У пользователей есть несколько вариантов для второго фактора защиты учетной записи: через одноразовый код в национальном мессенджере Мах, через одноразовый код в специальном приложении и по биометрии, их можно выбрать в разделе "Безопасность". Вариант с подтверждением по СМС сохраняется для пользователей "Госуслуг" для ПК.
Кто этим идиотам наконец объяснит что проблема не в SMS в качестве второго фактора а в том что у них нет двухфакторной аутентификации. У них нет первого фактора — пароль можно восстановить через SMS.
-
Re: Минцифры откажется от СМС-подтверждения для входа на "Госуслуги"
С максом как то боязно. Что это вообще такое? Какая там на самом деле защита? Трудно ли злоумышленнику воспользоваться как-то твоим максом?
А как использовать одноразовый код в специальном приложении? Что это за приложения, как они работают и защищены?
Re[2]: Минцифры откажется от СМС-подтверждения для входа на "Госуслуги"
Здравствуйте, qqqqq, Вы писали: Q>А как использовать одноразовый код в специальном приложении? Что это за приложения, как они работают и защищены?
Прекрасно они работают. Главное — не требуют наличия связи вообще. Приложение генерирует корректный TOTP независимо от мобильного интернета, сотовой сети и прочего вайфая.
Угнать TOTP или там "перенаправить его на телефон злоумышленника" тоже невозможно. https://habr.com/ru/articles/534064/
Уйдемте отсюда, Румата! У вас слишком богатые погреба.
Re: Минцифры откажется от СМС-подтверждения для входа на "Госуслуги"
Здравствуйте, Лазар Бешкенадзе, Вы писали:
ЛБ>Кто этим идиотам наконец объяснит что проблема не в SMS в качестве второго фактора а в том что у них нет двухфакторной аутентификации. У них нет первого фактора — пароль можно восстановить через SMS.
Подозреваю, что им пофиг.
Эффективные менеджеры сэкономят на СМС и заставят всех установить MAX — получат премию и благодарность.
Re[3]: Минцифры откажется от СМС-подтверждения для входа на
S>Угнать TOTP или там "перенаправить его на телефон злоумышленника" тоже невозможно.
Но если "один из национальных месенжеров"(c) позволяет удалённое управление телефоном, тогда что мешает всё это проделать прямо на устройстве лоха, пока тот спит?
Друга ищи не того, кто любезен с тобой, кто с тобой соглашается, а крепкого советника, кто полезного для тебя ищет и противится твоим необдуманным словам.
Здравствуйте, Sinclair, Вы писали:
S>Здравствуйте, qqqqq, Вы писали: Q>>А как использовать одноразовый код в специальном приложении? Что это за приложения, как они работают и защищены? S>Прекрасно они работают. Главное — не требуют наличия связи вообще. Приложение генерирует корректный TOTP независимо от мобильного интернета, сотовой сети и прочего вайфая. S>Угнать TOTP или там "перенаправить его на телефон злоумышленника" тоже невозможно.
я же правильно понимаю, что одноразовый пароль превращается в многоразовый, если знать время его действия? Просто переводишь часы назад на момент валидности пароля, и прога его примет?
Re[4]: Минцифры откажется от СМС-подтверждения для входа на "Госуслуги"
Здравствуйте, wl., Вы писали:
wl.>я же правильно понимаю, что одноразовый пароль превращается в многоразовый, если знать время его действия? Просто переводишь часы назад на момент валидности пароля, и прога его примет?
Только придётся перевести часы назад ещё и на сервере. Тогда примет, да.
Почему же, ё-моё, ты нигде не пишешь «ё»?
Re[4]: Минцифры откажется от СМС-подтверждения для входа на
Здравствуйте, Osaka, Вы писали:
S>>Угнать TOTP или там "перенаправить его на телефон злоумышленника" тоже невозможно. O>Но если "один из национальных месенжеров"(c) позволяет удалённое управление телефоном, тогда что мешает всё это проделать прямо на устройстве лоха, пока тот спит?
Здравствуйте, wl., Вы писали:
wl.>я же правильно понимаю, что одноразовый пароль превращается в многоразовый, если знать время его действия? Просто переводишь часы назад на момент валидности пароля, и прога его примет?
Пароль же на серваке проверяется, причем тут локальное время?
