать сканированные документы через госуслуги,
1.4) оплатить пошлину через госуслуги,
после этого —
2.1) подать оригиналы всех сканированных документов в ОВД,
2.2) подать фотографии в ОВД,
2.3) вручную заполнить заявление с указанием всех сведений в ОВД,
2.4) подать старый паспорт в ОВД,
после этого —
3.1) подождать неделю,
3.2) получить новый паспорт в ОВД.
2.3) - вручную ничего писать не нужно, только проверить что цифры/буквы правильные в уже заполненных документах и поставить подпись.
Да, визита в овд было два, каждый минут по 5. Первый ко времени, по записи, второй в любое время практически, забрать бумажку и закорючку черкнуть.
"оригиналы всех отсканированных документов" - это собственно сам паспорт и фотография. Это при его замене. Не так все страшно как кажется, это был очень простой квест.
вручную ничего писать не нужно, только проверить что цифры/буквы правильные в уже заполненных документах
Зависит от упоротости сотрудников. Друзья меняли паспорта в МФЦ двух соседних районов. В одном - полная цифровизация и будущее, как описано в комменте выше.
Во втором заставили руками заполнять карточку-заявление, причем в качестве образца дали распечатку формы, заполненной и присланной через Госуслуги :)
2.3) Я заполнял заявление, бланк со множеством полей, куда вписывал разнообразные сведения о себе.
Оригиналы, это ещё и документы о браке и детях. Визиты в ОВД означают долгую очередь.
Я пока прописался и поженился.
Прописаться - подал заявление вбил свои данные и данные жены, пришел в назначенный день поставили печати в паспорта, подписи в документ и ушли, заняло около 10 минут, выписка с прошлого адреса автоматически.
Пожениться тоже заполнил анкету, жене пришло уведомление она его подтвердила, в назначенный день пришли паспорта сдали, нам выдали с печатями и свидетельство о браке.
Всякие вещи типа узнать в каких банках есть и были кредиты тоже онлайн.
А если еще учесть что можно авторизоваться на других ресурсах через госуслуги, например на налог.ру распорядиться переплатой налогов (указать счет куда деньги переводить) и вообще на госуслугах много информации - прописка, паспортные данные и т.д., то я не против чтобы защита была усиленной.
Помню несколько лет назал прислали мне Госуслуги "вам скоро 45 и пора сменить паспорт". Все доки и фотку типа онлайн можно загрузить и останется его просто получить. Удобно, подумал я, и ткнул "получить услугу". А, нет, сказали мне госуслуги, - это мы погорячились - вначале надо подтвердить учётную запись (логику этого не понял, ведь паспорт я всё равно приду получать лично). Ни один из предложенных способов мне на тот момент не подходил (я за границей живу), ну нет проблем, приехал я в Питер ненадолго, заплатил кучу денюжек получил новый паспорт быстро и без госуслуг. А дай-ка я личность заодно подтвержу, подумал я, и явился в МФЦ со свеженьким паспортом и СНИЛС. Сотрудник пытался ввести номер моего нового паспорта и всё что получал - ошибку, судя по всему от смены паспорта и одновременной попытки подтверждения что-то там переклинило. Вот так, вот - безопасность 80-го уровня — даже при личной явке в МФЦ госуслуги личность явившегося подтвердить не смогли. Извинились, мол приходите позже. Так я и остался с неподтверждённым аккаунтом.
Подскажите, пожалуйста, какой второй фактор лучше использовать, если нет телефона, нет электронной подписи и нет биометрического датчика?
Спасибо.
Ну… totp есть под все основные платформы, и при желании можно поискать аппаратные, как отдельное физическое устройство которое больше ничего не умеет
А вообще, по вводным - сложно. Если ничего нет - ничего посоветовать наверное не выйдет
А можно пример такого тотпа? Чтобы не стоил миллионы, чтобы можно было хоть сколько-то доверять, чтобы не было проблем с батарейкой, и мог бы работать через куаркоды или что там сейчас модно?
Чтобы не стоил миллионы, чтобы можно было хоть сколько-то доверять, чтобы не было проблем с батарейкой, и мог бы работать через куаркоды или что там сейчас модно?
