Двухфакторная аутентификация станет обязательной для всех пользователей «Госуслуг»
Москва. 20 октября. INTERFAX.RU — Правительство РФ утвердило постановление о дополнительном подтверждении входа на портал «Госуслуг». Согласно постановлению, двухфакторная аутентификация для входа на портал госуслуг станет обязательной для всех пользователей.
В Минцифры России уточнили, что наличие двух факторов подтверждения для входа в аккаунт на «Госуслугах» станет обязательным с 28 октября для всех пользователей ресурса.
С этого времени для того, чтобы войти на портал, после введения логина и пароля потребуется дополнительный способ подтверждения. Это может быть одноразовый код из смс-сообщения, код из специального приложения (ТОТР) для работы с одноразовыми кодами или биометрия, если пользователь по собственному желанию предоставил эти данные и дал согласие на их использование.
С 28 октября каждый пользователь может один раз войти в свой аккаунт на госуслугах без двухфакторной аутентификации, чтобы уточнить данные, например, номер телефона, и определиться со способом дополнительной защиты.
«У тех, кто не установит второй фактор в этот визит, при следующем входе в аккаунт появится баннер с вариантами защиты. Пока не будет выбран один из них, воспользоваться Госуслугами не получится. Впоследствии можно будет изменить свой выбор в разделе «Безопасность», — говорится в сообщении Минцифры.
Чтобы установить второй фактор защиты, потребуется войти в личный кабинет, в разделе «Безопасность» кликнуть «Вход с подтверждением» и выбрать один из трех вариантов дополнительного подтверждения.
Изменить телефон для СМС-подтверждения можно при выборе второго фактора защиты. «Обратите внимание, если в систему заведен неактуальный телефон, код придет на него. Если он уже недоступен, актуализировать номер можно в приложении банка-партнёра или ближайшем МФЦ», — отметили в Минцифры.
Новые правила призваны повысить уровень безопасности доступа к данным на сайтах, куда человек заходит с логином и паролем от госуслуг.
Ранее с 1 октября двухфакторная аутентификация для входа на портал госуслуг стала обязательной для новых пользователей и тех, кто восстановил свою учетную запись.
По данным Минцифры, второй фактор подключила уже почти половина пользователей Госуслуг – более 41 млн человек.
Двухфакторная аутентификация для входа на портал Госуслуг стала обязательной для всех пользователей
Правительство утвердило постановление о дополнительном подтверждении входа на портал «Госуслуги» (копия документа есть в распоряжении «РГ»). Это необходимо для защиты учетных записей пользователей от злоумышленников.
Двухфакторная аутентификация для входа на портал госуслуг стала обязательной для всех пользователей. Постановление Правительства об этом подписано. Новые правила позволят повысить безопасность доступа к данным на сайтах, куда человек заходит с логином и паролем от «Госуслуг». Теперь для того, чтобы войти на портал, после введения логина и пароля потребуется дополнительный способ подтверждения. Это может быть одноразовый код из смс-сообщения, код из специального приложения (ТОТР) для работы с одноразовыми кодами или биометрия, если пользователь по собственному желанию предоставил эти данные и дал согласие на их использование. После вступления в силу новых правил каждый пользователь может один раз войти в свой аккаунт на «Госуслугах» без двухфакторной аутентификации, чтобы уточнить данные, например, номер телефона, и определиться со способом дополнительной защиты. Чтобы установить второй фактор защиты, потребуется войти в личный кабинет, в разделе «Безопасность» кликнуть «Вход с подтверждением» и выбрать один из трех вариантов дополнительного подтверждения. Двухфакторная защита является надежным барьером, серьезно усложняющим доступ к чужим данным. Вернее будет сказать, что она является барьером, повышающим стоимость такого взлома до неприемлемой. Сами по себе пароли неплохи. И если вы придумываете 10-15-значный пароль из букв в разных регистрах, цифр и спецсимволов, и он не является кличкой вашего домашнего животного или датой вашего рождения, а еще — меняете его каждый месяц, то такой пароль подобрать весьма трудно. Чтобы получить доступ, злоумышленнику придется либо заразить ваш смартфон или взломать еще и почтовый ящик, адреса которого он не знает, либо — физически выкрасть ваш телефон. Двухфакторная защита — еще и способ предупреждать хозяина аккаунта о попытке взлома. Например, если на ваш телефон или почту вдруг приходит сообщение с одноразовым кодом при том, что вы никаких попыток войти не предпринимали, значит, вас пытаются взломать — самое время менять скомпрометированный пароль.
Двухфакторная аутентификация становится обязательной на портале госуслуг
МОСКВА, 20 октября. /ТАСС/. Правительство России утвердило постановление о дополнительном подтверждении входа на сайте госуслуг, соответствующий документ есть в распоряжении ТАСС. Таким образом, двухфакторная аутентификация становится обязательной для всех пользователей портала.
Читайте также
Теперь для того, чтобы войти на портал, после введения логина и пароля потребуется дополнительный способ подтверждения. Это может быть одноразовый код из СМС-сообщения, код из специального приложения (ТОТР) или биометрия, если пользователь по собственному желанию предоставил эти данные и дал согласие на их использование. Новые правила позволят лучше защитить сайты, куда человек заходит с логином и паролем от госуслуг.
