Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Информационная безопасность доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 495
Ну вот, и Госуслуги ограничили )
Как оно там было, нетленное: "и интернет ваш не нужОн!“
"Вы находитесь здесь"
У меня на мобиле #1 симка только для получения СМС с ГУ, а в ГУ захожу на другой мобилке #2 с другой симкой. На обеих мобилах установлен МАХ. Указал на #2 в МАХ, какая мобила с ней связана и практически всё. Теперь код подтверждения приходит в #1 в МАХе в раздел "Коды подтверждения". При авторизации в ГУ на #2 код подтверждения из #1 ввожу в #2 и авторизация проходит. Проблем нет.
Проблема только в том, что на обоих устройствах Max. Так что проблемы явно есть.
И даже не лень было вчера зарегистрироваться на Хабре, чтобы нам об этом сообщить?
Кстати! И мошенники могут так же воспользоваться этим методом.
Получается, что эти вот авторизации через маск - просто палки в колёса мирным жителям. А проблему не решает от словп совсем.
Тогда действуем, как пишет МАХ "Новый вход в MAX Обнаружили вход в профиль с вашим номером телефона ...... Если это были не вы, перейдите в Профиль → Приватность → Сессии → Завершить все сессии, кроме текущей, чтобы предотвратить нежелательный доступ к вашим данным, перепискам и звонкам "
А вот зачем в одну корзину, сиречь ГосУслуги, запихали всю подноготную народа, совершенно непонятно ! Это же противоречит незыблемому постулату "Не храните яйца в одной корзине !". И любой урод после входа в одну дверь начинает крошить ВСЁ, что относится к человеку. И это вместо того, что перед каждой важной операцией (например,вход в раздел недвижимости), должна приходить СМС или загружаться отдельное приложение с двухфакторной авторизацией. Это по аналогии с банковским приложением, когда, например, почти перед каждым платежом приходит СМС. Не зря же ранее доступ ко всем важным документом был непрост: например, для получения данных по недвижке надо было идти в БТИ и т.д.. и таких афер с недвижкой не было. А сейчас за погоней быстроты выполнения операций где-то потерялась безопасность и по стране миллионы пострадавших и в этом вина ТОЛЬКО разработчиков ГУ, которые совершенно не думали о безопасности, а не тех, кого с помощью ГУ разводят. В общем, в ГУ перестала работать пословица "Тише едешь, дальше будешь !", а обманутый народ наматывает сопли на кулак, суицидничает и пр..
А в чём проблема использовать нормальный TOTP и в случае чего прямо из ЛК госуслуг завершить все сессии? Почему для этого нужен именно МАКС?
Я не адвокат МАКСа, рассказываю один из возможных вариантов работы в одной возникшей ситуации. Я категорический противник того, какой ужас натворили минцифровики в ГУ, куда запихали ВСЁ, а потом бегают по всей стране, ахают и охают "Как жешь так случилось, что каждую секунду жулики облапошивают народ ?". А сейчас пытаются на коленках наклепать костыли, которые не помогут избегать жульнических атак.. Надысь прошла инфа, что одна очень стойкая женщина только через Верховный суд добилась возможности работать с документами из ГУ без компьютера, аргумент: "Я старая, в компьютере ничего не понимаю и не хочу его изучать !". Предполагаю, что некоторые пожилые люди могут тоже ломануться в ГУ без компьютера.. Надоело русским, что "чёрная дыра" в виде ГУ ломает жизнь людям !
PS А что касается МАКСа, то я уже о парочке глюках в МАКСе (винда7+хром) чиркнул в поддержку. Первый (проблема с малым размером в 4К поля сообщения) обещали поправить; второй глюк: его ИИ в виде робота, так и не мог понять,что означает фраза "Текст из буфера обмена не вставляется в поле сообщения по нажатию кнопки "Вставить" из popup-меню поля сообщения, но работает по Shift-Insert".
Тебе не кажется, что мах как раз в такой же комбайн хотят превратить? Видать ты слеп к сожалению. Но меня в этой ситуации больше всего раздражает принуждение, и то что во всем виноваты мошенники. При том, что от мошенников у меня в телефоне больше сотни номеров в черном списке и ни одного в мессенджерах (Телега, Вацап). Минцифры - Дайте нам статистику, как ваши блокировки действуют, сколько злоумышленников поймали?? Народ требует отчета
Тогда действуем, как пишет МАХ "Новый вход в MAX Обнаружили вход в профиль с вашим номером телефона ...... Если это были не вы, перейдите в Профиль → Приватность → Сессии → Завершить все сессии, кроме текущей, чтобы предотвратить нежелательный доступ к вашим данным, перепискам и звонкам "
Классная инструкция для бабушек! 146% защита от мошенников.
Не "ограничили" и не "госуслуги", это популярная всеобщая айтишная тенденция связывать всё со всем и запихивать в один суперапп.
Другого уже не будет.
Это в дальней перспективе. А тут цель гораздо проще.
Это не "цель", а реальность. Другой не будет.
Что значит не будет? А куда она исчезнет?
Процесс перемещения в другую реальность может усложниться, но это уже другой вопрос.
Речь не о том, есть что-нибудь другое или нет, а о том, что обсуждаемая тема это не какое-то внезапное ограничение, возможное лишь на госуслугах и в рамках особого русского пути.
Связывание всего со всем, это популярная отраслевая практика, считающаяся не ограничением, а модной фичей. Удобством и пользой для пользователя.
Нет, в других странах я не видел анально-огороженых госуслуг, на которые можно зайти только через православный (католический?) мессенджер. Возможно такие есть, какой-нибудь Китай, но за ним повторять такое себе.
Способы войти в аккаунт в местные госуслуги Швейцарии
Они кто? Православные мессенджеры? Или госуслуги?
Госуслуги есть. Мессенджеров, обычно, нет. И хорошо.
Швейцарский e-id полностью опенсорсный (https://github.com/swiyu-admin-ch) и все ключи там хранятся локально на устройстве: https://www.eid.admin.ch/en/technology и https://swiyu-admin-ch.github.io/introduction/
Тысячи раз всем, кто заявляет что он полностью опенсорсный, в интернете предъявляют одну и ту же претензию: докажите что код в репозитории и работающий код - один и тот же. Никто, на сколько я знаю, это пока надёжно не доказал.
Если речь о вашем устройстве, то просто компилируете сами из репозитория. Разве нет?
Просто это мало кому было реально нужно, вне каких-то кошмарных репрессий.
Это будет только половина - на моём устройстве будет клиент. Серверная часть так и останется покрытой мраком. Ну и репрессии не при чём - Телеграму эти претензии предъявлялись с первого дня, до эпохи когда РКН начал портить интернет.
Интереса ради, а какое доказательство, хотя бы в теории, могло бы быть для серверной части? Пока что это звучит как заведомо невыполнимое требование, но я вполне могу чего-то не знать.
Ну смотря что хочется. E2E шифрования и чтобы не видели содержимого - анализа клиентской части хватит. Чтобы никто не знал с кем вы общаетесь - тут увы, если коннект через сервер, то почти всегда он может знать.
Хотя вроде есть технология описанная еще в Шерлоке Холмсе (общение через объявления в газету) - вы пишите в общий канал сообщение, его читает ваш корреспондент, а видят вообще все. Чтобы все видели, но не читали - оно шифруется открытым ключем корреспондента.
В общем из анализа клиента должно быть видно, что сервер - тупой транспорт, не имеющий доступа к тому, что вам важно.
Чего хватит hullaballoo я не в курсе.
Мой вопрос всё-таки в первую очередь относится к тому, что было сказано парой комментариев выше:
докажите что код в репозитории и работающий код - один и тот же.
И я пока не понимаю, как это в принципе возможно для серверного кода.
Хотя вроде есть технология описанная еще в Шерлоке Холмсе (общение через объявления в газету) - вы пишите в общий канал сообщение, его читает ваш корреспондент, а видят вообще все. Чтобы все видели, но не читали - оно шифруется открытым ключем корреспондента.
Это асимметричная криптография, да. В процессе такого обмена можно выработать общий секретный ключ и дальше шифровать сообщения им что заметно упростит сложность без удара по стойкости.
И я пока не понимаю, как это в принципе возможно для серверного кода.
Что касается доказательств - я, откровенно говоря, тоже пока не представляю как бы это можно было строго доказать. Знал бы - уже бы писал диссертацию.
При этом факт незнания строго доказательства, или невозможности такого доказательства, на данном этапе проблему никак не умаляет. Любой производитель клиент-серверных решений может сколько угодно заявлять об открытости, доверии, аудитах исходного кода сообществом, но в продуктиве у него будет на серверной стороне работать шпионский комбайн и никто ничего не узнает. Пользоваться такими решениями или нет - вопрос доверия каждого конкретного пользователя, но аргумент открытости кода, на мой взгляд, не должен приниматься в этом контексте.
Это асимметричная криптография, да
Не просто ассиметричная криптография, а дополненная общей стеной. Например в телеге даже в секретном чате, пусть он будет сколько угодно честным e2e сервер знает, кто на этот чат подписан. И если вы устроите спиритический секретный чат с Усамой Бин Ладеном, то вас можно брать за связь с террористами не читая сообщений.
А если вы на стене Цоя рисуете крякозябры и про это выходит репортаж по в новостях - то никто и никогда не догадается, кому вы оставляли это послание.
... в телеге даже в секретном чате, пусть он будет сколько угодно честным e2e сервер знает, кто на этот чат подписан. И если вы устроите спиритический секретный чат с Усамой Бин Ладеном, то вас можно брать за связь с террористами не читая сообщений.
Чисто теоретически, если у вас настоящий e2e и p2p, то сервер может отдавать каждому клиенту справочник подключенных к нему в данный момент абонентов с данными для р2р подключения (реализация протокола за скобками, но в первом приближении выглядит как bittorrent). В таком случае спиритические сеансы останутся недоступны для сервера.
А стена Цоя из вашего сообщения, или книга из Конан-Дойля - это просто доверенная третья сторона, упрощённый её случай.
Но это всё выходит за рамки нашей дискуссии о доказательстве идентичности работающего в проде кода лежащему в репозитории.
В том и прикол, что не доверенная. Я пишу вам письмо, подписываю своей подписью и шифрую вашим открытым ключем. После этого я могу написать то, что получилось на стене, в газете, на бумажке, свернуть в трубочку и кинуть в море, передать жужжалкой на всю планету вместо котовоина.
И при этом быть уверенным, что прочитать это сможете только вы, и вы при этом будете уверенны, что сообщение от меня. Ну если только мы сумели надежно обменяться открытыми ключами.
Но действительно это уход в сторону от проверки серверной части. Хотя не сильный - этот алгоритм это демонстрация того, что вам может быть не важен код серверной части с точки зрения безопасности.
Хотя хитрый "дуров" может конечно в опенсорсе держать тормозную реализацию сервера, а у себя иметь оптимизированную и быть уверенным что сумеет обогнать конкурента, который решит открыть свой бизнес с его опенсорсным серверным кодом.
Так при правильном клиентском - это вам просто не нужно. Вы же с закладками прослушками и деанонимизацией бороться хотите? Для этого достаточно описания протокола, которое докажет, что сервер не может повлиять, лишь бы работал, клиентской части без закладок и вуаля - проверки клиента достаточно.
Это скриншот с десктопа или со смартфона?
А есть разница? Это браузер просто.
А есть разница?
Вы пишете " на которые можно зайти только через православный (католический?) мессенджер. ", но нет - не только через него.
Можно через браузер с десктопа.
А вообще, то что Вы показали, это как раз таки то о чём я говорю - связывание всего со всем это популярная отраслевая практика.
С моей точки зрения, к таким сервисам доступ должен быть только по одному логину-паролю, без вороха других сервисов, за которыми тоже надо следить.
Можно через браузер с десктопа.
Пока да.
Но, учитывая тенденции, я бы не надеялся что и это не выпилят. Лягушку варят медленно.
А вообще, то что Вы показали, это как раз таки то о чём я говорю - связывание всего со всем это популярная отраслевая практика.
Нет, это называется децентрализация и федерализация.
Некоторые кантоны тут имеют свои независимые системы авторизации - и их поддерживают. Плюс какие-то федеральные типа AGOV и более старого CH-LOGIN.
Но, учитывая тенденции, я бы не надеялся что и это не выпилят. Лягушку варят медленно.
Выпилят, конечно же. Сейчас тенденция на перетаскивание пользователей в апликухи, что по факту делает обязательным наличие вроде бы необязательного смартфона.
Никто же не будет поддерживать веб-версию ради парочки конспирологов, когда все нормальные люди уже давно установили себе приложение.
Это вся отрасль такая.
Да бесит, что теперь в принципе бумажные доки не получится... недавно покупали квартиру пару смс и я владелец, перевод денег... только прикол что номер даже не на меня зареган... а паспорт они даже не спросили. Это прям забавно.
