Двухфакторная аутентификация при входе на портал «Госуслуги» стала обязательной для всех. Теперь, кроме логина и пароля, каждый пользователь должен выбрать еще один способ подтверждения своей личности. Новые правила введены для повышения уровня безопасности доступа к данным. HSE Daily выяснило, насколько они эффективны.
Правительство РФ выпустило постановление о дополнительном подтверждении входа на портал «Госуслуги». Согласно этому постановлению, двухфакторная аутентификация стала обязательной для всех пользователей. Новые правила введены с 28 октября. Теперь для того, чтобы войти на портал, после введения логина и пароля потребуется дополнительный способ подтверждения. Это может быть одноразовый код из СМС-сообщения, код из специального приложения (ТОТР) для работы с одноразовыми кодами или биометрические данные, если пользователь по собственному желанию их предоставил и дал согласие на их использование.
Чтобы установить второй фактор защиты, надо войти в личный кабинет и в разделе «Безопасность» выбрать один из трех вариантов дополнительного подтверждения.
Минцифры опубликовало разъяснения, где говорится, в частности, что при очередном входе в аккаунт будет появляться баннер с вариантами защиты. И пока не будет выбран один из них, воспользоваться «Госуслугами» не получится. Впоследствии можно будет изменить свой выбор там же, в разделе «Безопасность». По данным министерства, на сегодняшний день второй фактор подключили уже почти половина пользователей «Госуслуг» — более 41 млн человек.
«Обратите внимание, если в систему введен неактуальный телефон, код придет на него. Если он уже недоступен, актуализировать номер можно в приложении банка-партнера или ближайшем МФЦ», — отметили в Минцифры.
Таким образом, обеспечение дополнительной защиты заключается в принудительной замене однофакторной аутентификации на двухфакторную, поясняет заведующий кафедрой информационной безопасности киберфизических систем Московского института электроники и математики им. А.Н. Тихонова НИУ ВШЭ Олег Евсютин. «Однофакторная аутентификация состоит в том, что пользователь получает доступ к своей учетной записи на “Госуслугах” посредством ввода логина и пароля. Это более простой и удобный для пользователей способ аутентификации, но он ненадежен с точки зрения информационной безопасности, — говорит он. — Если злоумышленник узнает логин и пароль пользователя, он сможет получить доступ к его учетной записи и всем функциям “Госуслуг”».
Есть разные способы узнать пароль пользователя, отмечает эксперт. «Во-первых, его можно подобрать. На “Госуслугах” есть требования к сложности пароля, пароли вида “12345” или “qwerty” не пройдут. Но даже с учетом этих требований можно составить пароль, который относится к числу распространенных паролей и поддается перебору. Во-вторых, у пользователя может быть и достаточно надежный пароль, но используемый им в других, менее защищенных сервисах, таких как разного рода службы доставки и интернет-магазины. Утечка данных клиентов этих сервисов приводит к тому, что пароль от “Госуслуг” также становится известен злоумышленнику. Наконец, злоумышленник может получить пароль после успешной фишинговой атаки на пользователя», — рассказал Олег Евсютин.
Двухфакторная же аутентификация означает, что, помимо логина и пароля, пользователь должен использовать дополнительный фактор аутентификации для доступа к своей учетной записи. Напомним, такая опция существовала на портале «Госуслуг» и до 28 октября, но она не была обязательной. «В результате по причинам, указанным выше, злоумышленники могли получать доступ к учетным записям пользователей без их ведома, и для пользователей это приводило к неприятным, в том числе финансовым, последствиям. Информация о таких случаях время от времени появлялась в интернете. Обязательное использование двухфакторной аутентификации кратно снизит возможности злоумышленников по доступу к учетным записям пользователей “Госуслуг”», — уверен Олег Евсютин.