Дополнительное подтверждение входа на «Госуслуги» станет обязательным с 28 октября 2023 года. Пользователь сможет применить один из трех вариантов дополнительной защиты: код из SMS, одноразовый код из стороннего приложения или вход по биометрии.
Сам принцип двухфакторной аутентификации существенно повышает безопасность несанкционированного доступа к данным пользователя и, на практике, предотвращает более 99% таких угроз, отметил в разговоре с журналистом ComNews директор по развитию и цифровой трансформации РДТЕХ Евгений Осьминин.
Если оценивать различные варианты аутентификации по абсолютным параметрам, то наиболее безопасным можно считать код TOTP, сформированный по алгоритму OATH TOTP либо OATH HOTP, а также аппаратные токены, представляющие собой физические устройства-ключи, объяснил эксперт РДТЕХ.
Однако такой метод аутентификации является относительно новым, требует использования современных смартфонов, либо получения физических устройств в специализированных организациях, что может быть не всегда удобно и привычно некоторым категориям пользователей.
По его словам, риски при использовании биометрических данных обусловлены их типами, прежде всего рисками их хищения. Голос, поведение пользователя в сети, манеру печати на клавиатуре и т.д. похитить легче, с помощью специальных средств, чем, например, радужную оболочку глаза и отпечатки пальцев.
«Если говорить о СМС, то данный способ, в сравнении с другими, является наиболее уязвимым. Однако, за исключением фундаментальной уязвимости в протоколах Common Channel Signaling System 7, являющихся основой современной системы телефонной связи, которая позволяет злоумышленникам перехватить СМС, остальные риски связаны, в основном, с организационными аспектами безопасности, неосторожностью пользователя. Например, злоумышленники могут просто подсмотреть пароль на экране блокировки или заставить сообщить его с помощью мошеннических манипуляций, украсть SIM-карту или дублировать ее при помощи недобросовестных сотрудников салона сотовой связи. Также перехватить СМС с паролем могут троянские вирусы, которыми заражен смартфон», – рассказал Евгений Осьминин.
Он также уточнил, насколько безопасно сдавать биометрию в ЕБС, чтобы затем по ней входить на портал «Госуслуг» через приложение «Госуслуги Биометрия»:
«Безопасность сдачи биометрии через приложения «Госуслуг» достаточно высокая, однако более точно оценить ее пока сложно, поскольку сервисы, работающие через специализированное приложение либо сайт, предполагают использование аппаратное обеспечение пользователя и используют ограниченный набор типов сдаваемых данных.
Однако необходимо помнить, что биометрические данные из-за своей неизменности являются чувствительной информацией, позволяющей не только аутентифицировать пользователя сервиса, но идентифицировать конкретного человека.
Устранить проблемы, связанные с компрометацией таких данных, гораздо сложнее, чем при использовании иных способов аутентификации».
Источник: ComNews