Ну вообще-то будут, потому как бОльшая часть приложения – та самая веб-версия. Плюс нужна веб-версия для десктопа, не всегда удобно пользоваться телефоном.
Но, учитывая тенденции, я бы не надеялся что и это не выпилят.
я на госуслуги захожу через ЭП от налоговой, правда она там подписывать ничего не дает, но штрафы гаи посмотреть можно.
Но, учитывая тенденции, я бы не надеялся что и это не выпилят. Лягушку варят медленно.
Чёт огоньку подбавили в последнее время.
Ага только покажите мне по функционалу что то похожее за рубежом:)? Все что я в ЕС заполнял или Америке очень устарело по сравнению с РФ приложением.
Да всё что надо есть и не хуже наших госуслуг. Оно просто более децентрализовано.
Да и тут, в принципе, гораздо меньше бюрократии, по крайней мере в Швейцарии.
Я этими госуслугами пользуюсь крайне редко:
в налоговую зайти раз в год заполнить декларацию
иногда нужно заказать справку об отсутствии долгов (может раз в несколько лет) - для аренды квартиры и всякого такого
Больше ничего вспомнить не могу особо.
В Финляндии подобная система авторизации, только используются айди банков. Ещё можно считывать данные с чипа паспорта, но там уже нужно покупать специальную приблуду для этого.
С учётом функционала госуслуг появляется дополнительное пространство для мошенников. Исходя из этого лучше держать котлеты отдельно от мух. От навязывания толку мало, надо сделать не хуже чем у конкурентов и вернуть доверие. Люди сами придут, если выполнять обещания.
С учётом функционала госуслуг появляется дополнительное пространство для мошенников.
Так это вся отрасль такая, никаких других разработчиков и традиций уже нет. Тут принято всё со всем связывать, подключать "облачные хранилища", пылесосить данные. После чего, идут закономерные утечки и в интернете возникает веб-сайт с поиском ваших заказов в доставке.
Вы только сейчас поняли, что это ведёт к рискам для пользователей?
Ну, с добрым утром.
Про такой лютый скам я не слышал, особенно в государственных сервисах.
Но и в коммерческом свежезабаненом вацапе например нихрена не появилось за 15 лет. Так что нет - степень охреневания везде разная.
Вацап это то, который вынуждает Вас постоянно обновлять приложение?
Телеграмм это тот, который не показывает часть сообщений, если Вы не обновились?
F***k , который сперва затащил людей в мессенджер, а потом сказал "теперь ставьте отдельное приложение?
Куча сервисов, включая банки, у которых в апликухах есть функционал, которого нет в веб-версии?
В 2025 году мир устроен именно так.
Государственные сервисы пишут не какие-то отдельные разработчики, выращенные в пробирках, а ровно такие же люди как и все остальные, выросшие в условиях, когда разработчик вправе принуждать устанавливать и обновляться по любому капризу разработчика.
У вас раздвоение личности или у вас там целый отдел кремлеботов на одном аккаунте? Сначала вам "не нравится" объединение а потом вы "жалуетесь" на вацап отдельно от мордокниги. Тут надо или крестик снять или трусы одеть.
мордокниги у меня нет, а вацап есть и это меня полностью устраивает. объединят - найду другое решение. обновления бывают, но я редко сразу обновляюсь. обычно обновляю всё скопом раз в пол года - год.
никто мне никакой скам не пихает, на втором смартфоне у меня даже гугла нету.
телега как раз ублюдочна своим ненужным мне лично хламом. она сделана для рекламодателей а не для пользователей, как львиная доля инета.
Не вижу для себя ни удобства, ни пользы - значит, свою отраслевую практику могут применить сами к себе как хотят )
Меня не касается.
Осторожно, эдак ведь можно и западных светочей, занимающихся тем же самым, задеть. Не рефлексируем, распространяем повесточку про плохой рунет.
Не "ограничили"
Именно что ограничили. Раньше можно было, теперь нельзя
и не "госуслуги"
Именно что госулуги и ограничили
это популярная всеобщая айтишная тенденция
Однополая любовь тоже в определенный кругах популярна, но мы тут вроде русские православные люди и против такого.
Все адекватные люди за.
но мы тут вроде русские православные люди и против такого.
Предлагаете остановить прогресс? :)
Предлагаю думать головой о последствиях перед тем, как что-то внедрять. Но для вас прогресс важнее
Для кого нас?
"Вас" это тех, кто однополую любовь прогрессом считают
Что я думаю по этому поводу, легко узнать по моим комментариям здесь и моим текстам в профиле :)
Я именно это и сделал: прочитал ваш ответ на мой комментарий, и сделал единственный логичный вывод из него. Из других комментов можно сделать вывод, что вам нравятся перемены как самоценность. Прогресс ради прогресса. Будет хуже или лучше, вас мало волнует. Будем прыгать из одного супераппа в другой, следуя моде. Я правильно вас понимаю?
мы тут вроде русские православные люди
Кто мы? В подобающем большинстве, те, кто знает в техническую науку ИМХО - Атеисты-Агностики. А это весь Хабр (ну кроме НR) - Их тут процентов 5, но активности, как на все 30.
...ну и ботов
Это не "ограничили", это "повысили безопасность", просто мы еще не осознали своего счастья
Андроид, приложение Госуслуги, минуту назад. Зашел, никакого Max не спросило. Я как-то неправильно захожу?
Не попали в тест-группу.
Или должен быть СКАМ установлен и это проверяется. Но тогда вопросики к Госуслугам. Как они пробивают правильное устройство, на которое присылать уведомление.
Ну у меня, например, спрасило, но не настаивало. Предложило войти по логину и паролю, как в вэб версии, потом придумал 4-х значный код (странно, вроде раньше вводил, но сейчас как будто сразу после установки приложения)
Ага, неправильно. Если настроен вход по опечатку/пину, то не просит ничего. Попробуйте разлогиниться и заново авторизоваться. Вот тут сюрприз и поджимает. Аналогично потребует макса при входе в стороннее приложение через Госуслуги (налоги например) - там покажет окно авторизации и потребует привязать макс.
Обход пока существует - в профиле безопасности Госуслуг переключить второй фактор с смс на одноразовые коды из приложения-генератора
Не дадим врагам счастья помешать планам Благодетеля по запуску Интеграла!
Для входа через Эцп не требуется вроде ещё
Проявили заботу, так сказать, дали выбор. Или ставь себе стукача, или ходи с кнопочным( хорошо не с дисковым )
Кнопочные телефоны товар 2026 года в России.
Подождем. Такими темпами летом 26го еще напишут, что в связи с достоверными сведениями опросов населения Мах установлен на 102% мобильных устройств в России и является обязательным компонентом входа в госуслуги. Конечно же остается недискриминационная политика предоставления услуг в ведомствах при личном посещении по паспорту.
остается недискриминационная
Не, зорг, не остаётся - большинство гос сервисов стараются всех завернуть в госуслуги затрудняя или исключая иные способы взаимодействия. Налоговая со следующего года также планирует оставить только электронный способ для тех, кто хоть раз воспользовался её ЛК (конечно же в большинстве случаев через ЕСИА) и отключить даже возможность подачи заявлений на получение бумажных уведомлений о налогах по почте.
Ее все больше усложнять будут.
"В связи с участившимися случаями обмана граждан в фейковых МФЦ с мошенниками внутри было принято решение..."
А в 2027 - будут дисковые?
Кнопочные телефоны товар 2026 года в России.
Ну, вообще-то.... Вспоминаем новости про обязательность производства SIM-к на территории России. А так же то, что в SIM-ку можно, если захотеть установить приложение-авторизатор. И оно даже работать будет на кнопочных (смотри SIM-меню - это интерфейс к таким), то таки да, возможно.
Более того, если это приложение начнут в SIM-ки вшивать и авторизовывать будет именно SIM-ка, а не номер телефона, я, пожалую, соглашуюсь, что это будет улучшение ситуации.
С компа заходит нормально по смс
Это пока заходит. Я тут в отпуск выехал,а симку заблокировали. Роуминг не регистрируется, всегда "вне зоны доступа". Так что нет никаких смс ни от госуслуг,ни от сбера,ни от яндекса в почту войти. Ни-че-го.
Почему заблокировали и что было дальше?
Ближайшие дней 10не понятно. Первый день был роуминг и значек R на симке (МТС) вкупе со второй е-сим для локального интернета, а через пару дней отключился значек R на МТС и всё сдохло полностью. Симка просто вне зоны доступа вообще всегда. На любом смартфоне в любом режиме с любым локальным оператором. Они её тупо не регистрируют в сети.
Видимо будет "идите в офис ножками" по приезду.
В личном кабинете всё активно, роуминг разрешен, баланс положительный, никаких сообщений нет.
Судя по всему, пора (а вам поздно) перенастраивать на TOTP.
скорее всего в заявлении на выезд на госуслугах свой номер телефона неправильно указали, будьте внимательны в следующий раз. привет вам из будущего
Да и по ТОПТ нормально, зачем макс с СМС нужны?
Зачем вы используете смс, когда госуслуги позволяют подключить ТОТР?
Очередная принудиловка людей пользоваться частной поделкой?
А когда мобильный телефон стал обязательным при получении примерно всех услуг, Вы где были.
А когда куча функционала уползла из веб-версий в апликухи, что делает почти обязательным наличие смартфона?
Пока на хабре заливали про "самый удобный в мире финтех", я в это время собирал чемоданы.
Кстати, с банковскими приложениями в России ещё по-божески. Какие-никакие, а довольно работоспособные веб-версии есть у всех российских банков, с которыми я имел дело. А у многих заграничных банков веб-версии нет вообще, только приложение...
Тут надо сказать спасибо санкциям и Apple ;) Банки вынуждены сделать веб-версию и даже PWA, чтобы не потерять клиентов с айфонами.
Да нет, afaik ещё до санкций российский банковский сектор был в этом плане одним из лучших. Вероятно, из-за того, что начал развитие в этой области, когда западные уже собрали свой комплект граблей и перестали развиваться – "работает – не трогай".
Какие-никакие, а довольно работоспособные веб-версии
Но часть функций есть только в приложениях.
Кстати, у меня пару раз уже был случай, как в вебморде пропал функционал, я написал в чатик и мне ответили так, как будто речь шла про приложение. Советовали обновить.
У меня ровно противоположные впечатления, например, от канадских банков. Российские они кроют, как бык овцу, хотя бы тем, что их веб-версии сделаны для компьютеров. И тебе не пишут "данная функция доступна только в мобильном приложении". Вообще, я раньше тоже уши развешивал, когда слышал рассказы про какой-то исключительный российский банкинг. А как попробовал сам, так понял, что заграничный, как минимум не хуже, а часто лучше. Zero liability, отсутствие сторизов и прочих свистелок-перделок, нормальный человечаский кэшбек, категории которого не меняются каждый месяц, полнофункциональные веб-версии, совместные счета - только перечисленного достаточно, чтобы громко смеяться, слушая про самый лучшей в мире (нет) российский банкинг.
Вот то что Вы описываете в конце, это и есть прогрессивный нормальный банкинг, а то что Вам нравится, это исчезающее прошлое.
Нет, стадию гадюшника проходили все кто успел на этот поезд. Можно вспомнить интернет первой половины 00х. Или китайский интернет второй половины 00х.
Просто интернет-банкинг тогда был в совсем зачаточном состоянии.
Так что это не прогресс, а регресс. Что хорошо вяжется с общими тенденциями в рф - регресс и азиатский (в плохом смысле) стиль во всём.
Вы невнимательно читали. То, что я описываю в конце, это и есть то, что мне нравится. Это то, что я получил, уехав из РФ. В РФ сегодня этого нет. В РФ есть сторизы, принудительный сбор биометрии, кастрированные веб-версии и карусель категорий кешбэка, когда тебе раз в месяц предлагают выбирать между грумингом змеи и курсами эстонского танца. А ещё есть эрзац платежи мордой лица и куаркодами и попытки сделать свой вичат, завернув в него всё. Мне весь этот азиатский псевдопрогресс не нравится.
чтобы громко смеяться, слушая про самый лучшей в мире (нет) российский банкинг
Как-то вы в кучу смешали банкинг и интернет-банкинг, банкинг да, какой есть с тем и живем, интернет-банкинг это онлайн доступ к услугам банкинга, тут все нормально, в отделении банка за последние годы был однажды, и то доказать что я не идиот, снимал деньги в банкомате не по указке мошенников, но тут проблемы банкинга.
Я ничего не смешивал, это всё банковские услуги. В том же канадском банке (традиционном) я тоже был 1 раз, когда счёт открывал. Когда снимал кэш, никто не просил меня ничего доказывать, кстати. И необанки без отделений тут тоже есть и прекрасно работают. У меня есть всё, что есть в РФ, но в РФ нет того, что я перечислил выше. Как, например, в РФ открыть полноценный joint account, чтобы вы с женой оба могли распоряжаться счётом?