Здравствуйте, Marty, Вы писали:
M>Здравствуйте, wl., Вы писали: wl.>>я же правильно понимаю, что одноразовый пароль превращается в многоразовый, если знать время его действия? Просто переводишь часы назад на момент валидности пароля, и прога его примет? M>Пароль же на серваке проверяется, причем тут локальное время?
а, понял, это для сайта, а не в приложении на телефоне аутентификация
Re: Минцифры откажется от СМС-подтверждения для входа на "Госуслуги"
У пользователей есть несколько вариантов для второго фактора защиты учетной записи: через одноразовый код в национальном мессенджере Мах, через одноразовый код в специальном приложении и по биометрии, их можно выбрать в разделе "Безопасность". Вариант с подтверждением по СМС сохраняется для пользователей "Госуслуг" для ПК.
ЛБ>Кто этим идиотам наконец объяснит что проблема не в SMS в качестве второго фактора а в том что у них нет двухфакторной аутентификации. У них нет первого фактора — пароль можно восстановить через SMS.
У Apple для всех их политик контроля над пользователями есть одна безотказная отмаза — безопасность. Здесь на мой взгляд точно так же. Цель в том чтобы люди установили мессенджер Max и собрать с людей биометрию.
Идиоты они только в том смысле, что в своё время именно путинское правительство шантажировало людей для регистрации на гос. услугах. Если люди не смогут туда зайти чтобы платить налоги и штрафы, то они сами себе злобные буратины.
Но вообще люди в том числе и я съели полное отключение мобильного интернета. Не так как в петушковых регионах, где до сих пор кукарекают, что всё работает. А раз так, то я и полному отключению стационарного интернета не удивлюсь.
У меня мобильный тариф на момент подписки стоил 490 рублей, уже давно 590 рублей. Я не плачу за него уже несколько месяцев. Путинскому правительству всё равно, а оператора связи взяли за горло. Ну привет чебурнет по белым спискам с гос. услугами и мессенджером Max, вопрос только кто за это будет платить.
В принципе я жил в эпоху лазерных дисков dvd и cd, жил в эпоху дискет 3.5" и 5.25", жил в эпоху магнитофонных кассет с программами на них. Сейчас интернет с сервисами порой такой тормознутый как будь-то сидишь на телефонном модеме.
Просто мы вступим в новую эпоху, эпоху больших автономных хранилищ, вот и всё. Это касается в основном России, другие страны возможно даже этого не заметят. Хотя те же европейцы заставляли ставить политику конфиденциальности, и вроде даже хотели недавно передумать, так как поняли, что это глупо.
Но вот в то, что российское правительство поумнеет я не верю. Они там на своей волне будут сидеть до последнего, пока мы не вступим в эпоху киберпанка где данные внезапно перевозят курьеры данных. Вот это предсказание из прошлого, но смысл действительно есть.
А люди сейчас ещё юморят, что дескать будут спрашивать купить ютуб за такое-то число или какой-то сайт. А это на самом деле не так смешно, как кажется на первый взгляд. Или совсем даже не смешно, а разумно.
Re[6]: Минцифры откажется от СМС-подтверждения для входа на "Госуслуги"
Здравствуйте, wl., Вы писали:
wl.>а, понял, это для сайта, а не в приложении на телефоне аутентификация
Так приложение на телефоне всё равно лезет на сайт. Тут другой вопрос с телефоном, что если им завладел злоумышленник и смог получить доступ, то пиши пропало.
Лично мне эта цифровизация настолько повальная нафик не упёрлась, а так-то и ножками могу протопать в МФЦ, при необходимости
Здравствуйте, CaptainFlint, Вы писали:
wl.>>я же правильно понимаю, что одноразовый пароль превращается в многоразовый, если знать время его действия? Просто переводишь часы назад на момент валидности пароля, и прога его примет?
CF>Только придётся перевести часы назад ещё и на сервере. Тогда примет, да.
А как сервер воспримет то, что у него почему-то на будущее в базе лежат кучи кодов, которые он вроде бы пока ещё не должен был бы генерить?
Ну, и так-то, я тут как раз не так давно немного разбирался со слетевшей 2FA на гитхабе, я так понимаю, там эти пароли генерятся на небольшое временное окно, три-четыре пароля на последние несколько 30 сек интервалов — скорее всего, это всё в оперативе лежит в каком-нибудь мем-кеше, и быстро удаляется. Так что даже завладев серваком и переставив там время, вряд ли что-то получится сделать
Здравствуйте, Marty, Вы писали:
wl.>>а, понял, это для сайта, а не в приложении на телефоне аутентификация M>Так приложение на телефоне всё равно лезет на сайт. Тут другой вопрос с телефоном, что если им завладел злоумышленник и смог получить доступ, то пиши пропало.
