Подтверждение входа на портал Госуслуги через СМС отключают

А когда сервис позволяет заходить/регаться только через гугл/эппол, чо ж пердаки не летят?

Летят, просто не так сильно. Обычно не что-то реально необходимое и безальтернативное, либо давно уже такой фигнёй страдает и игнорируется. Что кто-то именно переходит на вход только через гугл/эппл, случается редко.

Вход в приложение «Госуслуги» можно подтвердить разными способами

Доставило: «Этот способ имеет дополнительную защиту от социальной инженерии — перед получением кода чат-бот задаст вопросы, которые помогут выявить злоумышленника.»
Как это поможет от соц. инженерии? Уважаемый Иван Кузьмич, как зовут вашего папу? Иван Кузьмич, а правда что у вас есть машинка с гос. номером x000xx00 ? И т.д. и т.п. Соц.инженерия как раз и нацелена на получение подобных данных.
ЗЫ Ну и в копилку: какая разница Ивану Кузьмичу от того, что он будет диктовать злоумышленникам только логин и пароль или докинет ответы на секретные вопросы?

Из этой новости (а точнее комментариев к ней) я узнал, что такая возможность в принципе есть. Заходил, как дурак, по СМС (с десктопа), переключил на вход через TOTP. Спасибо :)

По коду TOTP

… Одноразовый код будет приходить в приложение …

Приходить. Когда упрощение «чтобы поняли даже дураки» полностью уничтожает смысл технологии.

так защищаются то они от новой авторизации

А, я извиняюсь, где об этом в новостях, кроме воя «ВСЁ ПРОПАЛО!11»? :)

Ну вышел я из учётки из приложения на смартфоне, логинюсь заново, приходит СМС, потом окно про MAX с «Пропустить» под кнопкой «Подключить»

Если заходить в приложение Госуслуги в первый раз, то всё равно будет через встроенный браузер. Если заходишь по пин-коду, то не всплывает.

Нет. Только что не поленился и проверил.

А, я извиняюсь, где об этом в новостях, кроме воя «ВСЁ ПРОПАЛО!11»? :)

так про это давно прогрев шел. типа все делается для того, чтоб злодей не мог зайти в чужой акк. как раз когда макс на парковке стал ловить. только даже это все по тупому сделано. как будто злодеи не знают про веб версию. лучше бы детектили определенные раскладки/локали/таймзоны и блокировали вход.

Ну вышел я из учётки на смартфоне, логинюсь заново, приходит СМС, потом окно про MAX с «Пропустить» под кнопкой «Подключить»

ну значит ждать надо когда для всех заработает.

переключил на вход через TOTP

Ага, аналогично, слышал, но всё время руки не доходили.

Пруф подвезли https://habr.com/ru/news/973760/

Это ты иди и рандому объясняй кто где должен быть.

Если этот сервис изначально предполагал только такие способы входа, то воспользовавшись им, ты с этим согласился.

Но если сервис годами работает по логину и паролю, а потом в один прекрасный момент, так, КЕРАКС, и ВЫ БУДЕТЕ входить через гугол или эппол. Неважно, хотите, есть они у вас… Без объявления войны или предупреждений о том, что это станет обязательным через месяц – это хамство. И полыхания тут вполне оправданные.

И вообще, тут есть ещё один фактор. Если бы к Госуслугам прикрутили вход через Google аккаунт, например, на Android, то это тоже бы вызвало недовольство, но не на уровне стратосферы, а остановились бы на уровне птичьего полёта.

Потому что Google аккаунт есть почти у каждого владельца смартофона на Android, именно потому, что когда они купили смартофон с GMS, и вошли в аккаунт, они согласились с этим.

Тут же речь про мессенджер МАХнул, который ненавидят все и пытаются протолкнуть через административные каналы методом «добровольно-принудительно». Его ненавидят 90% населения, уже.

Приведя аналогию такому «предложению», тебе поставили на стол большую анальную пробку, внешним диаметром сантиметров в 10 и сказали вставляй, а то не будет тебе никаких Госуслуг. Вот как это «предложение» ощущается. Когда как гугол и так тебя уже поимел. Прастите.

