Я чо-та задумался и решил провести "натурный эксперимент" над "Госуслугами" со своей собственной учетной записью. Тут нужно сразу уточнить, что у меня изначально подключен 2FA на вход в личный кабинет посредством tOTP через приложение "Яндекс.Ключ" (т.е. никаких SMS). Выяснилось интересное.
- Для того чтобы сбросить пароль, достаточно знать номер
( Read more... )
А у них TOTP по RFC, или исключительно Яндекс.Ключ?
Почему вся эта живность не может сделать возможность входа по клиентскому сертификату? Но нет, услуга только для бизнеса...
Reply
По RFC.
Я захожу по квалифицированной ЭЦП. Только она не отменяет / не отключает возможности заходить по паролю.
Reply
Невозможность заходить только по токену - ИМХО, большой косяк с их стороны...
Reply
А разве реализация TOTP в Яндекс.Ключе и ГУ не соответствует RFC6238 (https://ru.wikipedia.org/wiki/Time-based_One-time_Password_Algorithm)? Навскидку, в Яндекс.Ключе корректно работает 2FA Дропбокса. И наборот - в своем FAQ Госуслуги ссылаются в магазины приложений Apple и Android поиском по ключевому слову "OTP", а не ссылкой на конкретное приложение.
Reply
У них есть своя собственная реализация (тот самый Я.Ключ), по которому можно заходить на сервисы яндекса, и есть "ну так и быть" все остальные TOTP по RFC. Вот мне и стало интересно - госуслуги зацепились за RFC или за "локальный стандарт" Яндекса.
Reply
У меня работает с гуглёвым аутентификатором и с тем генератором, что встроен в keepassxc. Яндексовым ключём не пользуюсь.
Reply
О том и был вопрос - я тоже генератором из KeePass пользуюсь :)
Reply
Если включить десяток бомберов, то в минуту будут сыпаться сотни сообщений и звонков с самых разных номеров, а за дополнительную плату - номеров, выглядящих как нормальные, рандомные, на паспорта обычных людей в те или иные годы зарегистрированные.
Как защищаться? Особенно тем, кто постоянно ждёт звонков и сообщений от других людей, включая тех, кто не в телефонной книжке.
Reply
Менять номер телефона. :)
А если серьёзно, то глянь вот эти две статьи.
https://mobile-review.com/all/articles/misc/kollektory-i-golosovoj-spam-pochti-100-zvonkov-v-chas-stradaniya-sluchajnyh-lyudej/
https://mobile-review.com/all/articles/misc/spam-ataka-mobilnogo-telefona-kak-zashhitit-sebya-ot-nepriyatnostej/
У операторов есть свои инструменты для подавления подобных явлений. Надо только найти вменяемого человека из их службы поддержки.
Reply
Leave a comment