22 ноября 2023

Доступ к "Госуслугам" станет возможен только по двухэтапной аутентификации

До­пол­ни­тель­ное под­твержде­ние вхо­да на "Го­сус­лу­ги" ста­нет обя­затель­ным с зав­траш­не­го дня, 28 ок­тяб­ря 2023 г. Поль­зо­ватель смо­жет при­менить один из трех ва­риан­тов до­пол­ни­тель­ной за­щиты: код из SMS, од­но­разо­вый код из сто­рон­не­го при­ложе­ния или вход по био­мет­рии. ИБ-спе­циа­лис­ты ра­зош­лись во мне­нии, ка­кой ва­риант наи­бо­лее бе­зопас­ный. 

С 28 октября 2023 г. пользователи портала "Госуслуг" смогут один раз войти в аккаунт старым способом, чтобы уточнить данные, например номер телефона, и определиться с выбором дополнительной защиты. У тех, кто не установит второй фактор в этот визит, при следующем входе в аккаунт появится баннер с вариантами защиты.

Пока пользователь не выберет один из трех вариантов дополнительной защиты - код из SMS, одноразовый код из стороннего приложения или вход по биометрии, воспользоваться порталом не получится. По данным Министерства цифрового развития связи и массовых коммуникаций (Минцифры), второй фактор подключила уже почти половина пользователей "Госуслуг" - более 41 млн человек.

Небезопасные SMS

Технический директор Weblock (входит в ГК "Гарда") Лука Сафонов считает, что ни один метод аутентификации не является абсолютно безопасным, и рекомендует использовать комбинацию различных методов безопасности для повышения общего уровня защиты: "SMS-сообщения могут перехватить или скомпрометировать злоумышленники, особенно при использовании устаревшего протокола SS7 для маршрутизации сообщений. SIM-карты злоумышленники могут клонировать или использовать в атаках SIM swap, при которых они перехватывают контроль над номером телефона".

"SMS, в сравнении с другими, является наиболее уязвимым. Однако, за исключением фундаментальной уязвимости в протоколах Common Channel Signaling System 7, являющихся основой современной системы телефонной связи, которая позволяет злоумышленникам перехватить SMS, остальные риски связаны с организационными аспектами безопасности, неосторожностью пользователя", - объясняет директор по развитию и цифровой трансформации АО "Разумные деловые технологии" ("РДТЕХ") Евгений Осьминин.

Ведущий инженер CorpSoft24 Михаил Сергеев отметил, что пользователь должен быть осторожен и с электронными SIM-картами, так как злоумышленник может с помощью социальной инженерии получить SMS-код, который позволит ему перевыпустить электронную SIM-карту и получать SMS.

Внешние приложения генерации кода для входа на "Госуслуги"

Алексей Хмельницкий, генеральный директор ООО "Рукс Солюшенс" (ИТ-компания RooX, специализирующаяся на аутентификации, авторизации и разработке веб-платформ для корпоративного сектора), считает, что наиболее высокой степенью защищенности обладает технология TOTP (time-based one-time password).

"Эта технология производит аутентификацию с помощью одноразовых паролей, которые генерируются, например, в смартфоне. Ключ для TOTP вообще не передается по каналам связи. Системы аутентификации на основе одноразовых паролей являются самым надежным способом двухфакторной аутентификации. Их использование целесообразно не только для портала "Госуслуг", но и для любых других сервисов, в которых хранятся чувствительные данные клиентов. Но такой способ не подходит для подтверждения платежных операций из-за отсутствия технической возможности выбора конкретной операции для подтверждения. Если одновременно открыть окно создания, например, платежного поручения с одними реквизитами и суммой и рядом другое окно - с другими реквизитами, то код из приложения подойдет для всех операций", - объяснил Алексей Хмельницкий.

Игорь Корчагин, руководитель департамента информационной безопасности АО "Информационная внедренческая компания" (разработчик программных продуктов ИВК), тоже наиболее оптимальным методом аутентификации видит получение одноразового кода из специальных приложений, использование которых не снижает общую защищенность, так как приложение не обладает обязательными сведениями о логине и пароле. Игорь Корчагин рекомендует использовать ПО от отечественных разработчиков - "Яндекс Ключ" или Kaspersky Password Manager.

