Comments | klink0v: Исчо про госуслуги

klink0v

Исчо про госуслуги

Nov 17, 2023 18:32

Я чо-та задумался и решил провести "натурный эксперимент" над "Госуслугами" со своей собственной учетной записью. Тут нужно сразу уточнить, что у меня изначально подключен 2FA на вход в личный кабинет посредством tOTP через приложение "Яндекс.Ключ" (т.е. никаких SMS). Выяснилось интересное.

Для того чтобы сбросить пароль, достаточно знать номер ( Read more... )

безопасность, интернетное

Leave a comment

Back to all threads

rustedowl November 17 2023, 17:19:36 UTC

А у них TOTP по RFC, или исключительно Яндекс.Ключ?
Почему вся эта живность не может сделать возможность входа по клиентскому сертификату? Но нет, услуга только для бизнеса...

klink0v November 17 2023, 18:26:07 UTC

По RFC.

Я захожу по квалифицированной ЭЦП. Только она не отменяет / не отключает возможности заходить по паролю.

rustedowl November 19 2023, 09:57:55 UTC

Невозможность заходить только по токену - ИМХО, большой косяк с их стороны...

oleg_umnik November 18 2023, 11:05:53 UTC

А разве реализация TOTP в Яндекс.Ключе и ГУ не соответствует RFC6238 (https://ru.wikipedia.org/wiki/Time-based_One-time_Password_Algorithm)? Навскидку, в Яндекс.Ключе корректно работает 2FA Дропбокса. И наборот - в своем FAQ Госуслуги ссылаются в магазины приложений Apple и Android поиском по ключевому слову "OTP", а не ссылкой на конкретное приложение.

rustedowl November 19 2023, 09:59:39 UTC

У них есть своя собственная реализация (тот самый Я.Ключ), по которому можно заходить на сервисы яндекса, и есть "ну так и быть" все остальные TOTP по RFC. Вот мне и стало интересно - госуслуги зацепились за RFC или за "локальный стандарт" Яндекса.

stanislavvv November 20 2023, 07:09:13 UTC

У меня работает с гуглёвым аутентификатором и с тем генератором, что встроен в keepassxc. Яндексовым ключём не пользуюсь.

rustedowl November 20 2023, 09:39:51 UTC

О том и был вопрос - я тоже генератором из KeePass пользуюсь :)

mnogo_hodovka November 20 2023, 08:44:04 UTC

Пользуясь случаем, хочу спросить у Вас и у всех остальных читающих по смежной теме - защите от хулиганов. Как в России защититься от хулиганов, которые ради мести или чего-то такого будут на номер телефона (Билайн, Теле2, МТС, Мегафон - 4 варианта) включать бомберы (сообщений и звонков)?

Если включить десяток бомберов, то в минуту будут сыпаться сотни сообщений и звонков с самых разных номеров, а за дополнительную плату - номеров, выглядящих как нормальные, рандомные, на паспорта обычных людей в те или иные годы зарегистрированные.

Как защищаться? Особенно тем, кто постоянно ждёт звонков и сообщений от других людей, включая тех, кто не в телефонной книжке.

klink0v November 20 2023, 09:05:54 UTC

Менять номер телефона. :)

А если серьёзно, то глянь вот эти две статьи.

https://mobile-review.com/all/articles/misc/kollektory-i-golosovoj-spam-pochti-100-zvonkov-v-chas-stradaniya-sluchajnyh-lyudej/

https://mobile-review.com/all/articles/misc/spam-ataka-mobilnogo-telefona-kak-zashhitit-sebya-ot-nepriyatnostej/

У операторов есть свои инструменты для подавления подобных явлений. Надо только найти вменяемого человека из их службы поддержки.

Back to all threads