«Подобрать логин и пароль – не проблема для хакеров»: для чего нужна двухфакторная аутентификация на «Госуслугах»?
С 1 июня 2023 года двухфакторная аутентификация будет обязательной для всех пользователей «Госуслуг». Эксперты по кибербезопасности рассказали MIR24.TV, почему возникла необходимость в этом и как работает защита.
«Двухфакторная аутентификация – это способ авторизации пользователя, когда для входа в сервис нужно ввести не только логин и пароль, но и дополнительный одноразовый код, – говорит директор по связям с органами государственной власти IT-компании КСОР «Антисон» Станислав Шмелев. – Такой подход позволяет сделать доступ к личным данным более защищенным: даже если злоумышленнику удалось перехватить логин и пароль, то для доступа в личный кабинет в сервисе этого будет недостаточно. Дополнительный способ идентификации пользователя может быть разным, в зависимости от сервиса. Код может направляться в SMS, письма на электронную почту, в виде пуш-уведомления или звонка на мобильный телефон. Поэтому во всех сервисах стоит указывать только те телефоны и e-mail, к которым у вас есть доступ, чтобы всегда иметь возможность подтвердить свою личность».
По словам начальника управления технологических решений компании ЕАЕ-Консалт Ильи Кадышева, даже двухфакторная аутентификация не является гарантией защиты, например, в случае утери мобильного устройства, на которое приходит код. Тем не менее это все же лучше, чем обычные логин и пароль. «Учитывая то количество персональных данных, которое хранится на портале «Госуслуги», а также те возможности, которые дает государственный портал, я считаю важной и правильной инициативу Минцифры объявить двухфакторную аутентификацию обязательной», – говорит Илья Кадышев.
По словам эксперта, двухфакторная аутентификация неоднократно доказывала свою эффективность. По данным Google, уже через год после внедрения обязательной двухфакторной аутентификации количество взломов сократилось в 2 раза. И хотя ее использование создает дополнительные неудобства, российские пользователи постепенно начинают осознавать: так безопаснее. За 2022 год порядка 5 млн пользователей VK добровольно подключили двухфакторную аутентификацию.
«Но даже двухфакторная аутентификация – не панацея от взлома. Еще в конце 2019 года Microsoft сообщал, что 99,9% взломанных аккаунтов не имели двухфакторной аутентификации. Сегодня же злоумышленникам доступны инструменты взлома, основанные на захвате токенов авторизации, которые чаще всего хранятся в cookie-файлах на пользовательском устройстве. А фишинг и социальная инженерия по-прежнему позволяют злоумышленникам получить уникальные коды из SMS или иного уведомления», – подытожил Евгений Зараменских.