да, я понял, просто Sinclair писал: "Приложение генерирует корректный TOTP независимо от мобильного интернета, сотовой сети и прочего вайфая."
Я неправильно интерпретировал, что код подойдет для приложения Госуслуги на телефоне, а не то, что на компе интернет есть, а на телефоне нет, но телефон всё равно сделает нужный пароль для сайта
Re[6]: Минцифры откажется от СМС-подтверждения для входа на "Госуслуги"
Здравствуйте, Marty, Вы писали:
CF>>Только придётся перевести часы назад ещё и на сервере. Тогда примет, да.
M>А как сервер воспримет то, что у него почему-то на будущее в базе лежат кучи кодов, которые он вроде бы пока ещё не должен был бы генерить?
M>Ну, и так-то, я тут как раз не так давно немного разбирался со слетевшей 2FA на гитхабе, я так понимаю, там эти пароли генерятся на небольшое временное окно, три-четыре пароля на последние несколько 30 сек интервалов — скорее всего, это всё в оперативе лежит в каком-нибудь мем-кеше, и быстро удаляется. Так что даже завладев серваком и переставив там время, вряд ли что-то получится сделать
Я имел в виду, переставить время, а после этого залогиниться, чтобы сервер запросил у клиента код. Для этого серверу надо будет сгенерить код по текущему (отстающему) времени, и злоумышленник сможет повторно послать код, перехваченный с клиента в прошлом, когда время было таким, как сейчас на сервере. И поскольку код получится одинаковым, сервер его примет.
Никакие кэши тут не нужны. Зачем? Пользователи не так часто логинятся, чтобы это требовалось кэшировать, а у разных аккаунтов секреты разные, так что и коды будут получаться у каждого свои. А то, что коды из будущего — во-первых, сервер знать не знает, из какого они времени. Сгенерировал коды, сравнил с клиентским вводом, дал разрешение или отлуп, а из какого они там времени, его не колышет. Более того, сервер в любом случае будет генерировать коды из будущего, так как рекомендуется принимать код из текущего интервала, предыдущего и следующего (чтобы не падать при малейшем рассинхроне времени и корректно принимать коды, сгенерированные на границе интервала).
Естественно, от перевода времени могут быть всякие странные последствия (в зависимости от структуры кода и базы данных), но к TOTP это уже отношения не имеет.
И в любом случае, это был чисто умозрительный пример. Если уж мы заполучили доступ к серваку с привилегиями, достаточными для смены текущего времени, то с большой вероятностью у нас уже есть доступ к коду движка и базе данных, а там хранятся все секретные коды для TOTP в сыром виде (хэшировать нельзя, для генерации кода нужен оригинал). И тогда нам нафиг не сдалось куда-то перематывать время, мы можем просто генерировать актуальные коды и по текущему времени. И более того, даже сами эти коды нам уже будут совершенно не нужны.
Почему же, ё-моё, ты нигде не пишешь «ё»?
Re[7]: Минцифры откажется от СМС-подтверждения для входа на "Госуслуги"
Здравствуйте, CaptainFlint, Вы писали:
M>>Ну, и так-то, я тут как раз не так давно немного разбирался со слетевшей 2FA на гитхабе, я так понимаю, там эти пароли генерятся на небольшое временное окно, три-четыре пароля на последние несколько 30 сек интервалов — скорее всего, это всё в оперативе лежит в каком-нибудь мем-кеше, и быстро удаляется. Так что даже завладев серваком и переставив там время, вряд ли что-то получится сделать
CF>Я имел в виду, переставить время, а после этого залогиниться, чтобы сервер запросил у клиента код. Для этого серверу надо будет сгенерить код по текущему (отстающему) времени, и злоумышленник сможет повторно послать код, перехваченный с клиента в прошлом, когда время было таким, как сейчас на сервере. И поскольку код получится одинаковым, сервер его примет.