До войны так и было, потом пошла волна интернет-мошенничества понятно откуда. Общий счет с женой был и сейчас есть в сбере, может еще где. Если услуга востребована то ее предлагают, но если она не противоречит требованиям регулятора. Услуги банков контролируются ЦБ страны, у которого есть свои интересы.
Общий счёт сбера, это не joint account, это ваш счет, к которому вы предоставили доступ другому человеку. Юридически, владелец вы, если с вами что-то случится, доступ к счету для жены прекратится, вы можете отозвать совместный доступ и т.д. joint account, это когда люди имеют юридически одинаковые права доступа к этому счёту, у счета несколько владельцев. Эта разница ключевая, я не знаю в РФ банков, которые открывают полноценные совместные аккаунты.
Ну что вы, это же просто "рекомендация для повышения безопасности". Никакой принудиловки, вы всегда можете пользоваться версией для ПК. На телефоне. Открыв браузер
Вот тут сарказм непонятен. Принудиловка, естественно, как и с стальными. Однако если вам надо зайти на ГУ(сайт или приложение, не важно) оно у вас явно не на кнопочном телефоне. Что в мобильной версии сайта вариант смс прикоют - весьма вероятно. Однако можно просто десктопную версию сайта открыть. Вряд-ли реально отменить смс полностью, пока не запретили кнопочные телефоны.
Сам принципиально только вэб версией пользуюсь и кнопочным для таких смс.
«Менее безопасный» totp тоже отключат?
Код в приложение на тот же смартфон где приложение госуслуг. А сразу код в приложение госуслуг? не?
чем больше приложений тем больше безопасность?
Вышел секретный указ царя, что уже можно не притворяться?
Код в приложение на тот же смартфон где приложение госуслуг.
Так SMS у большей части народа - тоже. Так что с этой точки зрения все равно.
Но производителю MAX-а хорошо бы уже рассказать, как оно работает. То что код при привязке - это не тот же код, что для инициализации TOTP - я уже проверял. Но если они все-таки никаких сообщений не гоняют, а именно генератор в месседжер встроили (пусть и свой) -- то оно в некотором смысле улучшение будет.
Я сей час уже не за безопасность толкую.
Всё, что делает скам всё тоже самое можно вставить в приложение госуслуг и с точки зрения безопасности ничего не изменится абсолютно.
Кстати, вопрос тем, кто пользуется приложением госуслуг на андроиде, чтобы установить это приложение всё так же ублюдочно как у банков - достаточно кода из смс (скама)?
Всё, что делает скам всё тоже самое можно вставить в приложение госуслуг и с точки зрения безопасности ничего не изменится абсолютно.
Кроме тех случаев, когда они таки на разных телефонах.
Кстати, вопрос тем, кто пользуется, чтобы установить это приложение всё так же ублюдочно как у банков - достаточно кода из смс (скама)?
Да. А как еще-то? Там же учетку надо к гражданину привязывать.
А вход через Госуслуги к нему так и не прекрутили. Но частично сделали в обратную сторону, как мы видим. Чего я несколько не понимаю, ну да ладно.
Это если именно про установить и сделать учетку речь идет. Если потом, для логина - то дополнительно пароль можно поставить и email для восстановления доступа, как я понимаю.
Кроме тех случаев, когда они таки на разных телефонах.
Тут актуально ваше замечание про СМС выше.
С точки зрения безопасности в первую очередь рассматривается худший сценарий. А он еще и самый вероятный.
Да. А как еще-то? Там же учетку надо к гражданину привязывать.
я про госуслуги сами, которые на смартфоне.
я про госуслуги сами, которые на смартфоне.
Ну, если верить хелпу:
Текущий код посмотреть нельзя — если вы его забыли, создайте новый. Понадобятся логин и пароль от учётной записи на Госуслугах, а также подтвердить дополнительный вход — если он подключён
Для первоначальной привязки, видимо, так же.
Путь 'через SMS' в доверенный банк, потом восстанавливаем через него вход в Госуслуги - уже многократно обсуждали.
По оговоркам и особенностям поведения можно предположить, что ключи в Max'е хранятся локально. Скорее всего, в него прилетает сообщение «сгенерируй код», возможно, с какой-то случайной частью, а Max уже на основе этого сообщения и хранящихся локально ключей выдаёт код подтверждения.
PS Если вы всё же подключили подтверждение через Max, то ни в коем случае не удаляйте доверенное приложение, иначе всё сломается и придётся идти ногами в МФЦ.
Вы что, код приходит на самое защищенное приложение в мире!!! Доказано лучшими экспертами!
Вы что, пуши же идут через богомерзкие сервера Гугла-Эппла, а не православный ВК.
Ну они точно так же через православный вк могли бы идти сразу в госуслуги.
Сервисы пуша предоставляет телефон (Google Play и прочее от яблока), поэтому без них не так просто сделать быструю доставку сообщений.
Тот же телеграм из F-Droid идёт без пушей, ибо не завязан на гуглосервисы.
И что?
это же и на скам и на госуслуги распространяется в равной степени.
Всё так, разве что я не знаю используют ли оные пуши от гугла\яблока или у них какой-то свой механизм (long polling там или ещё что).
"Свой механизм", по идее, будет требовать чего-то в духе https://unifiedpush.org/users/distributors/ntfy/, что будет постоянно висеть в активных приложениях и не давать системе себя закрыть. Технически возможно, хоть и требует дополнительных действий от пользователя.
Да, нескрываемое уведомление - стандартный способ. Телеграм без гугловских сервисов так и делает.
Плюс это кушает батарею сильнее, насколько я помню.
Кушает батарею ублюдочное приложение. А чтобы оно могло это делать надо отключить оптимизацию в андроиде (если не отключить всё равно будет кушать, но якобы меньше, но при этом еще и будет периодически останавливаться).
У меня несколько приложений висят невыгружаемых, их влияние на разряд батареи ниже погрешности. Хотя у того же syncthing, писали что была такая проблема, но я или не заметил или мне не досталась эта версия).
у меня был культурный шок когда телефон проработал на одной зарядке месяц. Я конечно мало им пользовался, но тот же телефон только из магазина без единого установленного приложения высадил батарею меньше чем за сутки.
это еще батарея убитая
Кажется у кого-то из эффективных менеджеров очень амбициозные кпи по набору аудитории в свой новый отечественный продукт. Удобный способ, когда у тебя есть административный ресурс
Я тогда буду в МФЦ ножками ходить. Нагрузка на сотрудников МФЦ и их нервную систему вырастет в разы
Нагрузка сотрудников не вырастет - они работают с ххх по ууу с перерывом на обед.
А вот очереди - подрастут
А они сделают запись на личное посещение МФЦ через MAX, и круг замкнется.
Ходить к ним уже бесполезно. Это раньше в МФЦ можно было решить любой вопрос. А теперь они говорят, что ничего не могут, и посылают в госуслуги.
У них норма приема в день, скорее вы туда попадете через пару лет:) чем они раньше примут:)
Вы путаете причину и следствие. МАХ получил административную поддержку не потому, что он особенный, а потому что властям нужно перевести большинство граждан в отечественный сервис.
TOTP пока работает, ни с айфона, ни с веба никакой разницы не увидел.
Но по ходу недолго мне еще осталось госуслугами пользоваться)
Ладно хоть налоги дали спокойно людям заплатить до 01.12, многие в лк налоговой заходят через госуслуги.
Ну а про проверку документов при продаже алкоголя через Мах вы ещё не слышали наверно. А это уже в глубинке практикуется.
Там пока внизу тож есть кнопка "Позвать сотрудника".
Ну вот это в принципе интересная ситуация. Т.Е. я могу дите свое гонять в магазин за Пивом? надо только ей СКАМ с моими данными на смартфон грузануть?
Не... Там что-то сложнее. Биометрию потребуют, и проверять нон стоп будут (обновляя и пополняя БД, для верификации на 99%, а там уже можно и штрафы вводить, за переход дороги на красный (за 2 сек до зеленого, при пустой дороге).
В этом вижу еще один минус. Показать продавцу паспорт для верификации - это одно. Дать отсканировать QR в приложении, идентифицирующем тебя = поиметь где-то в базе данных отметку что Вася Пупкин посещал конкретный магазин в конкретное время
Так показываю карту 5ки или магнита это уже происходит. Сохраняется у них, отправляется с онлайн-чеком в ФНС. И вы можете это проверить в ЛК ФЛ.
Дать отсканировать QR в приложении, идентифицирующем тебя = поиметь где-то в базе данных отметку что Вася Пупкин посещал конкретный магазин в конкретное время
Бонусные карты, оплата банковской картой, камера в магазине, да и терминал "оплати улыбкой" тоже непрерывно смотрит в мир. Не удивлюсь, если этот терминал будет собирать данные о вайфай и блютус у всех зашедших.
Чё щас то всполошились?
Я только что покупал энергос в Монетке и мне на кассе самообслуживания предложило подтвердить возраст через Макс.
Лол, меня по паспорту с госуслуг в бар не пускали, пришлось за физическим паспортом ехать. А тут через Макс можно!
Меня вот что всегда удивляло. Есть сервис "Госуслуги". Он исходно задуман как средство взаимодействия пользователя с различными государственными структурами. И есть некий мессенджер - программа-болталка, предназначенная для общения кого попало с кем попало, например сутенёра Вовочки со своими бл куртизанками и клиентами. Как они в принципе пересечься сумели?
Мессенджер вообще не подходит для взаимодействия с госорганами. Мессенджер для синхронного общения в реальном времени, это когда пишут "Привет ты где?". Госсотрудники в рабочее время работают, они не могут бросить всё и сразу отвечать. А если они начнут так делать - они вообще ничего не наработают. Поэтому в многих госорганах, банках, организациях уже существует система асинхронных обращений, по принципу электронной почты. Там фиксируется время обработки, кто конкретно отвечал, может быть электронная подпись - так должно быть, и никаких мессенджеров не надо.
Мессенджер для синхронного общения в реальном времени, это когда
По нему звонят (синхрнооное общение в реальном времени). Что вполне практикуется(в смысле - звонки практикуются). Но тут мессджер - вместо телефона. Потому что в телефонной сети очень плохо проверяется, что звонит именно тот, кем он представляется.
Но и вообще - это вопрос интерфейса. Можно и месседжере асинхронную переписку сделать со всеми подписями и атрибутами. Вот только MAX по этому пути не идет.
в телефонной сети очень плохо проверяется
А в мессенджере лучше? Если звонит уже известный контакт - так он и в телефоне так высветится. А подмену номеров вроде как победили.
Можно и месседжере асинхронную переписку сделать со всеми подписями и атрибутами
Как ссылаться на предыдущие ответы или диалоги? В мессенджере даже нумерации сообщений нет. Цитатами - несерьезно. Вообще в нормальном обращении часто приходится много писать, на несколько страниц А4, документы разные прикладывать. Это задача не для мобильного приложения, в нем это очень неудобно делать. Подпись приделать - как? Аналитика нужна для ответов - как, выгрузку прикручивать? В итоге костыль какой-то получится, превратится в обычную почту.
А в мессенджере лучше?
В том, который 'Гос-', теоретически, лучше -- если его именно таким делают.
Как ссылаться на предыдущие ответы или диалоги?
В том виде что есть - никак. Но если для нужд официальной переписки делать, а не притворяться -- то должно быть в требованиях. Как и возможность сохранения заверенных копий диалогов, чтобы можно было локально хранить и предъявлять.
как, выгрузку прикручивать? В итоге костыль какой-то получится, превратится в обычную почту.
Да. С мелким особенностями вида "уполномченное лицо может позвонить и задать вопрос".
В мессенджере даже нумерации сообщений нет.
В мессенджерах даже датировки сообщений может не быть, а сами сообщения другая сторона может править или удалять.
Я пишу про мессенджер
Нет, не переходят.
Чиновники пусть что угодно используют, вопросов нет. Ну и Франция нынче плохой пример, они там помешались тоже на контроле всего и вся, вон GrapheneOS хотели заставить бекдор встроить, Дурова кошмарят.
Но там хоть обратная связь какая-то возможна, в отличии от.
Про остальное: я не вижу нигде, что эти приложения - единственный способ пользоваться государственными услугами. Популярны-интегрированы, ну окей. Мне кажется их там не навязывают анально как у нас Скам.
Лол, что за бред? Причём тут Line? Это все равно что сказать, что Телеграм - российский госмессенджер, потому что условный Медведев и прочие депутаты могут писать там новости.
Вы вообще в теме разбираетесь?
Line никто никого не заставляет использовать, Line просто популярен в стране. Используй что удобно и что хочется.