После вступления в силу новых правил каждый пользователь может один раз войти в свой аккаунт на «Госуслугах» без двухфакторной аутентификации, чтобы уточнить данные, например, номер телефона, и определиться со способом дополнительной защиты.
Чтобы установить второй фактор защиты, потребуется войти в личный кабинет, в разделе «Безопасность» кликнуть «Вход с подтверждением» и выбрать один из трех вариантов дополнительного подтверждения.
С 1 октября двухфакторная аутентификация для входа на портал госуслуг стала обязательной для новых пользователей и тех, кто восстановил свою учетную запись.
Одноразовые пароли: алгоритмы генерации и обзор основных видов токенов
В условиях постоянного увеличения доли онлайн-сегмента бизнеса все острее нужда в том, чтобы защита данных была особенно надежной. Если еще можно “пережить” взлом личной странички в соцсети (хотя и это крайне неприятно), то потери информации в бизнесе могут привести не только к утрате репутации и доходов, но и к закрытию компании.
Одним из самых уязвимых моментов в ИБ является надежная аутентификация пользователя, пытающегося получить доступ к своему аккаунту на том или ином веб-ресурсе.
Знакомые всем многоразовые обычные пароли при современном уровне хакерских угроз практически бесполезны. Они не в состоянии выдержать напор злоумышленников, оснащенных такими “инструментами” как кейлоггеры, перехват данных, методы социальной инженерии. На порядок более высокий уровень защиты может обеспечить применение одноразового пароля.
Как создаются одноразовые пароли
Наиболее удобный и безопасный генератор одноразовых паролей в настоящий момент — это токен. Он может быть как программным — в виде приложения для планшета или смартфона, так и аппаратным — в форме флешки, брелока, кредитной карты. Каждый token для дополнительной защиты может работать совместно с PIN-кодом, который необходимо использовать вместе с одноразовым паролем.
Одноразовый пароль генерируется обычно с использованием одного из трех алгоритмов:
- HOTP — по событию. Сервер и ОТР токен ведут учет количества процедур аутентификации, проходимых пользователем, а потом, используя в расчетах это число, генерируют пароль. Проблему может вызвать несовпадение в подсчетах между сервером и токеном. Такая ситуация возможна, например, если пользователь неоднократно нажимает кнопку устройства для генерации паролей и не использует этот пароль в дальнейшем.
- TOTP — по времени. При использовании этого алгоритма пароль создается, учитывая показания внутренних часов токена. ТОТР удобен тем, что время действия пароля ограничено, он не может быть создан заранее или использован после истечения срока.
- OCRA — запрос/ответ. Это очень надежный алгоритм, предполагающий, однако, несколько большее количество шагов, чем предыдущие. При его работе происходит взаимная аутентификация пользователя и сервера. В отличие от других алгоритмов, он использует в качестве входных данных случайное значение, выданное сервером.
Еще раз стоит упомянуть, что при использовании TOTP и OCRA алгоритмов формируются временные пароли, которые значительно усложняют процесс взлома.
В токенах, предоставляемых компанией Протектимус, используются все три алгоритма. Если токены Protectimus ONE и Protectimus Slim генерируют пароли при помощи TOTP, то особо надежный токен Protectimus ULTRA пользуется для создания ОТР самым защищенным из алгоритмов — OCRA.
Угрозы и риски при использовании one time password
Как ни надежна двухфакторная авторизация с использованием одноразового пароля, существуют некоторые опасности, которых можно избежать, заранее позаботившись о мерах предосторожности.
- Пароль перехвачен. В ситуации, которую часто называют “человек посередине”, хакер, перехватив пароль от его имени авторизуется в системе. Чтобы этого избежать, можно включить в 2FA метод подписи данных (CWYS), используемый в токене Protectimus SMART, позволяющий учитывать при аутентификации не только пароль, но и некоторые другие параметры конкретной транзакции: место выхода в сеть, браузер, язык системы и т. п.
- Утрата токена. Чтобы не проливать горьких слез в случае потери или кражи токена, стоит заранее предусмотреть обязательное применение PIN-кода при работе с устройством.
- Попытка подбора PIN-кода. Решением в этом случае является настройка, при которой генератор токенов будет заблокирован при неоднократном вводе неверного PIN.
- Взлом программного токена. Хакер может скопировать программу-токен и попытаться найти хранящийся там секретный ключ, используемый для генерирования ОТР. Здесь методом защиты станет использование PIN-кода как одного из значений при расчете одноразового пароля. Таким образом, даже зная часть секретного ключа, создать пароль не удастся, так как PIN-код не хранится в программном токене.
- Злодей среди своих. Иногда может случиться печальная ситуация, когда злоумышленник и персона, которая занимается выпуском средств two factor autentication — одно и то же лицо. Такой человек может создать дубликаты программных средств аутентификации и с их помощью войти в систему под видом легального пользователя. Чтобы предотвратить подобное, в процессе активации программного токена должен принимать участие сам пользователь.
Следует признать, что двухфакторная аутентификация с использованием генерируемых токенами временных паролей — самый оптимальный на сегодня способ авторизации. При правильном применении он позволяет устранить риски, возникающие с использованием стандартной парольной аутентификации, а значит и надежно защитить данные компаний и отдельных пользователей.
Subscribe To Our Newsletter
Join our mailing list to receive the latest news and updates from our team.