Старый смартфон, у которого отключены все беспроводные интерфейсы. Если его включать только тогда, когда код нужно сгенерировать - очень надолго батарейки хватает.
Но каждый раз его включать выключать...
Ну со смартфонами (или телефонами) это норм, когда включаешь - а он говорит "ой не могу... заряди..." :-)
А какие есть предложения аппаратных TOTP (без внешних интерфейсов, только с экраном) с поддержкой работы с госуслугами? Может кто-то озвучить? Ну и цена чтоб не превышала стоимости хотя бы среднего по цене смартфона....
А как вы его инициируете, если только экран есть?
Вот этот, например, через nfc с помощью android/ios/windows или кросплатформенным python-скриптом
Другие могут иметь иные способы программирования
А какие есть предложения аппаратных TOTP (без внешних интерфейсов, только с экраном) с поддержкой работы с госуслугами?
Ну и цена чтоб не превышала стоимости хотя бы среднего по цене смартфона....
В такой постановке, кажется, оно имеет мало смысла. Если 'по цене среднего смартфона' подходит и согласен ждать доставки - то можно уже токены c поддержкой гостовской ЭП брать.
Предложение со старым смартфоном - он именно вариант для "можно без всяких поисков быстро и сильно задешево купить" или просто достать из тумбочки свой собственный старый.
"можно уже токены c поддержкой гостовской ЭП брать" - открыл ты браузер "на чужом" компьютере без возможности устанавливать ПО, и... токеном то как пользоваться? :-)
Идея со смарткартой (ex УЭК) - как единый защищенный внешний HSM с криптоключами и сертификатами - была самая здравая.... Покупаешь ридер с экраном - вот тебе и безопасность и приватность и личная защита персональных данных которые в нем храняться.
Бумажный паспорт в отделении МФЦ?
Сайт Госуслуг - по определению электронный канал. Подразумевается, что его пользователь уже имеет доступ к машинному времени и интернету. Это допущение позволяет сделать и следующий шаг - использовать только электронные каналы для второго фактора. И да, если на сайт можно зайти и с рабочего, скажем, ПК, то фактор аутентификации по определению - личная, индивидуальная штука.
Стоимость же организации того самого второго канала (в виде простейшего телефона, способного к приёму СМС + тарифа без абонентки) сравнима с несколькими поездками в транспорте до того самого МФЦ.
Подразумевается, что его пользователь уже имеет доступ к машинному времени и интернету.
"Ну нет у меня телевизора телефона, не-ту!!!" (c)
Сколько ещё уязвимостей в SS7 нужно найти, чтобы Штирлиц хотя бы насторожился?
Для TOTP не нужен SS7 и симка в телефоне. Покупаем на любой барахолке старый китайский смарт, заливаем в него приложение. После этого навечно выключаем все беспроводные интерфейсы. (Если повезет - можно будет даже все антенны из корпуса выдрать).
И все, имеем не совсем чтобы хороший, но вполне пригодный к использованию токен для генерации этих самых одноразовых паролей.
Через несколько дней у него разойдутся часы, и его коды будут никуда не годны.
Хм.. Надо будет проверить. Вроде бы было не настолько плохо. Ну хорошо, не совсем навечно и не всю беспроводку отключаем - время от времени можно выпускать его через Bluetooth/USB Tethering к серверам синхронизации времени.
EDIT: Кажется, понял. GPS же тоже время дает - по нему часы и подводились.
EDIT: Кажется, понял. GPS же тоже время дает - по нему часы и подводились.
В ручную, да? С тем же успехом можно по наручным настроить время. Вроде бы современные смартфоны не используют его как источник времени, или я не прав?
Не в ручную, конечно.
Вроде бы современные смартфоны не используют его как источник времени, или я не прав?
Да и если так (сильно сомневаюсь, потому что не понимаю смысла это запрещать) - речь шла о старых телефонах с барахолки.
Вроде бы современные смартфоны не используют его как источник времени, или я не прав?