а подскажите, во всех этих примерах заблокированы практически все другие мессенджеры? и разве это не примеры просто популярных мессенджеров в странах, а не каких то именно государственных?
LINE — такой себе пример. Мало того, что он разработан корейцами, он ещё и популярен не только в Японии, но и в других азиатских странах. С тем же успехом можно WhatsApp назвать «американским национальным мессенджером».
Может, там больше доверия тем, кто это решение продвигает?
Есть, по крайней мере у нас народ за это голосует напрямую. И они голосуют за конкретный механизм e-ID, например, который открыт и доступен для анализа.
А Вас беспокоит именно механизм логиненья или что-то другое?
Да, меня волнует и механизм в том числе.
Сделан ли он надёжным (т.е. был ли обнародован и аудирован), сколько данных собирает о пользователях и надолго ли, есть ли альтернативы и так далее.
Вас это может удивить, но в странах, в которых мнение людей учитывается - такие приколы как "установите Скам или не будет доступа к Госуслугам" вообще немыслимы. То есть совсем, людям такое даже в голову не придёт.
Мах на госмессенджер не тянет. Где подтверждение учетки, где защищенный документооборот с подтверждением ЭЦП и юридической значимостью?
@Как они в принципе пересечься сумели?
Ну, в принципе, если эти "Госуслуги" смогли пересечься с отнюдь не государственными операторами мобильной связи, то почему бы им хоть через какую-нибудь приближенную сеть парикмахерских авторизацию не сделать? Гулять, так гулять.
На мой взгляд, единственно разумный подход, это когда государство само выдает единственный ключ к подобным госуслугам, точно так же, как государство выдает паспорт. Причем этот ключ и паспорт это физически одно и то же -- карточка с чипом, фото, и пин-кодами. И уже потом через эту карточку (засунутую в специальный считыватель, подключенный к ПК) заходим куда-угодно (в банки, регистрируем SIM-карты, и т.д. и т.п.).
Поздравляю вы изобрели укэп-токен..."велосипед"
Достал из кармана сербскую карту странца... Посмотрел на контакты чипа... Ну да, как-то так. Кардридер только нужен.
Потом вспомнил про лежащий дома российский загранпаспорт с nfc, через который можно оформить ГосКлюч... Оказывается, и в России точно так же давно сделано! Ещё и удобнее, чем в Сербии – не нужен специальный ридер.
Оказывается, и в России точно так же давно сделано!
Ммм.. не так. Госключ не позволяет залогинится в Госуслуги. Это в них надо сначала залонитися, чтобы им воспользоваться.
Но 'флешку' с ЭП действительно можно получить и использовать для входа в Госуслуги. Но дороговаты они как-то, видимо, потому что не так чтобы распространены.
Вам упомянутая карта во сколько обошлась? И ридер. В приведенном к ценам виде.
Как пересечься – ладно. Почему авторизация в госуслугах через болталку, а не наоборот?
абсолютно непонятно и бессмысленно, Вы правы. Просто государство хочет тотально контролировать все данные граждан, а чтобы это сделать, прикручивает к своему шпионскому софу нелепые фишки для других полезных сервисов чтобы принудить
Мне очень нравится, что Max Вы называете шпионским софтом, а приложение Госуслуг - нет. :)
Специально для Вас, как альтернативно одаренного, терпеливо в 5й раз объясняю, что месенджер Макс вскрыли хакеры и убедились, что он шпионит. Про приложение госуслуг такой информации не поступало. Ферштейн?
Ну один из аргументов, что мессенджеру заниматься слежкой менее палевно.
Госуслугам будет странно просить доступ к микрофону, камере, фоновой активности и чтению сообщений в вацапе (да-да, скам это может делать через доступ к экрану).
А вообще я просто не хочу и не буду его ставить. Все кто не согласен - идут в известном направлении.
Вот как раз для деловых отношений оно понятно. Вовочка не оплатил положенную сумму своей шлюхе или шлюха уклонилась от чекапа здоровья по договору и принесла десятку клиентов проблемы со здоровьем и пару разводов с разделением имущества. Кто виноват? В переписке, проходящей через государственный мессенджер всё видно, товарищ следователь разберётся.
Смотрю их уже ничего не смущает. Ну толку с перехвата смс? Нужно знать логин и пароль Госуслуг, чтобы сначала установить приложение на левый телефон. Плюс уже давно ввели второй обязательный фактор защиты. Плюс идёт уведомление на почту обо всех действиях.
Я родителям сразу свою почту в их Госуслугах указал, чтобы все операции видеть.
Да и перехват смс, становится всё менее вероятным, особенно если ОПСОСов поторопить с переходом на RCS.
Тебя просто в стойло загоняют, лол. Плевать им на ту безопасность и ниче их не смущает.
В сентябре, по приколу, согласился связать Max с Госуслугами. Коды авторизации приходили исправно.
Сменил телефон- аворизовался в Max и.... код авторизации Госуслуг не пришел (бла бла бла это не то устройство).
Пришлось идти в МФЦ (благо, почти в соседнем доме) писать заявление на отвязку Max от Госуслуг. Достаточно быстро решается/лся вопрос.
По итогу: поставить Макса на новый телефон и продолжать получать коды авторизации - не сработает. Во вском случае на сентябрь 2025. Могу снова проверить (люблю в МФЦ ходить)
Сменил телефон- аворизовался в Max и.... код авторизации Госуслуг не пришел (бла бла бла это не то устройство).
У них понятие доверенного устройства есть. (EDIT: сайт кривой, "прямой ссылки" не понял. В разделе "Безопасность" -> "Как сменить доверенное устройство")
По итогу: поставить Макса на новый телефон и продолжать получать коды авторизации - не сработает.
Смотри ссылку выше. Ставишь на навый, переназначешь... Вот если предыдущий телефон утратил - тогда проблемы, да.
Логика такого решения слегка понятна, но явно 'не надо так'.
Но большинство (потенциальных) пользователей Макс не столь компетентны (доверенное устройство, переключения типа авторизации и т.п.) и это делает новый мессенджер проблемой для его основной аудитории - обычных людей. Процесс авторизации не должен быть излишне сложным и запутанным, но достаточно безопасным и при этом все еще простым.
роцесс авторизации не должен быть излишне сложным и запутанным, но достаточно безопасным и при этом все еще простым.
Самый простой для понимания - физическими ключем. "Приложите лючную печать ваши документы к устройству, чтобы авторизоваться". Упорно не взлетает в массовом использовании (и в варианте с печатью - не делают). Из за дороговизны и отсудствия рекламы.
Особенно приятно это пользователям за границей, когда поездка в МФЦ влетит в копеечку...
"Хороших всем выходных" пожелал представитель Минцифры россиянам!
В госуслуги через макс, в макс через госуслуги. Рекурсия!
Официальный аккаунт Минцифры (Федеральный орган исполнительный власти) и так откровенно ****** в ответах, публично, о каком доверии уже вообще идёт речь.
А у вас на смартфоне есть хоть одно приложение, публичным заявлениям пресс-службы разработчиков которых Вы доверяете?
Посыл моего комментария как раз в том, что какие у меня могут быть претензии к разработчикам хомяка, карт и прочих программ, когда я читаю вот такое. А если ответить по существу вопроса в приложении Steam меня ещё не куканили
А если ответить по существу вопроса в приложении Steam меня ещё не куканили
Это очень красиво, что в качестве примера Вы используете онлайн-сервис, который Вам вообще ничего не должен и в любой момент может Вас отключить и лишить Вас доступа к тому, что Вы якобы "купили".
Прям идеальный пример.
Стим у меня берёт деньги добровольно, а госуслуги присылает штрафы и налоги ультимативно. Стим может мне предоставить развлечения когда я хочу, а госуслуги может меня убить внезапно отправив воевать. Стим я могу не использовать благо есть аналоги, а госуслуги мне навязывают потому что моими же налогами оплаченные сервисы мне иначе недоступны. Пример - чудо на самом деле.
Вы не поверите насколько просто разделить мир на чёрное и белое просто оценив что для вас добровольно, а что - нет. И это сравнение прям в точку.
Я вот не доверяю заявлениям тех кому я чем то обязан и чем вынужден пользоваться. Да им тупо выгодно чтобы я был обязан им больше. Это кем надо быть чтобы не понять?
Заявлениям тех кто мне предоставляет продукт который я могу купить или не купить таким образом проголосовав кошельком за качество мне на каком основании заведомо не доверять?
Стим у меня берёт деньги добровольно, а госуслуги присылает штрафы и налоги ультимативно.
Если штрафы дорожные, то Вы добровольно выбрали быть автовладельцем.
А налоги прекрасно решаются и без госуслуг. Или Вы про это не знали?
З.Ы Штрафы, кстати, тоже без госуслуг прекрасно оплачиваются. Или Вы не знали?
Вы не поверите насколько просто разделить мир на чёрное и белое просто оценив что для вас добровольно, а что - нет.
Я верю, верю.
Это очень удобно разделить мир на "наши тоталитарные принуждения" и "их добровольные услуги".
Да может в любой момент. Вот как с 2007 года первый аккаунт завел так и живу в ожидании и дождался того, что мне скорее собственная страна доступ закроет, чем этот онлайн-сервис.
2007...неужто с лефт фо Дед началось? Или таки ксс?
Как оплата? Проблем нет?
Как оплата? Проблем нет?
При всём уважении это уже не серьёзно, вы действительно хотите возложить ответственность на невозможность прямой оплаты на Steam?
А что касается оплаты, полюбопытствуйте многие игры / программы как были доступны, так и остались вне зависимости как это к себе в аккаунт добавить и по тем же региональным ценам, у нас тотальный блок только русских игр для русских пользователей аля Atomic Heart и Pionner, но стим тут опять же не причём.
При всём уважении это уже не серьёзно, вы действительно хотите возложить ответственность на невозможность прямой оплаты на Steam?
Я говорю о том, что могут отключить.
За неуплату, за то что боты сочли Вас мошенником, за кучу всего ещё.
В Стима есть механизмы накуканивания пользователя и нет перед пользователем никакой ответственности.
Если Вы в гололёд никогда не падали и не ломали ногу, то свойства гололёда от этого не меняются. Просто Вам ещё случай не выпал.
Какой там орган, презик по телеку свистит как дышит
Официальный аккаунт Минцифры (Федеральный орган исполнительный власти) и так откровенно ****** в ответах, публично, о каком доверии уже вообще идёт речь.
Ахаха! Смешно, но слишком ТОЛСТО! 😀
Заходим с ПК и настраиваем TOTP авторизацию.
Воистину.
Да, ссылку с секретом лучше сразу эабэкапить каким-нибудь надежным способом, хоть сархивировать с паролем и распечатать на бумаге в Base64
Что за ссылка? Где почитать как работает "на пальцах" этот ваш TOTP и что мне бэкапить, чтобы в блаженном неведении не потерять доступ при переустановке например Android?
Для андроида кто-то еще расскажет, я могу про ios ;)
Заходим в родное приложение Пароли, там есть раздел Коды, жмем плюсик внизу, и указываем "сканировать QR..." или вводим ключ настройки руками. Для госуслуг сканируем QR код и указываем приложению, к какому логину этот код повесить в дополнение.
После этого для получения разового кода надо будет зайти в Пароли, выбрать раздел Все и зайти в сохраненный аккаунт госуслуг - код будет уже там вместе со шкалой, показывающей, сколько этому коду осталось.
Чтобы сбэкапить секрет, надо в аккаунте нажать Изменить, и выбрать там - "скопировать URL-адрес для настройки", в буфер уйдет строка вида
otpauth://totp/Gosuslugi?secret=EUJFNBSKVFSKLDVLKJE23NFSDLFKLKSDFSDNV&issuer=%D0%93%D0%BE%D1%81%D1%83%D1%81%D0%BB%D1%83%D0%B3%D0%B8&algorithm=SHA1&digits=6&period=30
По которой можно будет настроить TOTP на другом телефоне. Или просто получить код онлайн на сервисе типа https://www.authgear.com/tools/totp-authenticator
Гугл аутентификатор сам втихую бэкапит в облако. Потом при переустановке после входа в учетку все сохраненные сервисы сами появляются, ничего делать не надо.
Но мне это само по себе не очень нравится, плюс из него эти секреты плохо экспортируются в другие манагеры. По этому я бы лучше какой-нибудь keepass использовал и бэкапил его базу в зашифрованном виде явным образом.
Гугл аутентификатор сам втихую бэкапит в облако.
Хм, неужто сбор чемодана не решит проблемы ибо это не какая-то особая российская злобность, а просто отраслевая обыденность?
Бухаешь?
Нет, и, как легко заметить по моим комментария, трезв не только алкогольно, но и трезво смотрю на перспективы развития отрасли.