Максим Хараск, руководитель отдела отраслевых архитекторов группы компаний Innostage, объясняет, что в случае приложения опасность наступает только тогда, когда на устройство устанавливается шпионское ПО или происходит потеря устройства.

Будущее за биометрией?

"Безопасность сдачи биометрии через приложения "Госуслуг" высокая, однако более точно оценить ее пока сложно, поскольку сервисы, работающие через специализированное приложение либо сайт, предполагают использование аппаратного обеспечения пользователя и применяют ограниченный набор типов сдаваемых данных. Биометрические данные из-за неизменности являются чувствительной информацией, позволяющей не только аутентифицировать пользователя сервиса, но идентифицировать конкретного человека. Устранить проблемы, связанные с компрометацией таких данных, гораздо сложнее, чем при использовании иных способов аутентификации", - объяснил Евгений Осьминин.

Чтобы зайти на портал "Госуслуги" с помощью биометрии, ранее нужно было зарегистрировать ее в отделении банка. С 20 октября 2023 г. россиянам стала доступна упрощенная сдача биометрии в Единую биометрическую систему (ЕБС) через мобильное приложение "Госуслуги биометрия" без использования загранпаспорта нового поколения.

На вопрос корреспондента ComNews, есть ли разница, каким способом сдавать биометрию, Андрей Саломатин, экс-вице-президент и технический директор Ренессанс Банка, ответил, что с точки зрения безопасности разницы нет: "Во всех случаях используются различные средства защиты, а данные биометрии в любом случае попадают в Единую биометрическую систему (ЕБС) и только там хранятся".

По его словам, полностью биометрия другие способы аутентификации в ближайшее время не заменит, поскольку по поводу технологии и возможных утечек биометрических данных есть сильная озабоченность значительной части общества. "Но государство, очевидно, заинтересовано в распространении этой технологии и будет этот процесс всячески стимулировать", - заключил Андрей Саломатин.

Источник: Comnews

Команда iTrend начала работу с Институтом iSpring

19 апреля 2024

Институт iSpring — частный ИТ-вуз нового поколения. Он был основан в 2021 году в Йошкар-Оле российским предпринимателем и основателем международной ИТ-компании iSpring Юрием Усковым.

 

Вебинар iTrend «Работодатель-as-a-Service: новая реальность привлечения ИТ-специалистов»

19 апреля 2024

23 апреля в 15:00 пройдет открытый вебинар «Работодатель-as-a-Service: Новая реальность привлечения ИТ-специалистов». Организаторы — коммуникационное агентство iTrend, ассоциация РУССОФТ и консалтинговая группа BITOBE.

 

iTrend: освоить маркировку интернет-рекламы можно только на собственном опыте

25 марта 2024

В феврале 2024 года в Москве прошла Конференция «Digital-коммуникации России». Организатор мероприятия – Ассоциация директоров по коммуникациям и корпоративным медиа России (АКМР). Эксперты конференции обсудили острые вопросы рынка digital, в том числе маркировку интернет-рекламы. Об опыте коммуникационного агентства в рамках перехода на работу по новым правилам рассказала Екатерина Саранцева, директор по развитию iTrend.

 

Медиалогия: iTrend – в ТОП-4 коммуникационных агентств по медиаиндексу за январь 2024 года

20 марта 2024

Коммуникационное агентство iTrend вошло в пятерку агентств, получивших наиболее высокий медиаиндекс по данным рейтинга «Медиалогии» за январь 2024 года. Компания заняла четвёртую строчку ранкинга, набрав 433,2 пункта МИ. Медиаактивность участников рынка оценивалась на основе анализа базы российских СМИ, включающей в себя более 88 тыс. источников — ТВ, радио, газеты, журналы, информационные агентства и Интернет-СМИ.

 

iTrend: интерес деловых СМИ к ИТ вырос в 6 раз за последние пять лет

20 марта 2024

Эксперты коммуникационного агентства iTrend провели исследование, в рамках которого проанализировали, как менялся медиаландшафт в ИТ-индустрии в последние пять лет. В компании сравнили количество упоминаний крупнейших российских разработчиков и системных интеграторов в деловых СМИ и пришли к выводу, что об ИТ-компаниях стали писать в 6 раз чаще.

 
Все новости iTrend