если сервис годами работает по логину и паролю

То это причина забивать болт на безопасность? Про SS7 (ОКС) уже даже бабки деревенские слышали, там дырам лет 30 минимум. И вот страна в условиях войны, где мошенничество стало оружием, должна такая «ну мы HTTP/FTP не будем убирать, HTTPS это хамство»

Вот как это «предложение» ощущается

С учетом правок типа «новости», у тебя есть выбор, засунуть зонд в жопу или просто уйти. Ты выбираешь первое, тебе больно, ты не доволен. То что тенденции печальные никто не спорит. Но ты события то не опережай.

Тут же речь про мессенджер МАХнул, который ненавидят все и пытаются протолкнуть через административные каналы методом «добровольно-принудительно». Его ненавидят 90% населения, уже.

Только вот прогрев гоев присутствовал прям очень-очень сильный. Мне родственники, далёкие от софта и т.д. с выпученными глазами говорили «ты его код ваще видел???» и «да он внедряется в смартфон хакерскими способами!11» :))

Там с получением кодов вообще клоунада. Тебе дают квест уровня «а вам точно не звонят из ФСБ?» или «а у вас точно никто по телефону не требует этот код?», «а вы уверены, что они не мошонники?». Который только лишний раз время тратит, пока «правильно» не прокликаешь. А если палец соскользнёт, то тебе заблочат аккаунт на три денька. Так, на всякий случай.

Тебе нужна справка сейчас? Шуруй в МФЦ за разблокировкой. Пофиг, что там очередь на 3 часа, можешь записаться заранее (за три недели, лол). И зададут пройти такой же квест, чтобы выявить, под влияением ты или нет. Только попробуй разозлиться перед оператором, пошлют лесом, для твоего же, опять же, блага. А если пройдёшь, лиший раз пароль тебе ещё сменят, на свой, сгенерированный, «безопасный».

Я лично не получал, но слышал от тех, кому пришлось. Часть про «палец соскользнёт» я выдумал, но вполне вероятный сценарий.

И вот страна в условиях войны, где мошенничество стало оружием, должна такая «ну мы HTTP/FTP не будем убирать, HTTPS это хамство»

Именно. https://www.cbr.ru/press/event/?id=28088: «В III квартале злоумышленникам удалось совершить 460,1 тыс. мошеннических операций, что на 51% больше по сравнению со средним значением за последние 4 квартала. Объем хищений практически не изменился и составил 8,2 млрд рублей»

Т.е. за 3-й квартал 2025 года - 8.2 ярда, это гигантские деньги. И, судя по всему, в следующем году их будет больше.

Понятное дело, что если гора не идёт к Магомеду, то Магомед пойдёт к горе сам (я, разумеется, не радуюсь этому, вообще не даю оценку, просто подсвечиваю факт)

Я вот только не могу понять, что изменится с переходом на мах. Что помешает передать код оттуда?

Вы не понимаете. Это! другое. (c)

Тебе дают квест уровня «а вам точно не звонят из ФСБ?» или «а у вас точно никто по телефону не требует этот код?», «а вы уверены, что они не мошонники?». Который только лишний раз время тратит, пока «правильно» не прокликаешь.

Увы, это защита от угона денег для дебилов, у которых откуда-то есть деньги…

Ну и для пенсионеров, которые уже не соображают так хорошо, как люди моложе.

либо некая биометрия, которая непонятно как должна быть доступна на десктопе в принципе.

Это вам непонятно, а люди принимающие решения сидят на моноблоках со встроенными камерами и говорят «Вот же! В каждом компьютере есть камера, давайте ещё faceid запилим. Кто против? Никто? Единогласно!». Пользователь робко со стороны «ну у меня нет камеры...». Принимающие решения: «А это теперь твоя ЛПП».

Видел я этот прогрев. Но там больше провальная промо-компания повлияла на ненависть, чем эти вбросы.

