Исчо про госуслуги

[klink0v]

Я чо-та задумался и решил провести "натурный эксперимент" над "Госуслугами" со своей собственной учетной записью. Тут нужно сразу уточнить, что у меня изначально подключен 2FA на вход в личный кабинет посредством tOTP через приложение "Яндекс.Ключ" (т.е. никаких SMS). Выяснилось интересное.

1. Для того чтобы сбросить пароль, достаточно знать номер

Comments

[rustedowl]

А у них TOTP по RFC, или исключительно Яндекс.Ключ?
Почему вся эта живность не может сделать возможность входа по клиентскому сертификату? Но нет, услуга только для бизнеса...

[klink0v]

По RFC.

Я захожу по квалифицированной ЭЦП. Только она не отменяет / не отключает возможности заходить по паролю.

[rustedowl]

Невозможность заходить только по токену - ИМХО, большой косяк с их стороны...

[oleg_umnik]

А разве реализация TOTP в Яндекс.Ключе и ГУ не соответствует RFC6238 (https://ru.wikipedia.org/wiki/Time-based_One-time_Password_Algorithm)? Навскидку, в Яндекс.Ключе корректно работает 2FA Дропбокса. И наборот - в своем FAQ Госуслуги ссылаются в магазины приложений Apple и Android поиском по ключевому слову "OTP", а не ссылкой на конкретное приложение.

[bullfinch]

Хм, не знал, что вход на Госуслуги можно подтверждать через Яндекс.Ключ. Надо будет попробовать.

[sergey_cheban]

Подтверждаю, работает. Причём не только через яндекс-ключ.

[zimins_net]

"А самый злобный функционал подтвержать там, прикладывая банковскую или транспортную карту к NFC-модулю телефона, например."

Загранпаспорт и приложение Госключ (или как-то схоже).

[klink0v]

Например так, да.

Но загранпаспорт надо к Госключу прикладывать только при выпуске / перевыпуске / продлении ЭЦП. Дальше уже он не нужен.

[advocatspb]

Допустим, по незаконной инициативе властей клиент сервиса стал иноагентом, или не дай бог экстремистом, не приведет ли это к блокировке яндекс-ключа и ограничению доступа к госуслугам?
Можно ли ныне в принципе доверять что-либо яндексу, дефакто клиентелле государства?

[scarab]

В подобном случае доступ проще ограничить на самих госуслугах, чем бодаться с яндексом, который формально всё же частная лавочка, к тому же с зарубежными юрлицами.

А 2FA к госуслугам можно прикрутить и от Google Authenticator. Но гугелю в сложившейся ситуации у меня доверия куда меньше, чем Яндексу, потому что ему даже претензию предъявить не выйдет. У Яндекса хотя бы офис есть, куда можно ногами с паспортом прийти.

[dn54]

Хм, и тут у меня родилось два вопроса:

1) а за всю историю есть хоть один прецедент блокировки Google Authenticator для кого-либо?
2) насколько это сложно осуществляется технически и/или возможно ли вообще?

[klink0v]

Тут нужно разделить вопросы на тему "Аутентификация на сервисах Яндекс / Гугол" и "просто tOTP".

То что там у них на сервисах, ЕМНИП, какой-то проприетарный протокол. А "обычный" tOTP как бе в RFC-стандартах описан (тут уже в комментах выше ссылку дали).

И аутентификатор в контексте tOTP - штука полностью оффлайновая. То есть, она не общается ни с какими серверами в принципе, и интернет ей не требуется. Поэтому несколько непонятно, как можно заблокировать именно tOTP-аутентификатор.

Но если не нравятся Яндексовский / Гугловский, то в магазинах приложений этих tOTP-софтин как грязи.

[mindfactor]

а как этот tOTP бэкапить ?

[klink0v]

В случае с Яндекс.Ключом - штатными средствами, у него есть такой функционал. У остальных - не знаю.

[rustedowl]

При создании ключа можно сфотографировать QR-код (если на мобилке) или скопировать строку, если на десктопе. Но обычно весь софт этого типа предлагает бэкапы.