Как я понял, это не так работает. Сервер не генерит код на какое-то время. Сервер генерит код на текущий момент, отдаёт его приложухе-автотентификатору, и кладёт его в короткую очередь на пару минут. Если от клиента приходит актуальный или один из пары-тройки только-что сгенерированных — всё норм, иначе — фик. Может, я не так всё понимаю, но время нигде никуда не передаётся, передаётся только код, который должен быть не более чем несколько минутной свежести
Здравствуйте, Marty, Вы писали:
M>Как я понял, это не так работает. Сервер не генерит код на какое-то время. Сервер генерит код на текущий момент, отдаёт его приложухе-автотентификатору, и кладёт его в короткую очередь на пару минут. Если от клиента приходит актуальный или один из пары-тройки только-что сгенерированных — всё норм, иначе — фик.
Да, именно так. При рассогласовании времени на устройстве отп код работать не будет
Re[9]: Минцифры откажется от СМС-подтверждения для входа на "Госуслуги"
Здравствуйте, Nnova, Вы писали:
M>>Как я понял, это не так работает. Сервер не генерит код на какое-то время. Сервер генерит код на текущий момент, отдаёт его приложухе-автотентификатору, и кладёт его в короткую очередь на пару минут. Если от клиента приходит актуальный или один из пары-тройки только-что сгенерированных — всё норм, иначе — фик. N>Да, именно так. При рассогласовании времени на устройстве отп код работать не будет
Стопе
По моей версии рассогласование времени не важно, важно, как быстро код вернулся по другому каналу связи. Тут мне кажется, не важно, у кого какое время. Важно, чтобы полученный код был равен текущему или паре-тройке предыдущих на кортких временных интервалах
Здравствуйте, CRT, Вы писали:
M>> а так-то и ножками могу протопать в МФЦ, при необходимости
CRT>Где оператор создаст тебе л/к в г/у, сам задаст пароль и сам будет в твоем л/к оперировать
Здравствуйте, wl., Вы писали:
wl.>я же правильно понимаю, что одноразовый пароль превращается в многоразовый, если знать время его действия? Просто переводишь часы назад на момент валидности пароля, и прога его примет?
Если ты можешь перевести часы "проги", т.е. например Госуслуг, то да — примет.
Но таких людей не очень много
Уйдемте отсюда, Румата! У вас слишком богатые погреба.
Re[4]: Минцифры откажется от СМС-подтверждения для входа на
Здравствуйте, Osaka, Вы писали:
S>>Угнать TOTP или там "перенаправить его на телефон злоумышленника" тоже невозможно. O>Но если "один из национальных месенжеров"(c) позволяет удалённое управление телефоном, тогда что мешает всё это проделать прямо на устройстве лоха, пока тот спит?
Зависит от нюансов реализации телефона. Если в нем есть secure enclave, то, по идее, извлечь из него seed TOTP стороннему мессенджеру не получится.
Но, наверное, можно угнать текущий код, что сильно повышает требования к скорости осуществления этой атаки.
Уйдемте отсюда, Румата! У вас слишком богатые погреба.
Re[10]: Минцифры откажется от СМС-подтверждения для входа на "Госуслуги"
Здравствуйте, Marty, Вы писали:
M>По моей версии рассогласование времени не важно, важно, как быстро код вернулся по другому каналу связи. Тут мне кажется, не важно, у кого какое время. Важно, чтобы полученный код был равен текущему или паре-тройке предыдущих на кортких временных интервалах
Зачем? Фронт просто отдаёт бэку код с вопросом "оно"? Бэк генерирует три последовательных кода, и при совпадении хотя бы с одним из них говорит "ок".
Всё. Зачем ему заранее что-то генерировать, держать в каких-то кэшах?
И никакого "другого" канала связи нет — речь только об одном канале. Код передаётся ровно по тому же каналу, что и логин/пароль.
Уйдемте отсюда, Румата! У вас слишком богатые погреба.
Re[8]: Минцифры откажется от СМС-подтверждения для входа на "Госуслуги"
Здравствуйте, wl., Вы писали:
wl.>да, я понял, просто Sinclair писал: "Приложение генерирует корректный TOTP независимо от мобильного интернета, сотовой сети и прочего вайфая." wl.>Я неправильно интерпретировал, что код подойдет для приложения Госуслуги на телефоне, а не то, что на компе интернет есть, а на телефоне нет, но телефон всё равно сделает нужный пароль для сайта
Приложению "на телефоне" код не нужен, потому что на телефоне чувствительных данных мало. Портал госуслуг — это ж имба: там тебе и налоги, и работа, и дети, и недвига, и авто, и чего там только нет.