Только это детище было выпущено в бета-статусе, его не успели рассмотреть как следует, не появился нормально функционал каналов, так уже стало известно, что школьников на него будут пихать, как когда-то им пихали ВК со Сферумом. Уже с этого года.

Не то что там можно воспользоваться через него Сферумом, через альтернативный канал, вместо ВК. А именно теперь оно будет в МАХнуле и точка. Сферум и так был прецедентом и второго такого люди не хотят получить, но тот кто был PR-отделе, он был либо тупой, либо не в теме.

А все эти вбросы с «разборами APK» только подогрели ненависть. Вот тот, кто придумал их, вот тот всё правильно сделал, чтобы насолить.

Потому что народ у нас не любит спешку и «принудиловку». У нас скорее жопу порвут на британский флаг, чем на полном серьёзе будут пользоваться тем, что навязали. Хотя я видел уникумов, которые наоборот, проглотили и им даже понравилось.

А после провала промо-компании и заслужив ненависть народа, не успев толком заработать, они решили усилить административное «добровольно-принудительное» довление, чем окончательно уничтожили репутацию. Мой пример с анальной пробкой выше. Теперь уже неважны трекеры-херекеры, может он там в фоне микрофон слушать или нет, это просто личный товарищ Майор, которого пытаются пихнуть на каждый смартофон.

Даже довольно умные люди, работавшие на высоких должностях в государственных организациях, тоже высказались против этого мессенджера. И того, с какой спешкой его пихали, в том числе и в одну сетку с Госуслугами. Мол, не к добру это.

P.S. Это чисто моё видение ситуации.

Я лично знаю, что он в фоне микрофон слушать не может, тут гугол постарался. Камеру смотреть тоже. Но всё что туда попадает, включая превьюшки файлов из памяти твоего телефона, вполне вероятно, оказывается в доступности у товарища Майора. Потому его без «гандона» в виде Shelter ставить могут только отпетые, вроде «нечего скрывать». Но это моё ИМХО.

Ну значит, либо не попал в группу, либо это упущение, которое скоро исправят.

С кодом из кипаса все заходится в веб по старому, хотя весь прошлый месяц предлагал получать уведомления в максе, потом правда перестал.

Инициатива с точки зрения государства понятная, но с пиаром макса у государства не задалось, как и в общем с почти любым пиаром от госухи.

Макс, телеграм, вассап — одного поля ягоды. Поэтому лучше пользоваться свободными программами, как завещал Столлман!

Но там больше провальная промо-компания повлияла на ненависть

Это врядли. Но промо-кампания была действительно бездарной, у нас сложно с государственной социалкой и подобными вещами.

Потому что народ у нас не любит спешку и «принудиловку». У нас скорее жопу порвут на британский флаг, чем на полном серьёзе будут пользоваться тем, что навязали.

Есть мнение, что без прогрева гоев гоям было бы намного более пофиг :) А тут прям огого какая народная ненависть.

Даже довольно умные люди, работавшие на высоких должностях в государственных организациях, тоже высказались против этого мессенджера.

О, а где почитать, а то что-то мимо меня прошло?

Я лично знаю, что он в фоне микрофон слушать не может, тут гугол постарался. Камеру смотреть тоже.

Ну слава богам.

Но всё что туда попадает, включая превьюшки файлов из памяти твоего телефона, вполне вероятно, оказывается в доступности у товарища Майора.

Да-да, именно поэтому он спокойно обитает себе в google play ;)

Этоконец.

Для чего в принципе нужно приложение госуслуг? Обращался в гос.ограны в этом году три раза, ни разу это приложение было не нужно, хватало записи через компьютер. В гаи у полицаев была сломана электронная очередь в принципе - Ц - цифровизация.

А что что мешает установить этот макс в пустой профиль андроида и использовать его только для входа в госуслуги переключаясь на него на нужное время для входа в гос.услуги, а все остальное время макс будет не активен?

Вопросы я конечно риторические, но опасения обычных граждан мне понятны и мною разделяются.

