Руководитель департамента информационно-аналитических исследований компании T. Hunter Игорь Бедеров в четверг, 16 декабря, прокомментировал «Известиям» планы Минцифры РФ ввести дополнительный этап авторизации через SMS на портале госуслуг для защиты от мошенников.
По словам эксперта, вопрос установки двухфакторной системы идентификации по умолчанию каждому пользователю является актуальным и востребованным.
Однако потенциальные проблемы связаны с выбором средства подтверждения входа на портал. Так, SMS-оповещение признано по всему миру устаревшей и уязвимой технологией, которая не может обеспечить полноценную защиту аккаунта, отметил специалист.
«Действительно, SIM-карту жертвы можно перевыпустить, а SMS-сообщение — перехватить. Более надежную защиту могло бы дать использование специального приложения-аутентификатора, генерирующего уникальный код для каждого соединения и недоступный для злоумышленника», — указал он.
Бедеров также дал гражданам несколько рекомендаций, которые позволят безопасно пользоваться государственными сервисами. В первую очередь эксперт советует не сохранять пароль от портала госуслуг в браузере, а использовать для этого внешнее приложение — менеджер паролей. Также рекомендуется обратиться к оператору связи, написав заявление на запрет любых операций с SIM-картой без личного присутствия гражданина.
О планах на введение второго фактора авторизации на портале госуслуг ранее в этот день сообщил глава Минцифры РФ Максут Шадаев на заседании комитета Госдумы по информационной политике, информационным технологиям и связи. По его словам, данная мера позволит снизить риски кражи учетных записей злоумышленниками. Министр отметил, что операторы связи согласились сделать такие SMS-уведомления безвозмездными.
16 ноября обозреватель компании — разработчика программ кибербезопасности ESET Станислав Жураковский объяснил, как при получении QR-кода на портале госуслуг распознать мошеннический сайт. По его словам, главным признаком настоящего сайта является использование удостоверяющих сертификатов. Их можно проверить в строке браузера по клику на «замочек» в адресной строке, в Safari. После нажатия на строчку «показать сертификат» открывается окно, которое демонстрирует принадлежность домена и его подлинность.