В приложении ничего этого нет; максимум — локальный кэш каких-то данных. Не выходя в интернет, ты от собственности на квартиру через Госуслуги не откажешься.
Поэтому приложения защищаются локальной биометрией, там не нужен никакой "второй фактор". Нужна хорошая реализация secure enclave в платформе и правильное её использование в приложении.
Уйдемте отсюда, Румата! У вас слишком богатые погреба.
Re[9]: Минцифры откажется от СМС-подтверждения для входа на "Госуслуги"
Здравствуйте, Marty, Вы писали:
CRT>>Где оператор создаст тебе л/к в г/у, сам задаст пароль и сам будет в твоем л/к оперировать M>Что, оно и правда так работает?
нет конечно. тебе выдадут одноразовый пароль, который нужно будет обязательно сменить при первом входе. точно также дают доступ к ЛК налоговой.
Re[8]: Минцифры откажется от СМС-подтверждения для входа на "Госуслуги"
Здравствуйте, Marty, Вы писали:
CF>>Я имел в виду, переставить время, а после этого залогиниться, чтобы сервер запросил у клиента код. Для этого серверу надо будет сгенерить код по текущему (отстающему) времени, и злоумышленник сможет повторно послать код, перехваченный с клиента в прошлом, когда время было таким, как сейчас на сервере. И поскольку код получится одинаковым, сервер его примет.
M>Как я понял, это не так работает. Сервер не генерит код на какое-то время. Сервер генерит код на текущий момент, отдаёт его приложухе-автотентификатору, и кладёт его в короткую очередь на пару минут. Если от клиента приходит актуальный или один из пары-тройки только-что сгенерированных — всё норм, иначе — фик. Может, я не так всё понимаю, но время нигде никуда не передаётся, передаётся только код, который должен быть не более чем несколько минутной свежести
Именно так. Но код генерируется на текущий момент, по текущим системным часам. Поэтому если отмотать часы назад, то старые коды окажутся валидными.
Иными словами, сценарий такой (совершенно нежизнеспособный и неактуальный по ранее описанным причинам, но технически реализуемый):
1. Злоумышленник перехватывает чью-то сессию аутентификации, сохраняет себе, в какой момент времени это происходило, и записывает пересланный код TOTP.
2. На сервере он отматывает системные часы на то же самое время.
3. Инициирует процедуру аутентификации. Сервер использует свои текущие показания часов для генерации кода TOTP; ему пофиг, актуальное это время или нет, он этого знать не знает, просто берёт значение и засовывает его в алгоритм.
4. Поскольку алгоритм детерменированный и зависит исключительно от секретного кода (который не менялся) и от текущего времени (которое злоумышленник выставил на нужное ему значение), сгенерированный TOTP-код окажется идентичным тому, который был перехвачен в пункте 1.
5. Злоумышленник в ответ на запрос TOTP-кода отправляет этот перехваченный код, сервер сравнивает его с тем, что сгенерировал сам, убеждается в идентичности и авторизует сессию.
Почему же, ё-моё, ты нигде не пишешь «ё»?
Re[8]: Минцифры откажется от СМС-подтверждения для входа на "Госуслуги"
Здравствуйте, Marty, Вы писали:
M>Как я понял, это не так работает. Сервер не генерит код на какое-то время. Сервер генерит код на текущий момент, отдаёт его приложухе-автотентификатору, и кладёт его в короткую очередь на пару минут. Если от клиента приходит актуальный или один из пары-тройки только-что сгенерированных — всё норм, иначе — фик. Может, я не так всё понимаю, но время нигде никуда не передаётся, передаётся только код, который должен быть не более чем несколько минутной свежести
Аутентификатору не передаётся ничего, он в оффлайне работает. Даже секрет записывается оффлайн — с QR-кода. Он даже не знает, для какого сервера этот секрет.
Берётся формула, например, хоть OTP=e^(K*T) mod 1E6. Или в Гугле используется OTP=HMACSHA1(K,T) mod 1E6.
K — секрет клиента, формируется при регистрации и хранится на нём. T — номер временного интервала, время UTC в секундах, делённое на 30, например, как у Гугла.
Дальше сервер просит ввести код. Юзер чешется, может пропустить хоть полчаса, хоть два дня, а потом зайти в аутентификатор, ввести код, посчитанный в моменте, и сервер, получив код, подставит текущее время и секрет клиента в формулу, получит код и сверит с тем, что прислал клиент.