З.Ы. Кстати, оказалось, что нифига не легко, мне тут в комментах стали предъявлять, что я за безудержный прогресс.
Тогда какой смысл у того комента? Каким боком чемоданы относятся к гугловому генератору TOTP?
Смысл коммента в том, что слова "Гугл аутентификатор сам втихую бэкапит в облако" это как раз то самое о чём я говорю - в отрасли сложилось много интересных практик, не зависящих от конкретной страны и не устраняемых собиранием чемодана.
Мессенджер Макс, на фоне всего остального, вообще не впечатляет.
Гугл аутентификатор сам втихую бэкапит в облако"
Когда он не бакапил - им никто не хотел пользоваться и люди бывали неприятно удивлены, когда теряли TOTP коды при переезде и, соответсвенно, доступ.
В конце концов Гугл сдался и прикрутил эту способность.
То, как это обосновывается в рекламе, совершенно не важно. Интересно, познавательно, поучительно, но не важно.
Важно лишь то, что функционал "мы зальём ваши данные к себе на сервер" становится отраслевым стандартом.
Для моего удобства, конечно же, и в рамках неизбывной заботы о миллионах пользователей, производители софта согласны принять на себя тяжкое бремя оплаты серверного хранения, которое у них никто не просил.
Ну и рядом идёт процесс принуждения к обновлению. Так что, если сейчас а программе нет серверного бэкапа, то завтра он появится, после завтра будет включён по умолчанию, после-после завтра станет неотключаемым.
То, как это обосновывается в рекламе, совершенно не важно.
Да где там рекламы. От него реально все подряд отговаривали именно по причине того, что он синхронизировать не умеет и вопрошали WTF, Гугл?
Так что насчет 'никто не просил' - это зря.
Давайте сойдёмся на том, что моё "никто" и Ваше "все подряд" это гипербола и вопрос выборки.
что моё "никто" и Ваше "все подряд" это гипербола и вопрос выборки.
Это, конечно, так.
Но голый WebAuthn тоже упорно не взлетал. Его пришлось в обертку Passkey-ев обернуть и синхронизацию между устройствами в стандарты записать, чтобы сервисы хоть как-то (и то все еще с большим скрипом) внедрять начали.
Так что есть основания счтитать, что для кредов синхронизация (и, соответственно - заливка в какое-то облако шифрованного блоба с ними) - более-менее универсальное желание.
Я пополню выборку: сам ушел с google authenticator еще лет 10 назад, потому что устал бекапить приложуху через TWRP. А терять доступ к сервисам из-за поломки телефона не было желания вообще никакого. Перешел сначала на Authy, потом, когда тот скурвился - на ente auth.
Ну как бы люди вообще просят "а давайте без пароля. Ну или я на бумажке запишу, но пусть он сам появляется в приложении". Про мошенников плачут уже после взломов.
Просто последовательность действий:
Мы даем вам безопасность. ТОПТ только у вас на устройстве и никто его не возьмет, поэтому он отличный второй фактор, который защитит ваш пароль
Ой, вам не удобно, поэтому мы бэкапим ТОПТ в облако, и зная пароль вы всегда можете его восстановить, зная пароль.
И все делают вид что не видят противоречия мжду "он отличный второй фактор" и "вы [и не только вы] всегда можете его восстановить"
в облако, и зная пароль вы всегда можете его восстановить, зная пароль.
Другой пароль. Не от того сервиса, что TOTP защищает. Так что с точки зрения этого сервиса два фактора остается.
Кроме того - чтобы восстановить с облака, в общем случае тоже нужна многофакторная атентификация. Скажем, в нормально настроенную учетку Гугла просто так, по одному паролю, не зайдешь и ключики не синхронизируешь. И Apple-вскую -- тоже, насколько я понимаю.
В общем случае у вас многофакторка на топте, так как почта и смс не секурно, и потеряв топт вы или восстанавливаете его на новом телефоне без многофакторки или не можете восстановить, так как ключ от корзины с ключами в корзине. То есть есть у вас бэкап или нет - не важно. Все равно нужна бумажка с QR кодами или что там дают для восстановления.
так как ключ от корзины с ключами в корзине.
Ключ от корзины - в другой корзине. И наоборот.
Т.е. условно, бакапы TOTP от Гугла лежит в Яндекс.Ключе (и облаке Яндекса), а бакапы TOTP от яндекса (он их умеет, хотя и пытается свой вариант подсунуть) - в Google Authenticator.
А пароли от того и того(внутри зашифрованного контейнера парольного менеджера) - на микрософтовском диске. TOTP для доступа к которому...
Ну и так далее.
В отрасли сложилась практика, что я могу использовать любой из десятка генераторов TOTP. И никто мне их каблуком в глотку как скам не забивает. Откровенная дичь творится только в рф и еще двух с половиной странах с наглухо отбитой администрацией.
В отрасли сложилась практика, что я могу использовать любой из десятка генераторов TOTP.
А в госуслуги можно логиниться с помощью десятка этих генераторов?
Да, они работают одинаково
А зачем спорить о теме, которую вы не понимаете?
При привязывании второго фактора вам показывают qr код и строку текста, которая выглядит как рандомный набор символов. Эта строка называется секретом, коды генерятся на её основе, этот серкет нужно обязательно бекапить. Имея его, вы сможете добавить его в любой аутентификатор. У нормальных сервисов есть ещё коды экстренного восстановления доступа, но это не про госуслуги.
Если нужно приложение для телефона, советую опенсорсный FreeOPT+ https://f-droid.org/en/packages/org.liberty.android.freeotpplus/ - обязательно с +, эта версия позволяет экспортировать и импортировать секреты.
https://github.com/Kunzisoft/KeePassDX есть под Android. Он обычные пароли хранит и TOTP тоже есть.
Как это изначально сделать правильно в "этих ваших TOTP""?
Например, какое приложение выбрать, чтобы можно было просто перенести/восстановить все что нужно "на своей стороне" на другой телефон или в случае переустановки Android?
Нужно ли бэкапить что-то еще?
Например, какое приложение выбрать
Google Authenticator уже давно:
When you sign in to your Google Account within Google Authenticator on a new device, your codes are automatically synced to this device.
Если не нравится гугловый - они приблизительно все умеют бакапится и сихранизироваться, надо только прочитать инструкцию.
Ну Гугл может и накрыться, если он через облако бэкапится. Да и вообще лучше чтобы была возможность ручками тупо ключи (или что там у TOTP на клиенте) перенести!
Вот под Windows еще клиентик найти это было бы интересно. )Если бы еще и в паре с Андроидным работал без проблем.)
Да, ключи то клиентские надеюсь без проблем экспортируются в едином формате из клиента в клиент, независимо от типа клиента? (Не имел дела с TOTP.)
Вот под Windows еще клиентик найти это было бы интересно.
KeePass умеет работать с TOTP как на винде, так и на андроиде. Правда, за сохранность и синхронизацию базы данных тогда придётся отвечать самостоятельно, но это для аудитории Хабра не должно быть большой проблемой.
Да и вообще лучше чтобы была возможность ручками тупо ключи (или что там у TOTP на клиенте) перенести!
Берите альтернативный. Их хватает Aegis Auth, скажем.
Или прямо фотографируйте в надежное место QR код инициализации.
Да, ключи то клиентские надеюсь без проблем экспортируются в едином формате из клиента в клиент, независимо от типа клиента? (Не имел дела с TOTP.)
Нет. Не между разными приложениями. Но вот QR инициализации - стандартный. Альтернативные клиенты умею показывать его снова для целей "перенести в другой авторизатор".
А имея QR инициализации, сами ключи клиента уже в принципе и не нужны для восстановления доступа на.другом смартфоне?
Так это одно и то же, в QR и сохранены ключ и пераметры.
куаркод это по сути просто пароль. он многоразовый и не ограничен по времени (в отличие от есимки например). по этому его раздавать кому попало нельзя.
потом из него и таймстемпа генерится одноразовый пинкод с помощью хэш функции. это полностью офлайновый процесс. пинкод действует ограниченное время по этому его утечка не так критична, особенно если она происходит с задержкой.
Да и вообще лучше чтобы была возможность ручками тупо ключи (или что там у TOTP на клиенте) перенести
Есть такое. Тривиально через QR-код экспортируются выбраные ключи.
С гуглом проблема в том, что он не позволит вам экспортировать секреты. Если гугл решит вас забанить или уведут аккаунт, у вас будет геморрой космических масштабов.
Решаемо. В Google Authenticator есть функция переноса кодов. Можно сгенерить пачку QR-кодов, заскриншотить их и подгрузить в Google Authenticator, в котором не входили в аккаунт.
Перенести в приложение отличное от гугла - нетривиальная задача. В итоге я отказался. Потихоньку выпиливаю всё из своей жизни прямо или косвенно подвязанное на облака.
Еще мне не нравится отсутствие пароля на нём.
Это всё похоже на секс в гамаке. Я не против гугл аутентификатора, но я за то, чтобы при добавлении в него сайта, секрет прикопать самостоятельно. Так надёжнее.
Если нужно приложение для телефона, советую опенсорсный FreeOPT+ https://f-droid.org/en/packages/org.liberty.android.freeotpplus/ - обязательно с +, эта версия позволяет экспортировать и импортировать секреты.
А так, достаточно забекапить секреты, а коды генерить хоть скриптом в 10 строк на питоне на компе или в абсолютно любом приложении-аутентификаторе на любой платформе.
Отсюдв вывод, что не надо регистрировать max на номере телефона, который привязанн к госуслугам. Что у меня и сделано.
Это отдельная тема, которую я с нетерпением жду.
Я сперва хотел поступить так же, но...
Этот номер телефона зарегистрирован на Вас.
Он есть на соответствующей странице в Госуслугах?
Нет никакой проблемы прислать Вам код на любой номер, зарегистрированный на Вас.
Это же Ваш номер, который Вы не можете передавать посторонним.
Скажу больше. Ну кроме ГосУслуг, все сервисы зареганы на разные мылы. А ВК с 200х был на мэйле, как заставили привязать номер - все на левых симках.
К чему это я. Я тут звонил по объявлению, попал в бордель (симки в объявлениях зачастую одноразовые, у них часто меняются), ну извинился, номером ошибся. И месяца через 2 звонок. Вы мне денег должны - вызвали куртизанку(транса) и не заплатили... Я хихикаю и посылаю нахуй, и жена рядом сидела, слышала. Ну вместе поржали. Через минуту мне СМС с номером моей жены. "Ну типа настучу". Заблокировал.
Нашел в базе только жену, с которой 6 лет в разводе (развелись, чтоб пособия получать). И больше нихрена. А ведь, эти мошенники грозятся всем друзьям и родственникам рассказать.
Я исправил:
Отсюдв вывод, что не надо регистрировать max.
Чтож, такими темпами ожидаем массовое удаление *услуг и переход в оффлайн, надеюсь сотрудники МФЦ оценят «отличное» решение эффективных менеджеров.
Отправить смс от Госуслуг - опасно, могут перехватить.
Отправить смс от мессенджера Макс, чтобы его зарегистрировать - норм.
Ну, допустим, они вынудят людей установить его. Как они заставят людей им пользоваться? Не дадут справку 2-НДФЛ, пока не разошлешь 5 мемасиков друзьям?
Т е если кто то получил доступ к твоему аккаунту в Мах то и доступ к госуслугам сразу? Симка то хотя бы у меня в телефоне. И если симка пропала, то я хотя бы понимаю, что надо ее блокировать. А если аккаунт в Мах улетит, то я же вообще не знаю что произошло?
Ключи для генерации кодов подтверждения Max хранит локально на устройстве, так что доступ к аккаунту ничего никому не даст. Мало того, если вы случайно или намеренно удалите Max, к которому привязаны ГУ, или потеряете телефон, то вас ждёт неприятный сюрприз — на другой Max коды приходить не будут и для доступа к ГУ придётся идти в МФЦ.
Ну и нахрена это тогда нужно если можно поставить любой TOTP аутентификатор, который делает то же самое?
Отвечу сам себе: чтобы пропихнуть Скам народу безальтернативно.
TOTP выдаёт коды постоянно, а Max только по запросу, причём факт отправки запроса виден уже на всех устройствах. Так что в теории Max безопаснее, чем TOTP, потому что пользователь получает уведомления о событии генерации кода подтверждения (а на практике — хрен его знает, насколько качественно всё реализовано и можно ли ключи шифрования незаметно из приложения спереть).
пользователь получает уведомления о событии генерации кода подтверждения
Это не то событие, которое должно быть интересно. Сообщение доложно отсылаться (любым настроенным пользователем способом, плюс оставаться в логах, что нельзя почистить) о прохождении этапа логин-пароль. Потому что это уже повод напрячься, если кто-то кроме тебя может это сделать.
Похоже кто то ждёт премию за количество установок к НГ.. и ведь одобрил кто то же такой бред..
