Опрос
|
реклама
Быстрый переход
Двухфакторная аутентификация на Госуслугах станет обязательной для всех
10.02.2023 [16:05],
Руслан Авдеев
С 1 марта 2023 года Минцифры начнёт вводить обязательную двухфакторную аутентификацию на сайте государственных услуг. Это, по словам главы министерства Максута Шадаева, позволит повысить уровень безопасности пользовательских аккаунтов. ![]() Источник изображения: Malte Helmhold/unsplash.com «Мы вводим программу обязательности второго фактора. То есть сейчас, чтобы получить доступ на Госуслуги, достаточно ввести логин и пароль. Мы считаем, что нам нужно обязательно использовать второй фактор для авторизации», — заявил руководитель ведомства представителям СМИ. Как сообщает «Интерфакс» со ссылкой на слова чиновника, обязательная двухфакторная аутентификация начнёт внедряться поэтапно, соответствующие работы стартуют 1 марта. Вторым фактором защиты помимо пары логин/пароль будет обязательное использование SMS-кода либо другого способа (например, с помощью электронной почты). По словам Шадаева, такая технология позволит повысить защиту учётных записей пользователей, особенно для тех, кто использует простые пароли. Стоит отметить, что доступ к учётной записи портала госуслуг предоставляет пользователю довольно широкие полномочия вплоть до получения подробной информации о собственности гражданина, его доходах, а также прочих сведений персонального характера. С 1 июля двухфакторная аутентификация станет обязательной для всех пользователей портала Gosuslugi.ru. Осенью 2022 года сообщалось, что интеграцию с порталом госуслуг получит сервис «ВКонтакте », а в VK-мессенджер можно будет получать уведомления из государственных ведомств. Уязвимость в Instagram✴ позволяла обходить двухфакторную аутентификацию Facebook✴
31.01.2023 [19:05],
Сергей Сурабекянц
Охотник за программными ошибками (Bug-Bounty Hunter, по аналогии с Bounty Hunter — охотник за головами) с псевдонимом Gtm Mänôz обнаружил проблему в API соцсети Instagram✴, которая может позволить злоумышленнику запускать брутфорс-атаки и обходить двухфакторную аутентификацию (2FA) в соцсети Facebook✴, принадлежащей той же компании, Meta✴ Platforms. ![]() Источник изображения: themerkle.com Пользователь может связать свои учётные записи Instagram✴ и Facebook✴, добавив в первую уже подтверждённый номер мобильного телефона, связанный с учётной записью Facebook✴. После ввода номера мобильного телефона Facebook✴ генерирует одноразовый код для подтверждения личности пользователя. Но ошибка с ограничением числа попыток доступа в Instagram✴ может позволить злоумышленнику управлять неограниченным бот-трафиком, чтобы запустить брутфорс-атаку для подтверждения одноразового PIN-код Facebook✴, эффективно обходя двухфакторную защиту Facebook✴. «Если номер телефона был полностью подтверждён и в Facebook✴ включена двухфакторная аутентификация, то она будет отключена или деактивирована в учётной записи жертвы, — обнаружил Gtm Mänôz. — И, если номер телефона был частично подтверждён (то есть использовался только для 2FA), 2FA будет отменена, а номер телефона будет удалён из атакованной учётной записи». Охота Gtm Mänôz за ошибками была успешной — на данный момент Meta✴ уже исправила проблему и выплатила ему 27 000 долларов в рамках программы вознаграждения за обнаружение уязвимостей. Всем пользователям рекомендуется незамедлительно обновить приложения Meta✴ до последней версии, чтобы избежать уязвимости. |
✴ Входит в перечень общественных объединений и религиозных организаций, в отношении которых судом принято вступившее в законную силу решение о ликвидации или запрете деятельности по основаниям, предусмотренным Федеральным законом от 25.07.2002 № 114-ФЗ «О противодействии экстремистской деятельности»; |