Серёжа Новиков,
программист
Re: Минцифры откажется от СМС-подтверждения для входа на "Госуслуги"
ЛБ>Кто этим идиотам наконец объяснит что проблема не в SMS в качестве второго фактора а в том что у них нет двухфакторной аутентификации. У них нет первого фактора — пароль можно восстановить через SMS.
ЛБ>-
это не совсем так . Для восстановления пароля надо еще перс. данные .
Хотя СМС действительно иногда очень неудобно . Для одного банка нам пришлось добавить google authenticator — клиентам не приходили SMS зарубежом.
идея с Max тухлая изначально .
... Хорошо уметь читать между строк. Это иногда
приносит большую пользу
Re[10]: Минцифры откажется от СМС-подтверждения для входа на "Госуслуги"
Здравствуйте, mike_rs, Вы писали:
CRT>>>Где оператор создаст тебе л/к в г/у, сам задаст пароль и сам будет в твоем л/к оперировать M>>Что, оно и правда так работает?
_>нет конечно. тебе выдадут одноразовый пароль, который нужно будет обязательно сменить при первом входе. точно также дают доступ к ЛК налоговой.
Что "нет конечно"?
Марти писал что ему "цифровизация нафик не упёрлась" и что он "ножками может протопать в МФЦ".
То есть я понял что он собирается получать государственные услуги непосредственно в МФЦ а не через портал госуслуг.
А я ему написал что ему в МФЦ всё равно будут делать через его лк в госуслугах, который для него создадут.
К чему тут твой комментарий "тебе выдадут одноразовый пароль, который нужно будет обязательно сменить при первом входе"?
Re[9]: Минцифры откажется от СМС-подтверждения для входа на "Госуслуги"
Здравствуйте, Marty, Вы писали:
CRT>>Где оператор создаст тебе л/к в г/у, сам задаст пароль и сам будет в твоем л/к оперировать
M>Что, оно и правда так работает?
Для части услуг насколько я понял да. По крайней мере на примере некоторых людей которые я знаю.
Re[2]: Минцифры откажется от СМС-подтверждения для входа на "Госуслуги"
? Персональные данные не являются секретом в отличие от пароля.
Восстановление пароля к Госуслугам должно быть возможно только в МФЦ. Для банков только через банкомат банка либо через операциониста в офисе.
Сам факт посылки SMS человеку который ее не заказывал, то есть не вводил пароль, уже безобразие.
-
Re: Минцифры откажется от СМС-подтверждения для входа на "Госуслуги"
Здравствуйте, Лазар Бешкенадзе, Вы писали:
ЛБ>Кто этим идиотам наконец объяснит что проблема не в SMS в качестве второго фактора а в том что у них нет двухфакторной аутентификации. У них нет первого фактора — пароль можно восстановить через SMS.
Чтобы восстановить пароль через СМС, требуется ввести паспортные данные. Их надо еще откуда-то знать, чтобы ввести.
Re[3]: Минцифры откажется от СМС-подтверждения для входа на "Госуслуги"
Здравствуйте, Sinclair, Вы писали:
S>Угнать TOTP или там "перенаправить его на телефон злоумышленника" тоже невозможно. S>https://habr.com/ru/articles/534064/
Можно попросить пользователя его куда-то там ввести. Собственно, с кодами из СМС примерно так и происходит.
Re[2]: Минцифры откажется от СМС-подтверждения для входа на "Госуслуги"
Здравствуйте, Pzz, Вы писали:
Pzz>Чтобы восстановить пароль через СМС, требуется ввести паспортные данные. Их надо еще откуда-то знать, чтобы ввести.
Вас послушать так можно отменить все пароли и везде аутентифицироваться по паспортным данным.
Пароль это секрет в отличие от паспортных данных — я например свои ввожу в сервисе tutu.ru когда покупаю железнодорожные билеты.
Возможность восстановить пароль должна быть при предъявлении паспорта в МФЦ а не паспортных данных на сайте Госуслуг.
-
Re[5]: Минцифры откажется от СМС-подтверждения для входа на
S>>>Угнать TOTP или там "перенаправить его на телефон злоумышленника" тоже невозможно. O>>Но если "один из национальных месенжеров"(c) позволяет удалённое управление телефоном, тогда что мешает всё это проделать прямо на устройстве лоха, пока тот спит? M>Какой месенджер такое позволяет, и что именно?