Моей маме заблочили симку за неподтверждение данных.
Оператор не смог подтвердить данные и отправил в МФЦ.
В МФЦ не смогли актуализировать данные, так-как в этот день у них не работали госуслуги.
В следующий раз в МФЦ не смогли уже подтвердить аккаунт госуслуг, потому что там якобы не всё правильно было заполнено.
Мы заново попробовали заполнить и отправились в МФЦ, но подтвердить снова не вышло по непонятной причине.
А теперь они сделали так, чтобы всё запуталось ещё сильнее. Более кретинского неорганизованного говна я ещё не видел.
Ну с паспортом и ходили, только ноль эмоций. Ничего не понятно.
Странно, у супруги при недавней сверке данные на билайновской симке вообще левые какие-то оказались - просто пришли в офис оператора с паспортом, там спросили - кто чаще всего звонил, как пополняли - и внесли данные из ее актуального паспорта.
Зачем оператору в МФЦ посылать - непонятно, МФЦ же к нему никакого отношения не имеет.
Зато заглянул в Госуслуги - и увидел там вон что, вроде раньше не было? Или было?
Да, это уже даже не некомпетентность, а какой-то хаос. Люди просто хотят подтвердить данные, а им предлагают пройти целый лабиринт из неработающих сервисов. И чем дальше, тем хуже становится
В чем разница между авторизацией в мобильном приложении МАХ, и авторизацией в мобильном приложении Госуслуг? За счет чего авторизация в МАХ является более защищенной, и почему это нельзя встроить в приложение Госуслуг?
Через приложуху госуслуг будет слишком палевно: возникнет слишком много вопросов, если госуслуги будут по пол суток висеть в активных процессах и наматывать по несколько гигов (или десятков) трафика еженедельно.
формально это второй фактор. да стандартизованный и на который вероятно на том же устройстве.
Таким "вторым фактором" может быть любое приложение, однажды активированное с помощью СМС на привязанный к Госуслугам телефон. При авторизации оно примет запрос от сервера Госуслуг, и передаст код пользователю. Чем здесь МАХ лучше? После первоначальной активации, вход в аккаунт МАХ происходит без пароля и СМС. То есть дополнительные "компетенции пользователя" не проверяются. Это неполноценный второй фактор. Какое есть обоснование использовать МАХ, а не например приложение Почты России? В нем есть курокод для получения посылок, который практически как эквивалент паспорта. А значит приложение Почты России может сформировать ключ для подтверждения личности.
Любое? А можно описание протокола которым именно привязка делается чтобы запросы принимать потом каждый.
Нет, TOTP это НЕ оно - у TOTP делается первоначальная привязка а потом у TOTP-генератора с сайтом вообще связи нет.
Вопрос был такой - почему нельзя взять то же самое что в МАХ, и воткнуть его в любое приложение, (в ту же Почту России например). Или сделать специальное приложение, в качестве "второго фактора", которое реализует одну только функцию валидации (психического состояния) личности, и изначально устанавливается с подтверждением номера телефона. Так наверно даже лучше будет - проще дыры в безопасности искать.
Если так нельзя, то объясните, что такого в МАХ-е эксклюзивного, что не реализуется отдельно от него? Об этом был первый вопрос, к людям которые хорошо разбираются в теме.
А для Скама СМС не приходят в таком же виде как для услуг?
В комментариях представитель Минцифры пояснил, что возможность войти в «Госуслуги» по СМС останется только у пользователей с кнопочными телефонами.
Проверять-то как будут?
Надо дать честное слово "Клянусь, что у меня нет ни одного смартфона"?
А если у меня смартфон был, но я его продал или потерял, то всё - в ГосУслуги больше не попасть?
А если у меня смартфон был
У меня смартфон с андроид 8, а у макса требования андроид 9 минимум. Вроде и андроид но не совсем.
Проверять-то как будут?
Так Вы из приложения на смартфоне логинитесь.
Т.е. если заходить не с телефона, то проблем не будет? Даже если я раньше уже заходил в MAX с телефона?
И что с ситуацией, когда у меня есть смартфон, но старый - на котором браузер работает, а MAX не работает?
Т.е. если заходить не с телефона, то проблем не будет?
Я с ноута через браузер залогинился без макса.
Вы же спрашиваете "как будут проверять?" - так по вам сразу видно что Вы со смартфона.
Тут надо понимать, что идея "я буду со смартфона в браузере" не нова и если сервис очень сильно захочет перетащить человека в приложение, то хитрость с браузером не сработает. Даже если включить дестопный режим.
Так. А допустим у меня смартфона есть сейчас - нет (потерялись)
Но есть (из дальнего шкала) персональный компьютер портативный (согласно инструкции). модели Nokia N82, википедия его обзывает смартфоном, программировать вполне можно (было) правда C++ там скажем так своебразный был (не осилили стандартную библиотеку сделать как нужно), с ключами подписи хитрости ну и SymbianOS, ах да OviStore появился сильно позднее. Для целей госуслуг это смартфон или кнопочник(кнопки тоже есть)? Если смартфон - там этот макс есть?
Вопрос со звездочкой :) а как быть владельцем кнопочникам на андроиде? (Xiaomi Qin F22 Pro и прочие клоны, в россии наверно на алиэкспрессе/озоне брать)
Сегодня письмо пришло с госуслуг "в максе создан чат вашего дома, присоединяйтесь". все сильно похоже что идет активный набор пользователей всеми способами чтобы отчитаться к конкретной дате, надеюсь к НГ, после этот трэш должен пойти на убыль.
Пусть идут тогда нах со своим максом и со своими госуслугами
Печалька в том что штрафы от гаи никак не узнать без госуслуг, а их лучше заплатить
Да не только в этом печалька-то.
Я оплачиваю без госуслуг. :)
не знаю как сей-час, раньше сторонние сервисы, включая крупные банки, подсовывали левые штрафы.
Сейчас штрафы (как и налоговые квитанции) имеют свой УИН (уникальный идентификатор начисления) и банки обязаны проверять его в ГИС ГМП (государственная информационная система государственных и муниципальых платежей) – если платежа с таким номером не зарегистрировано ГИС ГМП, то банк отклонит платеж. И да, банк проверяет в том же ГИС ГМП кто является плательщиком (кто отдает распоряжение на перевод денежных средств) и за кого он платит (за себя или за третье лицо).
Штрафы пришлют письмом на почту
То есть исходя из логики минцифры православный maxъ выдаёт такие пин-коды которые не могут быть переданы никому черт побери наверное я что-то недопонимаю 🤪
Там нет логики. Только приказ пихать Скам во все щели.
Думается, чтобы минимизировать количество недовольных когда страну закуклят и отключат от остального интернета (см. белые списки)
Нет там никакой логики. Есть задача любыми путями впарить это шпионское говно в телефон каждому россиянину
Есть задача любыми путями впарить это шпионское говно в телефон каждому россиянину
А чем это "шпионское говно" отличается от приложения госуслуг?
госуслуги - это просто внешний сервис. Вы не понимаете разницу между внешним сервисом и ПО, которое устанавливается локально на ваш девайс?
Вы новость читали?
В ней речь о том, что людям, которые УЖЕ установили себе приложение госуслуг на смартфон, надо будет поставить на ТОТ ЖЕ смартфон ЕЩЁ ОДНО приложение.
Что Вы скачете туда сюда? Да, я читал новость. Нравится Вам ставить себе софт, который открывает доступ к вашим перс.данным - на здоровье. А нормальные люди этого делать не будут
софт, который открывает доступ к вашим перс.данным - на здоровье
Так люди уже поставили апликуху госуслуг, что в этой ситуации меняет ЕЩЁ ОДНА апликуха?
Любезный, а Вы исследовали «апликуху госуслуг»? Нашли там шпионскую часть? Если нет, к чему этот пустой треп? Макс уже хакеры вскрыли - он получает доступ ко всем вашим данным, включая переписку. А что насчет приложения госуслуг?
Макс уже хакеры вскрыли
А почему Вы одним людям на слово вреите, а другим - нет?
включая переписку
Мессенджер имеет доступ к переписке, которая идёт через него?
А что насчет приложения госуслуг?
Понятия не имею и даже знать не желаю.
То, что Вы понятия не имеете, я уже понял)). Выше Вы писали, что нет разницы и беды в том, чтобы поставить макс, если уже стоит приложение госуслуги. Дам Вам совет - не утверждайте того, в чем не разбираетесь. Это глупо выглядит со стороны)
Это просто хайп. Сам факт получения данных и их передачи куда-либо никто не описывал, вскрыто только то что в коде есть запросы на получения разрешения доступа. Оно в других мессенджерах тоже есть https://habr.com/ru/news/945630/
Так Касперский подтвердит все, что угодно государству, чтоб не закрыли)) неужели не понятно?
Сами подумайте цель какая шпионить? Какая выгода с этого? В первую очередь макс навязали госслужащим, а у них разная инфа может быть, в т.ч. секретная, если она утечет непонятно куда - ФСБ не обрадуется.
Тут все банально - освоение бюджетных денег, не бесплатно ведь ВК макс пишет, вот и продвигают всеми доступными способами, включая ограничения работы вацапа и телеграма. Просто хотят создать постоянный поток госбабла.
Касперский подтвердит все
Печально что нет доверия ни к кому. У меня теща недавно истерику устроила, получила письмо от налоговой где налоги по вкладам за 2024 год, там какой-то БМ-Банк которого у нас в городе никогда не было. И тут началось это мошенники, говорю иди в налоговую, для нее там тоже одни мошенники, в яндексе вычитала что этот банк чуть ли не спонсор всемирного терроризма, вобщем спасибо телевизору, крыша потекла у старушки. А закончилось все просто - БМ-Банк входит в группу ВТБ и к нему присоединили банк Открытие, откуда теща забрала вклад в 2024м, но забыла.
В одну из итераций обновления приложения "Госуслуги" установил пин-код на приложение. Сейчас использую последнюю версию. Проверил. Никакого требования поставить/авторизоваться MAX не выдало, MAX на смарте отсутствует. Да, в профиле указан номер телефона, но он не является основным идентификатором для госуслуг. Возможно мой способ претендует на лайфхак: в качестве логина указывать СНИЛС, а не номер телефона – кто-нибудь проверьте мою версию. Через десктопный браузер, – да, – просит авторизоваться в MAX, но есть и кнопка "Пропустить" (о чем указано в публикации).
Пока... Пока есть кнопка "пропустить"
срок сессии в приложении полгода. Возможно, дело в этом, а не в вводе снилс вместо телефона или мэйла. Можете проверить - отлогиньтесь в приложении и зайдите заново. Это имеет смысл сделать, так как неизвестно, когда началась сессия, полгода истекают, обычно, в неподходящий момент. Логика в полгода была заложена при введении обязательности СМС.
срок сессии в приложении полгода
Да я уж не помню, когда последний раз заходил в приложение (кроме вчерашнего дня), но точно не более года назад. Потому что пользуюсь веб-версией, а не приложением.
Можете проверить - отлогиньтесь в приложении и зайдите заново.
В свете последних событий – да ну его нафиг! Работает – не трогай. Сидеть буду на текущей версии без обновления до самого упора, пока им станет невозможно пользоваться, а там или падишах сдохнет, или ишак. Специально для "адептов ИБ": я практически не пользуюсь мобильным приложением, о чем и написал выше.
, полгода истекают, обычно, в неподходящий момент
Ставлю себе в напоминалку: "Раз в квартал логиниться в мобильное приложение "Госуслуги".
1) У меня вопрос к тем, кто недоволен тем, что для логина в Госуслуги понадобится приложение Макс.
Если не секрет, а в чём проблема? Типа, через мессенджер Макс будут про вас что-то собирать, а через уже стоящие у вас Госуслуги не будут? Макс это "стукач", а Госуслуги нет?
2) Для тех кто считает что Госуслуги это безальтернативная система для оплаты штрафов и налогов.
Налоги прекрасно платятся через nalog.ru
А про штрафы мне сообщает банк, через который я один раз оплатил штраф. И, кстати, вот этот факт выглядит гораздо более стрёмно, чем мессенджер Макс. Банк имеет доступ к этим данным и сливает их другим людям.
Полагаю, все дело в жестком протекционизме и акценте на суверенитете. Привет всему отечественному автопрому и электронной промышленности, живущей исключительно благодаря государству. ИМХО, хотите поддержать отечественного производителя, делайте как сделали корейцы, китайцы, японцы - заманивайте инвесторов, поддерживайте предприятия, производящие товары на экспорт. Но это все сложно, долго и нудно. Видимо, руководство решило, что знает лучший способ развития. Что ж...
До "похмелья" после такой политики, многие из принимающих решения не доживут. Плюс, у некоторых жителей уже сформировалась правило: "Если кто-то из власть имущих призывает к чему-либо, то это ни в коем случае не нужно делать". За примерами, думаю, далеко ходить не нужно.
