Эксперт оценил идею введения авторизации через SMS на портале госуслуг

Руководитель департамента информационно-аналитических исследований компании T. Hunter Игорь Бедеров в четверг, 16 декабря, прокомментировал «Известиям» планы Минцифры РФ ввести дополнительный этап авторизации через SMS на портале госуслуг для защиты от мошенников.

Наличный кабинет: мошенники стали звонить от имени службы поддержки госуслуг

Какой функционал портала наиболее опасен с точки зрения взлома злоумышленниками

По словам эксперта, вопрос установки двухфакторной системы идентификации по умолчанию каждому пользователю является актуальным и востребованным.

Однако потенциальные проблемы связаны с выбором средства подтверждения входа на портал. Так, SMS-оповещение признано по всему миру устаревшей и уязвимой технологией, которая не может обеспечить полноценную защиту аккаунта, отметил специалист.

«Действительно, SIM-карту жертвы можно перевыпустить, а SMS-сообщение — перехватить. Более надежную защиту могло бы дать использование специального приложения-аутентификатора, генерирующего уникальный код для каждого соединения и недоступный для злоумышленника», — указал он.

Бедеров также дал гражданам несколько рекомендаций, которые позволят безопасно пользоваться государственными сервисами. В первую очередь эксперт советует не сохранять пароль от портала госуслуг в браузере, а использовать для этого внешнее приложение — менеджер паролей. Также рекомендуется обратиться к оператору связи, написав заявление на запрет любых операций с SIM-картой без личного присутствия гражданина.

О планах на введение второго фактора авторизации на портале госуслуг ранее в этот день сообщил глава Минцифры РФ Максут Шадаев на заседании комитета Госдумы по информационной политике, информационным технологиям и связи. По его словам, данная мера позволит снизить риски кражи учетных записей злоумышленниками. Министр отметил, что операторы связи согласились сделать такие SMS-уведомления безвозмездными.

16 ноября обозреватель компании — разработчика программ кибербезопасности ESET Станислав Жураковский объяснил, как при получении QR-кода на портале госуслуг распознать мошеннический сайт. По его словам, главным признаком настоящего сайта является использование удостоверяющих сертификатов. Их можно проверить в строке браузера по клику на «замочек» в адресной строке, в Safari. После нажатия на строчку «показать сертификат» открывается окно, которое демонстрирует принадлежность домена и его подлинность.