То это причина забивать болт на безопасность? Про SS7 (ОКС) уже даже бабки деревенские слышали, там дырам лет 30 минимум. И вот страна в условиях войны, где мошенничество стало оружием, должна такая «ну мы HTTP/FTP не будем убирать, HTTPS это хамство»

В чём проблема пропиарить TOTP среди населения? И дать выбор получать СМС-коды на мессенджер. Но не только МАХнул, а подключить ещё и ВК, и Яндекс, на выбор?

Кстати, до внедрения МАХнула, Госуслуги пользовались ВК для рассылок, если у тебя зареган на тот же номер. ЕМНИП, в том числе и для рассылки кодов. Но этот функционал куда-то пропал аккурат во время внедрения МАХнула… Чот попахивает, распилом и преференциями.

Много ты знаешь примеров применения SS7 конкретно в России, в контексте последних 3-ех лет? Я удивлюсь, если это провернуть сейчас может кто-нибудь, кроме спецслужб. Чаще перевыпускали симки через коррумпированных сотрудников салонов связи и таким образом, получали доступ к СМСкам. Но и эту лазейку прикрыли, сделав «период охлаждения» в 24 часа, после выхода симки.

Но ты события то не опережай.

Ок, не буду.

Пофиг, что там очередь на 3 часа, можешь записаться заранее (за три недели, лол).

Да, да, так и есть. Или «очередь» или «записывайся» или «очередь И записывайся». Последний вариант тоже проходили, после очереди «моя ничего не знает и не умеет, вам надо записываться заранее на получение этой услуги». Но есть и четвертый после третьего, записался с перезакладом после назначенной даты, пришел «а документы ещё не готовы», повторять можно несколько раз. И ЧСХ, забить в варианте «приду через пару месяцев» тоже нельзя, пробовал, они их в /dev/null по прошествии какого-то не сильно большого срока отправляют.

А если пройдёшь, лиший раз пароль тебе ещё сменят, на свой, сгенерированный, «безопасный».

Да! Эти «безопасные пароли» вестч! «Сейчас я вам распечатаю» и валит кудато-то далеко к принтеру... Или трешовее «сейчас принесут». И вот ты потом бежишь со всех ног домой, что бы поменять этот долбанный пароль, ибо с мабилы под камерами да и на ходу тоже оно как-то не очень. Я своим родным в таких случаях даю одну инструкцию: «получили пасс и сразу домой без заходов во всякие магазины, поменяли пасс, от теперь можно и по магазам.»

Спирт?

ни разу это приложение было не нужно

Полностью согласен

опасения обычных граждан мне понятны и мною разделяются

За всех не скажу, но 95%-ам похрен. Решительно без всяких сомнений глубочайше похрену

О, а где почитать, а то что-то мимо меня прошло?

Ну вот эксперт по электронной подписи весьма осторожно к нему относится, указывая на весьма взаимоисключающие заголовки и не стремясь к созданию канала там:

https://t.me/ep_uc/3976

https://t.me/ep_uc/4009

Открыто не высказывался.

Был ещё Лукацкий, но я его давно не читал. Как-то выпал из его канала после августа, накопилась сотня постов к прочтению, я забил и отписался. Сфера ИБ мне не прям к сердцу близка.

Да-да, именно поэтому он спокойно обитает себе в google play ;)

Ну есть люди, которые указывали на это, что в Google Play нужно загружать не обфусцированные исходники. Но что там в RuStore распространяется, это уже хз. У меня вообще Google Play нету, Honor.

Это в какой стране в местный аналог госуслуг можно зайти только через гугл/эппол щ_0 ?

Когда уже на ЛОР прикрутят?

с выпученными глазами говорили «ты его код ваще видел???»

Хотите сказать, они неправы и вы действительно видели код мессенджера МАКС? Прямо вы лично полноценный аудит провели? Код-то телеги, например, открыт.

Хотите сказать, они неправы и вы действительно видели код мессенджера МАКС?

«далёкие от софта и т.д.» ты намеренно пропустил?

Истинность утверждения не зависит от личности оратора. Т.е. ваши собеседники-то по-факту правы насчёт сабжа: код его вы не видели, т.к. этот «макс» - проприетарная помойка.

