Комментарии 13
Если мошенник получил доступ к вашей сим-карте, он получает доступ к вашему аккаунту на госуслугах. Для этого достаточно знать еще номер вашей карты в одном из банков-партнеров, что не является секретной информацией. Госуслуги наплюют на ваш пароль, на установленный вами TOTP в виде второго фактора и передадут доступ к аккаунту мошеннику. Давайте ещё что-нибудь упростим, а то мошенникам воровать деньги людей и брать кредиты на них слишком сложно. Пускай любой пионер сможет мошенничеством заниматься.
Какой мудак вообще придумал дистанционные кредиты и почему в стране до сих пор существуют МФО, впаривающие малограмотным деньги под сотни процентов? Вопросы риторические...
Это общемировая тенденция, например Гугл пошли по тому же пути:
В Google объявили о том, что начиная с 10 октября 2023 года пользователи аккаунта Google могут использовать «пароль без пароля», то есть ключ доступа. Ключ доступа для учетной записи теперь предлагается создать по умолчанию. Это означает, что при входе в свою учетную запись пользователю больше не нужно будет вводить пароль каждый раз.
Все идет к тому, что ключевым станет обладание девайсом для аутентификации. В отличие от привычного пароля, симку или телефон сложнее скопировать.
Я согласен на ключ доступа - аппратный токен, например. А лучше всего ключ доступа в качестве второго фактора. Симка мне не принадлежит.
В отличие от привычного пароля, симку или телефон сложнее скопировать.
Симку скопировать проще, чем пароль в моей голове. Оборудование для перехвата смс стоит копейки, опсос просто отберет у вас симку, если по ней нет расходных операций несколько месяцев, а вы этого даже не заметите.
Симка мне не принадлежит.
Симка, как чип -- принадлежит. Более-менее. Если бы использовалась не SMS, а приложение внутри этого чипа - все было бы боле-менее хорошо. Был бы тот же аппаратный токен, каковым чип каты и является. Но не делают. Кто бы написал внятную статью, почему.
esim уже у многих, аппаратная симка скоро уйдёт в прошлое.
У меня во всех компьютерах есть usb порт для токена и нет слота для симки.
esim уже у многих, аппаратная симка скоро уйдёт в прошлое.
Во первых - зря. Не понимаю, какая религия запрещает съемную SIM-ку свойствами eSIM наделить. Пускай стоит и переиспользуется.
А во вторых - не существенно. Отказу от пересылки каких-то кодов по SMS и привязке к железке, а не к номеру, это совершенно не мешает.
У меня во всех компьютерах есть usb порт для токена и нет слота для симки.
Отдельный USB токен был бы во многих случаях лучше, да. Но речь идет о сценарии "введите то, что на телефоне видно" для тех, кто токен покупать не хочет.
А так, именно для госуслуг - я так понимаю, эти USB токены вполне покупаемы (хотя, на мой взгляд, их цену безбожно завышают)
Не понимаю, какая религия запрещает съемную SIM-ку свойствами eSIM наделить. Пускай стоит и переиспользуется.
Миниатюризация. Слот большой. И для влагозащиты дополнительная проблема.
Но речь идет о сценарии "введите то, что на телефоне видно" для тех, кто токен покупать не хочет.
Для этого существуют TOTP коды, например. Зачем выдумывать? И речь идет о том, что я установил стойкий пароль, позаботился о втором факторе в виде TOTP, а разработчики всё это отменяют по коду из смс, хотя я отказался от смс в качестве второго фактора. Б - безопасность.
А так, именно для госуслуг - я так понимаю, эти USB токены вполне покупаемы (хотя, на мой взгляд, их цену безбожно завышают)
Я готов потратиться, но не дают же, ни банки, ни госуслуги.
ни госуслуги
В смысле? У госуслуг вход по ЭП вроде бы объявлен. Которую как раз на токене и держишь. Вот что происходит при наличии ЭП с попытками восстановить по SMS-конечно, вопрос.
Вот тут представитель госуслуг ответил, что доступ к аккаунту можно получить через банк-партнер, несмотря на все пароли и TOTP на госуслугах. Подозреваю, что с ЭП такая же петрушка.
А доступ к аккаунту банка получается по коду из смс.
В этом случае 'через банк-партнер' - кажется, все-таки при личной явке в офис, а не из банковского приложения.
Пытаются то ли сэкономить на МФЦ, то ли скомпенсировать то, что МФЦ все-таки мало.
Если уж беспокоится, но, наверное вот про это надо. Прошлые проблемы с выдачей ЭП как попало, видимо, имеют шанс вернутся.
В этом случае 'через банк-партнер' - кажется, все-таки при личной явке в офис, а не из банковского приложения.
Как раз через банковское приложение можно, насколько я понимаю и в этом беда.
Пытаются то ли сэкономить на МФЦ, то ли скомпенсировать то, что МФЦ все-таки мало.
С МФЦ тоже не все так гладко, были случаи увода аккаунта на госуслугах через МФС в дагестанском селе. У МФЦ потом аккредитацию отбирают, но вам от этого будет не легче, потому что кредитов на вас уже набрали.
У Гугла ключом доступа является не аппаратный токен, а по всей видимости приложение Google Authenticator. Вряд ли Гугл начнут по всему миру раздавать чипы для доступа в gmail. Аппаратную симку таки сложнее сэмулировать.
Не, ключом доступа является весь телефон целиком вместе с гугл сервисами и средствами защиты, что в телефоне есть. В смысле, TOTP из Google Authenticator или чего-нибудь поддерживающего TOTP - тоже можно в качестве одного и способов. А так - они присылают запрос 'Тут логинится пытаются, пустить?' на залогиненные в учетку телефоны.
А при использовании Passkeys -- используются ключики, что в телефоне в защищенном хранилище хранятся. Ну да, они, вроде как, должны безопасным образом расползаться по устройствам, но для себя гугл делает отдельный уникальный ключик в каждом телефоне.
В приложении «Госуслуги биометрия» стала доступна регистрация биометрии без загранпаспорта