Так это уже и есть похмелье, после безудержной радости о том, какие чудесные чудеса можно делать с помощью волшебной цифровизации.
Так это уже и есть похмелье
Да ладно вам, какое там похмелье... Яндекс какую-то прибыль ещё показывает, сбер ещё дышит, автоваз работает, роснефть с газпромом что-то добывают, экономика пока не перешла в стагфляцию.
безудержной радости о том, какие чудесные чудеса можно делать с помощью волшебной цифровизации.
Это да, ещё цифровой рубль подвезут через год, вот это будет пушка. Всем, кто горд за отечественный финтех, понравится. Ну пока они не стали инагентами...
Проблема не в том, что "Макс стучит", а в том, что нас ставят перед фактом. Был рабочий способ через СМС, взяли и прикрутили обязательный мессенджер. Люди обычно психуют не от технологии, а от того, что у них отбирают выбор
а в том, что нас ставят перед фактом
А когда террористический фейсбук ставил перед фактом, что нужно ставить отдельное приложение Мессенджер, это было проблемой?
Был рабочий способ через СМС, взяли и прикрутили обязательный мессенджер.
Вы сейчас описали обычную практику в айтишной отрасли, когда постоянно что-то прикручивают, откручивают, заменяют и говорят что это прям обязательно и неизбежно.
Раньше этой проблемой не было?
Люди обычно психуют не от технологии, а от того, что у них отбирают выбор
А чё люди только в 2025 году психовать начали?
Вот например необходимость где указывать номер телефона она уже давно есть, почему по этому поводу не психовали?
Или я не понимаю и это другое?
А когда террористический фейсбук ставил перед фактом, что нужно ставить отдельное приложение Мессенджер, это было проблемой?
Ну в общем-то да, "fuck facebook messenger" - довольно популярный тип поста во времена, когда его вводили.
Вот например необходимость где указывать номер телефона она уже давно есть, почему по этому поводу не психовали?
До сих пор психуют, даже прямо тут, на хабре. Требование двухфакторки через СМС по сей день появляется в самых разных сервисах и вызывает недовольство.
Или я не понимаю и это другое?
Да нет, то же самое. Просто вы с выдуманным в своей голове человеком воюете.
Если не секрет, а в чём проблема?
достаточное условие вполне. никто вам не обязан обосновывать свой отказ от скама. просто хотя бы чтобы не тратить время на споры с ботами на зарплате.
Не секрет. Подобное агрессивное навязывание у нормальных людей не вызывает ничего, кроме отвращения. Всё остальное – детали.
И давно Вам не нравится, что Вам что-то навязывают?
Что такого произошло в 2025 году, чего не было раньше?
Давно, конечно. Не в Максе суть, но это очередной раздражитель.
И потом, не надо передёргивать (я про вашу ссылку). Дело не в том, что кто-то решил "подвинуть кнопочки или перекрасить иконки", а в том, что гос-во устанавливает тотальный контроль над информационной сферой, включая частную переписку, выдавливая и запрещая всё неподконтрольное. Никакого отношения к прогрессу и удобству это не имеет.
Шах и мат, дорогой народ...
Фишка в том, что макс не привязывал. Сейчас пишет при входе, что отправил сообщение, но оно не приходит. Неделю уже так
Ну если даже на Хабре это скотоговно так рьяно защищают - то лучше никогда не устанавливать ни скаМ, ни Госуслуги на свои устройства. Хватает и браузерных версий.
А покажете тех кто защищает?
В зеркало посмотрите
А покажете, где я тут что-то защищаю?
Мне неинтересно общаться с субьектом, не отвечающим на вопросы. Вы только бессмысленно говно на вентилятор накидываете
Вы общаетесь не со мной, а со своими фантазиями.
И, как легко заметить, я отвечаю на вопросы. Зачастую, отвечаю предельно прямо.
Чтобы рассмотреть в моих ответах защиту обсуждаемого мессенджера, это надо прям очень постараться.
Ну так давайте без пустой болтовни, друг сердечный. Дайте пруфы на вашу информацию о том, что приложение госуслуг шпионит и крадет данные пользователей
Я не говорю что оно шпионит или не шпионит.
Вообще, в 2025 году, говорить о том, шпионит за вами приложение или нет, это даже не смешно.
Я спрашиваю, почему люди уже поставившие себе одно госприложение вдруг недовольны тем, что им надо ставить ещё одно госприложение.
Когда люди вообще не ставят себе никакое госприложение, это понятно.
А тут то в чём разница?
Разница хотя бы в том, что никакого навязывания установки госуслуг в каждый утюг не было, в отличие от этого сраного макса. Вас это не наводит на размышления?)
Я спрашиваю, почему люди уже поставившие себе одно госприложение вдруг недовольны тем, что им надо ставить ещё одно госприложение.
Я не ставил. Зашел на телефоне через браузер, ввожу логин-пароль, код из СМС и мне вылазит требование поставить макс.
Не обращайте внимание, там явно уже старческие изменения
Нет, ну товарищ упорно гнет свою странную линию) Я просто пытаюсь понять логику, пока не получается. Наверно, это один из пиарщиков макса
Нет, ну товарищ упорно гнет свою странную линию)
Причём, как резко заметить, свою линию он гнёт не первый год.
Я просто пытаюсь понять логику, пока не получается.
Так это очень просто. Надо просто читать то что я пишу, не добавляя к этому своих фантазий.
Попробуйте. Может у Вас получится.
Какие фантазии, что за бред Вы несете? Вот я читаю Вас - раз установили госуслуги, то и макс можно до кучи. Спрашиваю Вас, откуда такие сведения про госуслуги. Оказывается, Вы не в курсе. Ну не в курсе, зачем Вы эту чушь пишете тогда? Вы сначала войдите в курс, а потом выступайте))
Надо просто читать то что я пишу
Практика показывает, что это невозможно (точно так же, как невозможно услышать то, что человек говорит), из-за ограничений естественного языка. Грубо говоря, не все те смыслы, которые человек пишет, присутствуют в конечном тексте. Что-то в любом случае требуется додумывать, иначе картина получается или очевидно неполной, или противоречивой.
Не обращайте внимание, там явно уже старческие изменения
100%
В силу возраста я помню с чего всё начиналось и как развивалось.
И очень смешно наблюдать за тем, как люди в 2025 году вдруг обнаружили, что их принуждают ставить какие-то приложения, использовать какую-то другую авторизацию и вообще считают просто кормом. :)
возможно у меня тоже старческие изменения, но я не заметил ни одного сообщения которое бы началось со слов "я вдруг обнаружил... " или "ничего не предвещало..."
Или это вы сами придумали и сами посмеялись?
Хотя даже если "вдруг", то что, теперь им надо заткнуться и молчать? так у вас в методичке написано?
Устанавливать на телефон приложение Госуслуг - зачем?
Когда можно открыть в браузере, а если хочется как приложение, то ярлык вывести на рабочий стол.
Ну вот и насильная миграция
Вместо того чтобы наладить нормальную двухфакторку, просто привязали людей к Max и сказали терпите
Пупупууууу
А у меня эти Госуслуги на телефоне не открываются, поскольку видят рут права. Почему-то Маджиск хреново из коробки прячется.
Для минимизации рисков перехвата SMS
А можно всем банкам рассказать, что их однофакторная аутентификация по смс (пароль тоже по смс сбросить можно), это лютая дичь?
И почему в статье ни слова про безопасный TOTP. А еще, если использовать FIDO2 U2F, то гражданин дистанционно мошенникам доступ куда-либо в принципе не сможет отдать. Но эти секретные технологии доступны не только лишь всем...
иронично - на уровне закона запрещено реализовывать аутентификацию с помощью зарубежных сервисов - в то же время госуслуги используют гугл аутентификатор 🤡
Ждём на 4pda Госуслуги Revanced mod с отвязкой от max)))
У нас, всё добровольно!
Хочешь - пользуешься max.
Не хочешь - не пользуешься госуслугами.
Вот странно - некоторое время при входе в госуслуги был баннер про макс (пропускался). И на компе и на андроиде. Сейчас баннера нет.
При этом вход давно сделан через TOTP (коды (да и все остальное) в Bitwarden, сервером сейчас - не их штатный hosted а vaultwarden локально). (но могу бы и гугл authentitcator или authy или яндексключ (вроде они умеют)
Вспоминается что вроде ж была чуть ли не год назад новость что двухфакторку по СМС - госуслуги отключают и дадут войти один раз чтобы более другое установить.
Создан на госуслугах вместо смс пару месяцев назад подключение по totp. Через пк и сайт пользуюсь, постоянно выдавалось окно с скамом, пропустить скам, пропускал. А вот на днях подключаюсь , диалога со скамом больше нет. Totp рулит, все данные и пароли и totp в keepasxc. Не нужно зыркать в телефон и вручную смс набирать. Все через копипасте. На телефоне не пользуююсь не знаю думаю проще сделать через totp.
Получается, что, при необходимости, на каком-либо чужом или общественном компе вы свои Госуслуги не сможете открыть?
С точки зрения мошенников , на чужом или общественном компе - не открыть госуслуги - действительно плохо. Но при необходимости , есть множество вариантов. Можно взять базу с собой программа то свободна и работает везде и без облака. Можно наконец подключиться к своему компу. Тем или иным способом. Можно даже выложить базу в облако, а ключевой файл отдельно.
Госуслуги гораздо более удобный сайт , с более удобным и стандартным входом. Вот Яндекс и Сбер это Зло воплоти. Не хочет Зло сие реализовать стандартный Totp - всегда Зло воплоти, пытается завязать на свою инфраструктуру.
В идеале всё же TOTP на отдельном устройстве держать. Копипаста со смартфона у меня через KDE connect работает.
TOTP на отдельном устройстве держать
Вот, кстати, а какие есть (полу) самоделки, которые пригодны для использования обычным человеком и недорогие (по сравнению с БУ смартом).
Понятно, что всякие аппаратные криптокошельки могут, но это такой оверкилл по цене и возможностям, что не смешно.
Цель именно 'для использования обычным человеком'. Чтобы собрал/купил/запрограммировал и отдал пользоваться. И чтобы не выглядело как поделка сумасшедшего ученого из фильма.
Такое попалось поделие, но оно позволяет сохранить только 1 секрет, и в нём не предусмотрена замена батарейки: https://www.ozon.ru/product/apparatnyy-klyuch-autentifikatsii-rutoken-otp-nfc-643282832/ (за 2к с такими недостатками вряд ли того стоит)
Это - наглядный пример вусмерть засертифицированного (скорее всего) аппаратного токена где цена большей частью за бумажку берется.
Я скорее про разные полусамоделки на современных микрокотроллерах. Вон, недавно целую Linux систему с нормальным экраном описывали. За ту же стоимость, что по ссылке. И разных отладочных плат на RP2350 и подобных с микро экранчиками хватает задешево.
Оно, возможно, не будет с настолько неизвлекамыми ключами как в этом рутокене, но это и неважно. Потому что seed-ы totp все равно бакапить предлагают.
У "обычного человека" сейчас как раз и есть смартфон, на который ставится приложение второго фактора.
Но, поскольку бизнес понимает факт наличия альтернативно-позиционированных персон и нашел способ упросить их поделиться малой толикой денег в целях охраны собственной приватности и сделали хардварные токены - обычно они выглядят как брелок с кнопкой и экранчиком и программируются по NFC или USB. А потом нажал кнопку - увидел код. Но есть нюанс - большинство их под один код, а если у вас их десяток - например под разные аккаунты - рабочий, гугловский, майкроофтовский, госуслуговский и яндексовый (уже пять) то можете представить размер их связки. Так что в смартфоне в приложении держать удобней.
И для тех, у кого таких кодов много (у меня их например 10 штук - но речь не обо мне, у меня они в приложениях) особо шустрые бизнесы продают специальные гаджеты, например Token2 Molto-1-i. Ну или как варинт купите коробку однокодовых токенов и подписывайте их и таскайте на связке в рюкзаке, да.
У "обычного человека" сейчас как раз и есть смартфон, на который ставится приложение второго фактора.
Второй смарфон иметь и следить за ним (заряжать итд) - многим неудобно будет. Второй - потому что на первом заходишь, а второй фактор лучше бы все-таки отдельно.
И 27 евро - это грабеж. Rasberry Pi pico с RP2350 единицы евро стоят и в нем все что надо, кроме периферии есть, включая защищенную зону процессора. А периферия тут на 20 евро ну никак не тянет.
тут вам скорее ардуина какая-нибудь нужна, а не расбери - эта штука должна все время спать, мгновенно просыпаться, и самое важное - иметь точное время. То есть вам нужены контроллер, корпус, батарейка, часы, экран. Вот тут человек развлекался таким образом - https://codeby.net/threads/arduino-totp-ili-google-authenticator-svoimi-rukami.61344/
То есть вам нужены контроллер, корпус, батарейка, часы, экран.
