Сегодня 25 декабря 2024
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → 2fa

Двухфакторная аутентификация на Госуслугах станет обязательной для всех

С 1 марта 2023 года Минцифры начнёт вводить обязательную двухфакторную аутентификацию на сайте государственных услуг. Это, по словам главы министерства Максута Шадаева, позволит повысить уровень безопасности пользовательских аккаунтов.

 Источник изображения: Malte Helmhold/unsplash.com

Источник изображения: Malte Helmhold/unsplash.com

«Мы вводим программу обязательности второго фактора. То есть сейчас, чтобы получить доступ на Госуслуги, достаточно ввести логин и пароль. Мы считаем, что нам нужно обязательно использовать второй фактор для авторизации», — заявил руководитель ведомства представителям СМИ.

Как сообщает «Интерфакс» со ссылкой на слова чиновника, обязательная двухфакторная аутентификация начнёт внедряться поэтапно, соответствующие работы стартуют 1 марта. Вторым фактором защиты помимо пары логин/пароль будет обязательное использование SMS-кода либо другого способа (например, с помощью электронной почты). По словам Шадаева, такая технология позволит повысить защиту учётных записей пользователей, особенно для тех, кто использует простые пароли.

Стоит отметить, что доступ к учётной записи портала госуслуг предоставляет пользователю довольно широкие полномочия вплоть до получения подробной информации о собственности гражданина, его доходах, а также прочих сведений персонального характера.

С 1 июля двухфакторная аутентификация станет обязательной для всех пользователей портала Gosuslugi.ru.

Осенью 2022 года сообщалось, что интеграцию с порталом госуслуг получит сервис «ВКонтакте », а в VK-мессенджер можно будет получать уведомления из государственных ведомств.

Уязвимость в Instagram✴ позволяла обходить двухфакторную аутентификацию Facebook✴

Охотник за программными ошибками (Bug-Bounty Hunter, по аналогии с Bounty Hunter — охотник за головами) с псевдонимом Gtm Mänôz обнаружил проблему в API соцсети Instagram, которая может позволить злоумышленнику запускать брутфорс-атаки и обходить двухфакторную аутентификацию (2FA) в соцсети Facebook, принадлежащей той же компании, Meta Platforms.

 Источник изображения: themerkle.com

Источник изображения: themerkle.com

Пользователь может связать свои учётные записи Instagram и Facebook, добавив в первую уже подтверждённый номер мобильного телефона, связанный с учётной записью Facebook. После ввода номера мобильного телефона Facebook генерирует одноразовый код для подтверждения личности пользователя.

Но ошибка с ограничением числа попыток доступа в Instagram может позволить злоумышленнику управлять неограниченным бот-трафиком, чтобы запустить брутфорс-атаку для подтверждения одноразового PIN-код Facebook, эффективно обходя двухфакторную защиту Facebook.

«Если номер телефона был полностью подтверждён и в Facebook включена двухфакторная аутентификация, то она будет отключена или деактивирована в учётной записи жертвы, — обнаружил Gtm Mänôz. — И, если номер телефона был частично подтверждён (то есть использовался только для 2FA), 2FA будет отменена, а номер телефона будет удалён из атакованной учётной записи».

Охота Gtm Mänôz за ошибками была успешной — на данный момент Meta уже исправила проблему и выплатила ему 27 000 долларов в рамках программы вознаграждения за обнаружение уязвимостей. Всем пользователям рекомендуется незамедлительно обновить приложения Meta до последней версии, чтобы избежать уязвимости.


window-new
Soft
Hard
Тренды 🔥
Новая реальность: успех S.T.A.L.K.E.R. 2: Heart of Chornobyl позволит GSC добавить в игру вырезанный контент 19 мин.
ИИ научили генерировать тысячи модификаций вирусов, которые легко обходят антивирусы 3 ч.
В Epic Games Store стартовала новая раздача Control — для тех, кто дважды не успел забрать в 2021 году 3 ч.
За 2024 год в Steam вышло на 30 % больше игр, чем за прошлый — это новый рекорд 4 ч.
«Яндекс» закрыл почти все международные стартапы в сфере ИИ 4 ч.
Создатели Escape from Tarkov приступили к тестированию временного решения проблем с подключением у игроков из России — некоторым уже помогло 5 ч.
Веб-поиск ChatGPT оказался беззащитен перед манипуляциями и обманом 6 ч.
Инвесторы готовы потратить $60 млрд на развитие ИИ в Юго-Восточной Азии, но местным стартапам достанутся крохи от общего пирога 7 ч.
Selectel объявил о спецпредложении на бесплатный перенос IT-инфраструктуры в облачные сервисы 7 ч.
Мошенники придумали, как обманывать нечистых на руку пользователей YouTube 8 ч.