Исчо про госуслуги

[klink0v]

Я чо-та задумался и решил провести "натурный эксперимент" над "Госуслугами" со своей собственной учетной записью. Тут нужно сразу уточнить, что у меня изначально подключен 2FA на вход в личный кабинет посредством tOTP через приложение "Яндекс.Ключ" (т.е. никаких SMS). Выяснилось интересное.

1. Для того чтобы сбросить пароль, достаточно знать номер телефона, серию-номер паспорта и одноразовый код из SMSки. Первое и второе вообще не проблема для жуликов, третье добывается непосредственно из жертвы методами социальной инженерии.
2. После сброса пароля для входа в систему всё равно спрашивают tOTP (в моём случае). Т.е. даже если жулики каким-то образом "разведут" меня на код из SMS, им это всё равно ничего не даст.
3. Изначально ("из коробки") контрольный вопрос пустой. Чтобы задать / изменить этот самый контрольный вопрос, нужно знать только "основной" пароль. И вот это, ящетаю, epic fail.

Получается что по логике работы, "второй фактор" в виде SMSки намного чувствительнее, чем "первый фактор" в виде пароля. Потому что зная код из SMSки и ещё некую информацию, которую весьма несложно раздобыть, можно без проблем сбросить пароль. "Если первое лезвие бреет чисто, а второе ещё чище, то на фига тогда нужно первое?"

Ну и налицо какая-то лютейшая непродуманность бизнес-процессов. Казалось бы, у меня подключен tOTP через приложение, почему тогда при сбросе пароля у меня спрашивают не его, а код из SMSки? А если предположить, что легальный пользователь по каким-то причинам потерял доступ к порталу, почему тогда процедура сброса пароля не отменяет автоматически tOTP? Окей, если всё равно без tOTP не дают зайти, на фига тогда нужен ещё и пароль?

Дальше. Как бе очевидно, что уровень / стоимость защиты должен примерно соответствовать уровню / стоимости защищаемого объекта. То есть, не стоит хранить миллиарды баксов в сарае с амбарным замком, равно как и не имеет смысла хранить дрова в банковской сейфовой ячейке. Но ежели угнав аккаунт от "Госуслуг" принципиально возможно создать гражданину такое количество неприятностей, почему бы не сделать там несколько разных уровней доступа? А самый злобный функционал подтвержать там, прикладывая банковскую или транспортную карту к NFC-модулю телефона, например.

Но, хорошая новость заключается в том, что tOTP через приложение таки выручает. Даже если вы или ваш родственник сдуру или спросонья скажет код из SMSки мошенникам, то они всё равно не зайдут в личный кабинет, хоть и смогут сбросить пароль от него. Так что возьмите на вооружение. Настоятельно рекомендую.