А при чем тут ГУ? Вон в дипсике какое-то время почта не работала, можно было пользоваться только через гугл. В пушбулете до сих пор гугл и мордокнига. Я говорю что таких примеров куча.

Да блин, ещё один аутист, не понимающий контекста…

Зачем туда вообще входить? Тем более со смартфона. По-моему очень странное желание, и если уж оно возникло, то зондом больше, зондом меньше. Все равно вас уже поимели в межушный ганглий.

либо некая биометрия, которая непонятно как должна быть доступна на десктопе в принципе.

Ага, отпечаток жопы. Скоро и в магазин не пустят без него, делайте уже сейчас.

Заходил, как дурак, по СМС (с десктопа), переключил на вход через TOTP.

Там нормальный totp, который можно использовать в линукс, например командой oathtool --totp или какое-нибудь кастомное извращение, работающее только в их устанавливаемых программах?

Из телеги минцифры:

Преимущества кода в МАХ Этот способ имеет дополнительную защиту от социальной инженерии — перед получением кода чат-бот задаст вопросы, которые помогут выявить злоумышленника. Если ответы вызовут подозрение — он не выдаст код и предупредит об опасности. Подключить в качестве второго фактора защиты одноразовый код в МАХ

По ходу, это OTP, и ещё надо будет какую-то бездушную машину убеждать отдать его тебе.

Нормальный. Я пользуюсь, всё хорошо.

какая разница? главное, чтобы юзер понял и прекратил использовать sms для авторизации.

Там нормальный totp

Да.

Через Макс всплывает уведомление что пришёл код. Если на него нажать, открывается мини-прилодение внутри Макса, которое спрашивает несколько вопросов, типа разговариваете ли Вы с кем нибудь по телефону, после чего появляется код. Старые сообщения с кодом при этом пишут что код уже использован.

Ну и для пенсионеров, которые уже не соображают так хорошо, как люди моложе.

Не соображающие пенсионеры ещё с большей вероятностью не пройдут квест. Вы напомнили несколько случаев с престарелой родственницей. Пишу в хронологическом порядке по усилению борьбы.
1. anc ты можешь поговорить с «той которая от меня чего-то хочет?». Поговорили и профит.
2. anc ты можешь поговорить с «той которая от меня чего-то хочет?» За кадром «нет, ни с кем посторонним мы говорить не будем». Ну ок, пересказывай то, что она говорит. Тяжелее, но профит.
3. anc мне ничего не понятно. Я: «попроси её написать на бумажке требования потом пришли мне фотку». Тяжело уже было заставить, но родственница огонь! Заставила.
4. аналог пункта 3 только ответ «мы на бумажке ничего писать не будем» и всё... Занавес.
Позже пришлось маме ехать туда, что бы на месте разрулить вопрос, но мама у меня в таких случаях огонь! Хотя тоже без звонка мне не обошлось, но главное понимание своих прав! Точнее ты прав и не имеет, а ваши постоянно меняющиеся правила... курите сами.

Тут же речь про мессенджер МАХнул, который ненавидят все и пытаются протолкнуть через административные каналы методом «добровольно-принудительно». Его ненавидят 90% населения, уже.

Тем не менее, каждый день кто-то из моего списка контактов подключается к Максу. После торможения ватсапа туда стали постепенно перетекать локальные группы.

После торможения ватсапа

Да уж, конкурировать с вотсапом без запретов это поделие вообще не способно. С запретами то не получается.

Не могут обойти блокировки, а телеграм ставить впадлу. Потому вынуждены «подчиниться» повестке, навязываемой им.

Не переживай, дорогой. Все там будем! Так же как намертво вшитым андроидом с гугло-аккаунтом в телефонах!

Так же как намертво вшитым андроидом с гугло-аккаунтом в телефонах!

Купи телефон без GMS, и у тебя не будет этой проблемы.

По ходу, это OTP, и ещё надо будет какую-то бездушную машину убеждать отдать его тебе.

Класс, навязывать мессенджер для получения кодов OTP. Что ещё придумают эти гении?