Я выше упоминал игровую консоль R36s. Там все это есть. Кроме часов (и то, я не уверен, что они в данном случае так уж нужны, и того, что прямо в процессоре есть, не хватить). С нормальным экраном, линуксом на борту и и явно с потенциальными возможностями больше, чем у этого Token2 Molto-1-i. Уж учеток оно точно может больше помнить, чем несчастные 10 профилей. Так что убедить меня в том, что этот производитель не хочет, чтобы его токены массово покупали и хочет продавать их только эстетам-параноикам или тем, кому сертификация какая-нибудь нужна -- не получится.
Кстати, можно же время со смарта брать. Надо только сделать, чтобы время оно брало, а свою врутрянку не показывало.
Flipper Zero только он стоил даже вначале несколько дороже. Но так вполне компактная удобная штука. И есть программа аутентификатора totp. Да и возможности автоматизации можно придумать. Я тоже могу к примеру использовать , но пока не вижу смысла. А так можно и ключевой файл от базы хранить и Totp настроить.
То есть Flipper Zero (для которого есть TOTP) вам не подойдет? ;)
Ну тогда вот более казуальный вариант: https://www.token2.com/shop/product/token2-molto-1-i-multi-profile-totp-hardware-token
Ну тогда вот более казуальный вариант:
Это не казуальный. Это грабительский. С современными процессорами оно должно стоить раз в пять меньше.
Нет массового спроса на такие вещи. Объем продаж небольшой. А пресс-форму для корпуса сделай, плату сделай, программу напиши для этого контроллера.
Вот и выходит стоимость конская. Зато компактно и красиво.
И я не думаю, что самоделка обойдется дешевле 27 евро, корпус и клавиатура, дисплей, контроллер, NFC модуль, батарейка + стоимость собственного времени на разработку, сколько выйдет?
И я не думаю, что самоделка обойдется дешевле
Потому и спрашивал про полу-самоделку. Китайцы и прочие еще никаких платформ для смарт-часов, в которое все это встроено, не наклепали?
В смысле, доступных для diy проектов, а не то, что они другим производителям продают вагонами.
А, вот вам что надо.
Тогда смотрите смарт-часы с развитым сообществом. Amazfit например https://4pda.to/forum/index.php?showtopic=1051432&st=4700
Или Apple Watch https://apps.apple.com/ru/app/totp-otp-аутентификатор/id1625641322 или https://bitwarden.com/help/apple-watch-totp/ :))) Заодно они вам пульс померяют и кардиограмму выведут.
Тогда смотрите смарт-часы с развитым сообществом.
В этом всем слишком много выковыривать надо.
Я скорее про чуть более укомплектованные (уже с корпусом, батареей и нормальными кнопками) варианты такого
А я бы крайне не рекомендовал любые самоделки, для totp. Лучше всегда самое распространенное. Смартфон или уж планшет. Любая самоделка может привлечь внимание. Если брать ее с собой.
А для безопасности, привлекать внимание - не безопасно.
А что может быть обычнее , обычного смартфона, даже например очень старого. Я вот случайно увидел на авито смарт hts hero андроид 1.5 обновить до 2 .x можно, 4 аппаратные кнопки и все за 850р . Для totp вполне . И таких старых маленьких с 3.5 экраном, сьемным аккумулятором , очень много и недорого.
Любая самоделка может привлечь внимание. Если брать ее с собой.
Это не для с собой. Это чтобы в тумбочке рядом с десктопом валялась. 850р за такое - уже немного жаба душит. Да и грузится долго, следить/заряжать надо. Хочется дешевле этих БУ смартов и чтобы вставил батарейку - и оно год внимания не требует.
Дешевле БУ смарта старого с андроидом до 4.4 , с разборным аккумулятором, вайфаем, блютузом. И чтобы работал год. Это фантастика. И я не говорю об пршивках и по . Наоборот смартов море в больших городах, это старье думаю на вес можно брать. Максимум аккум помощнее ну или добавить пауер банк под размер. Но все уже готово вплоть до ТОТП аутентификатора под андроид 4 и ниже. Если одна программа запущена , то процессор можно частоту занизить до 100мгц например. Прошивка понятное дело под рутом альтернативная без гуглослужб. На месяц думаю вполне с повербанком. Я бы под это дело корпус общий заказал по 3д модели для красоты.
А уж если совсем дешево, можно найти исправный смарт с кнопками аппаратными , даже с клавиатурой , но с битым экраном. Такой тебе вообще могут бесплатно отдать. Лишь бы adb работало.
с разборным аккумулятором, вайфаем, блютузом.
голый STM32 c экранчиком единицы сотен рублей стоит, если что. При штучной покупке. Если самому собирать весь комплект - почти укладываешься. Так что мой обывательский взгляд говорит, что если сразу весь комплект с завода - вполне может существовать.
И чтобы работал год. Это фантастика.
А оно сильно большая проблема? Оно же просыпаться буквально на секунды должно. Кнопку нажал, потыкался выбирая учетку, код посчитался, показался. ты кнопку отжал. Все. И дальше снова там ничего, кроме часов не работает.
Вот тебе рабочий пример flipper zero stm32. Даже если будем пользоваться только totp на эффективном блютузе ble не протянет он год , на старых прошивках месяц , на новых больше, но даже на 3 месяца не вытянет. Он у меня как то полностью заряженный лежал вообще без использования месяц. Правда прошивка старенькая уже. Разрядился.И секунды никак не получится. Даже минута. Ты то ведь не робот . Устройство в спящем режиме по нажатию кнопки должно проснуться, запуститься , ble блютузом законнектится , ты там на маленьком экранчике, увидишь запуск, будешь выбирать парол . Потом жамкать кнопку А может и не одну. Потом получить подтверждение и начать режим засыпания .Не реально. Это надо сделать собрать,запрограммировать. Сил потратить. За это время лучше и правда Flipper zero купить.
на эффективном блютузе ble не протянет он год
Что значит протянет на bluetoth? Он что, включено когда он спит? Ну и зачем это надо?
Устройство в спящем режиме по нажатию кнопки должно проснуться, запуститься , ble блютузом законнектится
Куда законнектится? Bluetooth тут нужен только когда данные учеток добавляешь или часы синхронизируешь, если уж совсем уехали. А так лучше даже не включать.
А по поводу цены - смотрим разные китайские псевдо смарт часы за 300 рублей. Вот явно все что надо есть. В своем родном виде они, понятно, столько не живут, но там и батарейка крошечная. Если взять побольше - почему бы и нет?
Проблема только с тем, как из захачить. Поэтому и хочется то же самое, но в виде модели для сборки.
Даю слово, как только у меня это произойдет, удалю госуслуги! И буду ножками ходить, если что оформить нужно будет
При входе по ранее созданной биометрии (отпечатку в телефоне) в ГУ не требует никакого МАХ...
Читаю комментарии тут и комментарии к разбору вредоноса под андройд - mamont. Там люди явно пишут со знанием дела, что от смс надо уходить как от способа аутентификации. Макс, как аутентификатор для нормисов, эту задачу в какой-то степени решает. Рандомной бабке будет сложней в два клика дать доступ к автоматизированному захвату кода из доступа к смс. Для остальных двухфакторку нормальную оставили, через обычный аутентификатор можно настроить.
А, может, надо давать людям право выбора?
Выбор должен быть от более жесткого варианта к более мягкому. Скажем, в банкинге - по умолчанию низкие лимиты, запрещены переводы тем, кто у вас не в контактах, запрещена онлайн выдача кредитов и т.д. Хочешь больше возможностей (и рисков) - давай ножками в банк, прослушай лекцию от сотрудника, сдай тест и только после этого...
Но банкам так не выгодно, а клиентам - лениво. Поэтому имеем то, что имеем.
Причем в некоторых видах услуг это есть, скажем, чтобы стать "квалифицированным инвестором" - надо выполнить определенные условия.
Хочешь больше возможностей (и рисков) - давай ножками в банк, прослушай лекцию от сотрудника, сдай тест и только после этого...
Меня ВТБ забанил за 2 перевода самому себе по 10 т.р. В жалобе на них ЦБ предложил дать письменную расписку что сам готов нести свои риски, ответили что я не понимаю о чем прошу, это другое.
Макс, как аутентификатор для нормисов, эту задачу в какой-то степени решает.
Супер. Осталось объяснить, почему эту задачу должен решать именно "мессенджер МАХ", который вообще-то средство для общения, а не средство валидации личности. И зачем ставить тяжелое приложение "мессенджер МАХ", только ради того чтобы заходить на Госуслуги (что бывает довольно редко).
Ну как бы никто не предлагает купить автомобиль, чтобы от его прикуривателя заряжать смартфон. Хотя автомобиль сам по себе вещь полезная, и есть у многих. И емкость аккумулятора автомобиля намного больше чем емкость повербанка. Но все же для зарядки смартфона используют сетевой зарядник, и повербанк если что.
Осталось объяснить, почему эту задачу должен решать именно "мессенджер МАХ", который вообще-то средство для общения, а не средство валидации личности.
Его (в перспективе) явно рассматривают как средство этой валдации. Т.е. государство будет бдить и следить за тем, что вот эта учетка в MAX - именно этого гражданина.
Отдельный валидатор, конечно, с точки зрения параной выглядит лучше. Но вот с точки зрения обычного человека - нет. Потому что зачем два приложения ставить, а не одно.
Потому что зачем два приложения ставить, а не одно.
Есть приложение сотового оператора, приложение банка, приложение Почты России. Так что одним никак не обойдешься.
И в любое их этих приложений можно встроить валидатор. Приложение Почты России умеет оффлайн-генерировать подтвердитель личности, для получения посылки, и не требует СМС.
Отдельное специализированное приложение можно отладить и оптимизировать более тщательно. Меньше факторов для багов и скрытых уязвимостей.
Т.е. государство будет бдить и следить за тем, что вот эта учетка в MAX - именно этого гражданина.
Это не гарантия от дыр в безопасности.
Разработчики МАХ-а - это разработчики мессенджера для бытового применения, а не разработчики ПО специального назначения. Нет никаких оснований считать, что они сделают валидатор надежнее, и без дыр в безопасности. У них нет особых компетенций для тщательного тестирования, и к тому же нет ответственности за результат. Стандартный отказ от гарантий, как для обычного ПО.
государство будет бдить и следить за тем, что вот эта учетка в MAX - именно этого гражданина.
Это решается созданием государственного аутентификатора. Через который можно и в госуслуги заходить, и в банк логиниться, и во всяких максах гарантировать принадлежность учётки. А тут всё наизнанку вывернуто.
Пользователи мобильного приложения «Госуслуги» на Android не могут зайти в госсервис без кода из Max
Вы не понимаете, это другое:)
Сколько раз обсуждалось, что SMS небезопасны, и использовать их для аутентификации (в т.ч. для сброса пароля) неправильно. От кодов по SMS отходят, используя доверенное приложение, которое работает по защищённому соединению, и вдруг это вызывает вопросы.
Если бы люди реально заботились о безопасности, такие вопросы были бы по поводу SMS — почему в таком ответственном деле, как доступ к Госуслугам, банкам и т.д. используется такой слабый способ аутентификации, как короткий код по SMS? Да они до сих пор у многих всего 4 символа, то есть, там вероятность отгадать с первого раза — 1/10000 (если доступ постороннего может означать ущерб в миллион рублей, допустим, снимут накопления и возьмут кредит, то математическое ожидание ущерба после одной попытки подбора кода — 100 рублей), и всех всё устраивало.
Такая мысль появилась: допустим мошенник сидит за компом, знает логин с паролем от госуслуг и вызнает код из смс у жертвы. С кодом из смс он зайдет. Чем тут макс поможет?
Господа, если у меня Госуслуги зареганы на один номер телефона, а я оформлю вторую симку на второй телефон только для Макса и Макс ломанут, то к ГУ доступ не получат? ГУ не вносят все номера телефона оформленные на один паспорт как способ входа? И Макс при регистрации не требует только тот номер, который привязан к ГУ?
Приличные слова закончились.
Захожу через OTP уже лет 5 или 7.
С тех пор, как больше года назад умерла бабушка 193Х года рождения - постепенно отказываюсь от сервисов (банки, маркетплейсы), намертво привязанных к подтверждениям через SMS в пользу push-ей.
Регулярно захожу на госуслуги. Никакой "многонациональный мессенджер" (это неудачная калька с английской идиомы, по смыслу литературный перевод должен был быть "государственный").
Заголовок у статьи очень жёлтый, позор такое писать на ресурсе претендующем на "техническость".
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Пользователи мобильного приложения «Госуслуги» на Android не могут зайти в госсервис без кода из Max