Операционный управляющий компании «Мультифактор» Виктор Чащин в своем интервью РИА Новости заметил, что двухэтапная проверка подлинности на «Госуслугах» через сообщения СМС, несмотря на свою простоту для пользователя, оказывается наиболее уязвимой с точки зрения безопасности, поскольку СМС можно перехватить.
С первого октября текущего года начали действовать новые правила об Единой системе идентификации и аутентификации (ЕСИА), определенные постановлением правительства России. По этим правилам, двухэтапная проверка подлинности становится обязательной на «Госуслугах». Это подразумевает, что для входа в систему пользователям необходимо предоставить не только пароль, но и дополнительное подтверждение. Возможные методы подтверждения включают одноразовый СМС-код, биометрическую проверку или актуальный код из приложения TOTP (Time-based One-time Password).
«СМС-подтверждение является наиболее простым вариантом для пользователя, потому что телефон есть у каждого из нас. Однако это также самый рискованный способ второго шага аутентификации. Существуют возможности перехвата СМС или доступа к номеру другого человека, например, в случае потери сим-карты», — подчеркнул Чащин. По его мнению, более безопасна и надежна генерация одноразового кода при помощи специфического приложения TOTP, несмотря на то, что для пользователя оно может быть менее удобным. Этот код невозможно перехватить на расстоянии, если только злоумышленник не получит физический доступ к устройству, на котором установлено приложение.
Отдельно стоит упомянуть биометрическую проверку, которая настораживает многих пользователей, поскольку они опасаются отдать компаниям и государству свои важные личные данные. «Фактически биометрия не хранится в прямом виде (например, фотография вашего лица). Она сохраняется и используется в виде набора символов, защищенных различными методами шифрования, что делает этот метод надежным. Однако есть и недостатки в использовании биометрии для «Госуслуг» — доступ можно получить только с компьютера или ноутбука», — указал эксперт.
Любое использование материалов допускается только с указанием источника infopovod.ru