Даже если сейчас подобные факты не установлены, кто готов взять на себя финансовое поручительство, что возможность не появится с очередным автоапдейтом (в т. ч. любых других приложений)?
Друга ищи не того, кто любезен с тобой, кто с тобой соглашается, а крепкого советника, кто полезного для тебя ищет и противится твоим необдуманным словам.
Re[3]: Минцифры откажется от СМС-подтверждения для входа на "Госуслуги"
ЛБ>Восстановление пароля к Госуслугам должно быть возможно только в МФЦ. Для банков только через банкомат банка либо через операциониста в офисе.
А операционистки МФЦ/банков должны честно восстанавливать пароль только при явке гражданина с заявлением, а не по звонку из колл-центра.
Друга ищи не того, кто любезен с тобой, кто с тобой соглашается, а крепкого советника, кто полезного для тебя ищет и противится твоим необдуманным словам.
Re[4]: Минцифры откажется от СМС-подтверждения для входа на "Госуслуги"
Здравствуйте, Osaka, Вы писали:
ЛБ>>Восстановление пароля к Госуслугам должно быть возможно только в МФЦ. Для банков только через банкомат банка либо через операциониста в офисе. O>А операционистки МФЦ/банков должны честно восстанавливать пароль только при явке гражданина с заявлением, а не по звонку из колл-центра.
а если в другой стране находишься, ну хоть в том же безвизовом Китае
Re[4]: Минцифры откажется от СМС-подтверждения для входа на "Госуслуги"
Здравствуйте, Osaka, Вы писали:
O>А операционистки МФЦ/банков должны честно восстанавливать пароль только при явке гражданина с заявлением, а не по звонку из колл-центра.
В МФЦ именно так — должно быть письменное заявление человека. В банке достаточно аутентификации по банковской карте. Собственно в Сбербанке все операции делаются при предъявлении паспорта и аутентификации по банковской карте.
-
Re[5]: Минцифры откажется от СМС-подтверждения для входа на
Здравствуйте, wl., Вы писали:
wl.>а если в другой стране находишься, ну хоть в том же безвизовом Китае
Билет на самолет и в Россию в ближайший областной центр.
Ради комфорта горстки людей которые заграницей теряют или забывают пароль нельзя подставлять десятки миллионов людей.
UPDATE
Или перед выездом в Китай ты пишешь заявление в МФЦ что хочешь иметь возможность восстанавливать пароль online. Пусть она будет у тебя. Мне она не нужна — мне нужна нормальная двухфакторная аутентификация.
там еще и паспортные данные
ЛБ>? Персональные данные не являются секретом в отличие от пароля.
это вопрос дискуссионный . Открывая счет в банке ты подписываешь (или присоединяешься) договор, где все подробно отражено , в том числе и восстановление пароля.
ЛБ>Восстановление пароля к Госуслугам должно быть возможно только в МФЦ. Для банков только через банкомат банка либо через операциониста в офисе. ЛБ>Сам факт посылки SMS человеку который ее не заказывал, то есть не вводил пароль, уже безобразие.
Не работает это в России . Для одного банка мы делали восстановление пароля через секретную фразу , не долго продержалось.В итоге все скатилось к карте + sms
Есть интересное наблюдение : допускающие просрочку платежей по кредиту , часто забывают пароль .
... Хорошо уметь читать между строк. Это иногда
приносит большую пользу
Re: Минцифры откажется от СМС-подтверждения для входа на "Госуслуги"
У пользователей есть несколько вариантов для второго фактора защиты учетной записи: через одноразовый код в национальном мессенджере Мах, через одноразовый код в специальном приложении и по биометрии, их можно выбрать в разделе "Безопасность". Вариант с подтверждением по СМС сохраняется для пользователей "Госуслуг" для ПК.
ЛБ>Кто этим идиотам наконец объяснит что проблема не в SMS в качестве второго фактора а в том что у них нет двухфакторной аутентификации. У них нет первого фактора — пароль можно восстановить через SMS.
ЛБ>-
а чем пробелма привязать еще один контакт при переводе денег? родстенники , дети внуки сосдеи? если бабка назависима ну тогда период охлаждения от двуз 2 до 6 недель, чем дольше тем больше адекватная бабка