На досуге проверю. Выну симки, отключу Wi-Fi, поставлю часы неправильно, врублю навигатор и буду ждать. :)
врублю навигатор и буду ждать. :)
Надо не навигатор, а где-то в глубине настроек времени включать "использовать GPS". Которые, действительно, где-то есть, а где-то нет и могут быть замаскированы за всякими длинными нажатиями.
использовать GPS
Не встречал ни на одном из устройств. Есть кнопка автонастройки, но она брала время не от них
Возможно, под этой кнопкой оно и прячется. "Use GPS provided time", Но да, похоже с этим разброд и шатание. Где-то есть, а где-то нет.
SMS приведены как пример максимально дешёвого варианта, не требующего знаний сверх бытовых. Даже в случае утери восстановление SIM карты делается сравнительно легко. И это уже лучше чем голый пароль.
Мой выбор, разумеется, TOTP. Незначительно дороже, и, что даже более существенно, бэкап - строго на совести пользователя.
А кто-нибудь проверял, как восстанавливается доступ, если включен TOTP и ты профукал секрет? А то сами госуслуги вон что пишут:
Восстановление доступа к Госуслугам. Если забыли пароль или не работает вход на портал.
Онлайн через Госуслуги. Воспользуйтесь формой восстановления. Укажите телефон или электронную почту, по которым регистрировались, если к ним есть доступ. Для проверки могут потребоваться данные паспорта, СНИЛС или ИНН.
TOTP, если компьютер есть.
А чего минусуют-то Вопрос отличный. Пароль работает "из головы". Назовите второй фактор, также работающий из ничего. После пожара в квартире ты легко можешь лишиться телефона, компа и с ним доступа к бэкапу ЭЦП, и всё, что у тебя остаётося - неотъемлемые вещи. И именно из неотъемлемых вещей и должна состоять авторизация на ткаих вот сайтах.
TOTP это тоже просто пароль из которого по таймстемпу генерится код. Запиши его или запомни и всё. Приложение для генерации можно скачать откуда угодно. Даже KeePass прекрасно с этим справляется.
Другой вопрос как ты запомнишь все эти большие, маленькие буквы + спецсимволы + прочий шлак который требуют сейчас вводить в форму пароля вместо того что бы снять лимит на длину и заполнять пароли целыми предложениями.
HorsesLikeApplesAndRideOnTheFields запоминается гораздо лучше чем @1qwE123!@ а по надёжности выше. Но до сих пор все формы требуют спецсимволы а длина пароля редко где позволяет преодолеть 20 символов.
Я Вам сейчас страшную вещь скажу: да, при первом входе оно требует поставить второй фактор. Но сразу после того, как поставил... TOTP можно прямо тут же отключить, и оно не даже не пикает.
А от небезопасных SMSок спасает убирание номера телефона из профиля (если он у Вас там вообще был). Измерить температуру забортной воды отослать SMS становится невозможным ввиду отсутствия такового.
CorrectHorseBatteryStaple ?
Усы, лапы и хвост? Конверт с кодами восстановления, секреты TOTP или второй аппаратный ключ можно хранить в банковской ячейке.
Факторы, как известно, делятся на 3 группы:
То, что я знаю - пароли, пин-коды и т.п. Работают "из головы", есть риск забыть.
То, чем я владею - либо приёмник, либо генератор одноразовых паролей. Либо бумажка с ними. Риск утери есть всегда, как у любого материального предмета. Поэтому бэкап обязателен.
То, чем я являюсь - биометрия. Тоже есть и риск поломки (в т.ч. временной) и очень дорогой риск компрометации.
2ФА имеет смысл только если задействуются факторы из разных групп. Так и так - выбирать меньшее зло придётся.
Выбирать можно если тебе предоставляют такой выбор... :-)
1 и 2 (в случае утери/компроментации) можно сменить (удостоверив личность по "бумажке"/паспорту)....
С 3-им - все гораздо хуже....
Любой софтверный (аппаратный) HSM (генератор паролей, хранилище ключей) всегда менее надежен аппаратного с неизвлекаемыми ключами/сертификатами... Причем цена хардверного ~= цене смарт/SIM карте.... Добавь к чиповой смарт карте ридер с экраном и кнопками (=цена кнопочного телефона) - и вот тебе надежное аппаратное устройство... Но.... Это видимо "не кошерно" для наших "специалистов" по безопасности...
