Как напомнил в интервью РИА Новости операционный директор компании "Мультифактор" Виктор Чащин, в качестве вариантов дополняющего пароль "второго фактора" пользователям предлагается СМС-оповещение, код из приложения для генерации временных цифровых паролей или биометрия – скан лица.
Проще всего настроить СМС-авторизацию, однако она, считает Чащин, в теории наименее безопасна – ведь текстовое сообщение от оператора на смартфон можно перехватить, например, завладев SIM-картой.
Одноразовый код из специального ТОТР-приложения (TOTP – Time-based One-time Password, "одноразовый пароль с привязкой ко времени") безопаснее, хотя настроить этот метод людям, которые с гаджетами на "вы", будет сложнее. Такой код злоумышленники смогут получить, только завладев мобильным устройством пользователя и разблокировав его.
Наконец, биометрию Чащин назвал также безопасной, признав при этом, что многих пользователей перспектива хранения таких чувствительных данных на удаленных серверах пугает. "На самом деле биометрия не хранится в чистом виде (например, фото вашего лица), — пояснил эксперт. — Она загружается и используется в формате набора символов, защищенных разными видами шифрования". Впрочем, на мобильных устройствах подтверждать вход на "Госуслуги" по биометрии пока невозможно.
Вот как установить двухфакторную аутентификацию на Госуслугах:
- Зайти в свой профиль, нажав на сайте на аватар или кружок с инициалами в правом верхнем углу и выбрав в появившемся меню пункт "Профиль"
- На открывшемся экране в списке слева нажать "Безопасность"
- На открывшейся вкладке "Вход в систему" нажать "Настроить" в самом первом блоке "Вход с подтверждением"
- Подтвердить телефон для получения кодов двухфакторной аутентификации – для этого на номер придет СМС.
В мобильном приложении путь настройки аналогичный: надо нажать на значок "Профиль" в нижнем правом углу, далее выбрать "Безопасность", далее – "Вход с подтверждением".
О том, что двухфакторная аутентификация на Госуслугах станет обязательной, глава Минцифры Максут Шадаев заявил еще в феврале. "Это позволит нам обеспечить безопасность для тех пользователей, которые используют простые пароли, чьи учетные записи подвергаются вирусным атакам <…>, — пояснил Шадаев. — Второй фактор гарантирует лучшую защиту". Исходно планировалось, что без нее на сайт перестанут пускать с 1 июня, однако затем срок перенесли на 1 октября.
