Меня беспокоит не столько принуждение к доставке одноразовых кодов для Госуслуг через MAX, сколько продвижение мобильных приложений на смартфоне как основного, безопасного и прогрессивного способа получения доступа к Госуслугам. 🙄 Хотя здесь есть вполне очевидные проблемы с 2FA:
🟢 Если вы заходите с паролем от Госуслуг на одном устройстве (десктопе), а код получаете на другое устройство (по SMS, через мессенджер только на это устройство, OTP-приложение - не суть), это нормальная двухфакторка. 👍 Злоумышленнику нужно скомпрометировать сразу 2 разных устройства, это сложно и дорого.
🔴 Но если вы заходите с паролем в приложение Госуслуг на смартфоне и код получаете на тот же смартфон (см. выше как), то второго фактора у вас нет. 🤷♂️ Если злоумышленник скомпрометирует смартфон, он получит полный доступ к Госуслугам и натворит бед. А смартфоны в массе своей уже скомпрометированы. Ещё и сессия длится аж 6 месяцев! 😱
Эти риски почему-то игнорируются. 🤷♂️
Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно прочитать здесь. Приглашаю подписаться на мой канал в Telegram @avleonovrus. Я обновляю его чаще, чем этот сайт. Вы можете обсудить мои посты или задать вопросы в @avleonovchat или в группе ВКонтакте.
And I invite all English-speaking people to another telegram channel @avleonovcom.