Пара возражений, не холивара ради, а только для всесторонней картинки:
Хардверный генератор сложнее бэкапить. У софтового возможностей масса, вплоть до хранения конфига в зашифрованном файле в любом облаке на выбор: восстанавливай - не хочу.
Если какой-то сервис позволяет применять любой софтверный генератор одноразовых кодов (включая опенсорсные) - значит, там используется типовой, проверенный алгоритм. Это не защитит от авторских бэкдоров, но минимизирует вероятность дыр а алгоритме.
Хардверный генератор сложнее бэкапить. У софтового возможностей масса, вплоть до хранения конфига в зашифрованном файле в любом облаке на выбор: восстанавливай - не хочу.
Это-дырка. Весь смысл хардварного токена в том, что воспользоваться им может только тот, у кого он на руках. А не непонятно кто непонятно где, восстановивший устройство доступа из такого вот бакапа.
Кроме того, оно позволяет разработчикам системы лениться. Вместо того, чтобы разрабатывать систему из расчета на то, что артефактов входа может быть несколько (одним пользуемся, другой в сейфе лежит - запасной), все делают из рассчёта на один и потом делают странные схемы восстановления. Тогда как правильно - один артефакт потеряли, поэтому входим при помощи двух других (возможно, доставая что-то из того сейфа), потерянный артефакт от учетки отвязываем, новый добавляем.
В ИБ помимо конфиденциальности есть ещё и аспект доступности. И отсутствие возможности самостоятельного бэкапа - уязвимость именно в доступности. И всегда приходится эти аспекты балансировать. Какой приоритетнее - каждый решает сам.
Я так после того, как вынужден был менять билеты в отпуске с единственного доступного ПК с интернетом - общедоступного, в холле гостиницы - к возможности развернуть бэкап в любое время и в любом месте очень критично отношусь) Но это мои личные предпочтения.
А таскать с собой второй токен в поездку - ровно так же подвергать его риску кражи, ничуть не менее вероятному, чем хищение seed-а TOTP трояном.
А таскать с собой второй токен в поездку - ровно так же подвергать его риску кражи, ничуть не менее вероятному, чем хищение seed-а TOTP трояном.
Есть разница. Про похищенный seed нельзя узнать, пока им не воспользовались. Факт кражи 'флешки' гораздо более заметен, если хоть какую-то паранойю по этому поводу иметь.
Вангую, что к Новому году всем придёт уведомление - для исключения компрометации мы изменили Вам пароль. Установите новый.
Ну и автоматом придётся включать двухфакторную аутентификацию.
Профит!
Странное дело, попробовал добавить TOTP в десктопный 1Password и десктопный же KeePassXC - добавилось, но генерируемые коды были разные в обоих приложениях в один и тот же момент времени, и главное Госуслуги ни один не принимал. Мобильный же 1Password вообще сказал, что это неправильный формат и не смог добавить.
Я сначала подумал, что у них на сервере время неправильно выставлено, но потом пошёл по их ссылке, и там в списке был Яндекс Ключ, и нём TOTP добавился, и Госуслуги приняли сгенерированный им код. Что это такое, какие-то разные форматы TOTP? И как его теперь из Яндекс Ключа забекапить? Ну хотя бы можно сохранить оригинальный секрет, который показывается на странице.
Хм, оказалось просто совпадение. Насколько я понял, там какое-то очень небольшое временное окно для ввода кода, и секрет слишком часто меняется, и кроме того он меняется после каждой неудачной попытки. А формат вполне стандартный, нормально всё добавилось и в 1Password, и в KeePassXC.
Там такая хохма, что сгенерённый QR-код с ключом меняется чуть ли не раз в 30 секунд — если долго сидеть у берега реки, то можно увидеть, как по ней проплывёт труп врага он сменился, поэтому мне пришлось танцевать с бубном, чтобы успеть одновременно и забить ключ в телефон, и сделать скриншот про запас до того, как код сменится.
Двухфакторная аутентификация на «Госуслугах» стала обязательной для новых пользователей и при восстановлении пароля