Двухфакторная авторизация на госуслугах станет обязательной для всех: как ее настроить

98
Двухфакторная авторизация на госуслугах станет обязательной для всех: как ее настроить
Аватар автора

Редакция

давно включила двухфакторку

Страница автора

С 28 октября двухфакторная аутентификация на госуслугах станет обязательной для всех пользователей.

Без дополнительного подтверждения входа услуги будут недоступны до тех пор, пока пользователь не добавит второй фактор. Соответствующее постановление утвердило правительство.

Расскажем, что важно знать о двухфакторной аутентификации и как ее настроить.

Кого это касается

С 1 октября двухфакторная авторизация стала обязательной для новых пользователей и тех, кто восстанавливает свою учетную запись. Теперь же дополнительная аутентификация потребуется для всех пользователей госуслуг с подтвержденной учетной записью, у которых пока не установлен второй фактор. До изменений он был у 41 млн пользователей — это меньше половины от общего количества учетных записей на госуслугах.

Двухфакторная авторизация нужна для дополнительной защиты. При авторизации потребуется не просто ввести логин и пароль от учетной записи, но и подтвердить свою личность еще одним способом — например, указать код, который придет в смс.

Пока многие пользователи входят на госуслуги по паролю, при этом номер телефона может вообще им не принадлежать или быть недоступен.

Что изменится с 28 октября

У всех пользователей госуслуг должен быть установлен второй фактор защиты. Всего их три вида:

  1. По коду из смс.
  2. По коду из специального приложения (TOTP — time-based one-time password).
  3. По биометрии.

Тем, кто уже использует второй фактор после пароля, можно ничего не делать.

При двухфакторной авторизации после ввода пароля запрашивается дополнительный код — он одноразовый и приходит в смс или специальном приложении
При двухфакторной авторизации после ввода пароля запрашивается дополнительный код — он одноразовый и приходит в смс или специальном приложении

Если второй фактор не установлен, с 28 октября зайти на госуслуги можно будет один раз — чтобы установить двухфакторную защиту. Без нее пользоваться услугами будет больше нельзя. Каждый раз при попытке войти портал потребует выбрать второй фактор. Проверка автоштрафов, подача заявлений, запрос справок и выписок окажутся недоступными без дополнительной защиты профиля.

Как настроить двухфакторную авторизацию

Проверьте, установлен ли у вас дополнительный способ защиты. Для этого нужно зайти в профиль на госуслугах привычным способом, перейти в настройки профиля и выбрать раздел «Безопасность».

Для настройки второго фактора нужно выбрать «Вход с подтверждением»
Для настройки второго фактора нужно выбрать «Вход с подтверждением»
Затем можно выбрать подходящий вариант и установить его по инструкции
Затем можно выбрать подходящий вариант и установить его по инструкции

Если уже установлен один из способов, его можно изменить в любое время. Например, если был код из смс, можно вместо него выбрать вход по биометрии или коду с привязкой ко времени из специального приложения, например Google Authenticator или «Яндекс-ключ». Подробные инструкции есть на госуслугах.

Если на госуслугах указан номер, к которому нет доступа

При установке второго фактора в виде смс на номер телефона нужно иметь доступ к симкарте.

Если у вас новый номер, но остался доступ к старому, можно поменять телефон в профиле госуслуг. Смс с кодом для подтверждения изменений придет сначала на один номер, потом на другой.

Если доступа к старому номеру уже нет, для его смены подойдет приложение банка, при условии что госуслуги сотрудничают с вашим банком. Или можно сходить лично в МФЦ.

Это может быть особенно актуально для пожилых пользователей, у которых учетные записи зарегистрированы на телефоны детей и работали без кода по смс. Или если у ребенка есть полноценная учетная запись, которую он сам оформил по паспорту с 14 до 18 лет без связи с профилем родителей.

Помогите вашим близким проверить наличие второго фактора и, если его нет, настроить двухфакторную аутентификацию. Иначе в нужный момент воспользоваться госуслугами или авторизоваться через них на важных сайтах не получится.

Новости, которые касаются всех, — в нашем телеграм-канале. Подписывайтесь, чтобы быть в курсе происходящего: @t_jrnl

РедакцияРасскажите, как дополнительно защищаете свои данные:
  • RomanВсячески приветствую внедрение ТОТР кодов, где можно ставлю как второй фактор. Хорошо что госуслуги предлагают не только смс, но и Google Authenticator20
  • huistoe gaan nieRoman, огоо, отличная новость!1
  • Илья РусьяновКхм, аутентификация )4
  • Crazy ElkaRoman, где-то с полгода назад я вместо смс включил TOTP. Ни с одним кодом так и не удалось зайти. Обратно вернулся на смски. Впервые в жизни такое встретил.6
  • Александр АлехновичДвухфакторная аутентификация уже норм для большинства сервисов. Это не взял чей-то смартфон на пробив и ввел пин-код в мобильном приложении заветной карточки, на которой все пенсии и зарплаты. Это нормальная практика, если все сторонние операции подтверждаются кодом из СМС. А кого беспокоят биометрические данные, их нужно зарегистрировать отдельно. Без согласия по п. 11 ФЗ-152 "О персональных данных" операторы передавать в ЕБС не будут. Конечно, все базы дырявые. Все абоненты там. Кстати, у меня двухфакторная аутентификация на большинстве приложениях: банки, ОС, почта. Храню все на внешнем устройстве в KeePass. А как еще получить загранпаспорт?4
  • Fet Lains2
  • kentПоющая, сравнили весь интернет с госуслугами 🤡9
  • БаньбаусЯ так понимаю, что тем, кто находится не в России и доступа к российскому номеру телефона не имеет теперь на госуслуги не зайти?3
  • Илья РусьяновБаньбаус, вон же на скриншоте альтернатива СМС - TOTP4
  • Поющая в коровникеkent, а по мне они такой же интернет. "Заказать детям прописи" и "оформить очередную бумажку" для меня пункты одного и того же списка и реализуемые в одном и том же интернете.4
  • TOTP - самая прекрасная вещь, которую придумали для безопасности простых пользователей. Жаль, что далеко не все сервисы её поддерживают. SMS - это одна большая дыра, потому что можно перехватить сообщение, сделать дубликат SIM-карты, физически завладеть SIM-картой - мало у кого она защищена PIN-кодом, в отличие от самого девайса. Кстати, если говорить о банках, то по-моему наиболее дыряв Сбер, для авторизации в приложении для Android достаточно знать логин и код из SMS. У остальных банков надо знать пароль (его, конечно, можно сбросить, но для этого нужна физическая карта).6
  • Поющая, в чём проблема использовать TOTP? Google Authenticator прекрасно клонируется на несколько девайсов (один можно вообще дома хранить, как резервную копию).3
  • RomanCrazy, я ожидал чего-то подобного, что в итоге от смс не получится уйти. Но на удивление в пару кликов удалось все настроить.3
  • Михаил АкимовАлександр, действительно, вдруг взломают и закажут загранпаспорт))6
  • Ехиднау меня бывает и трехфакторная, когда с какого-то перепугу вдруг запрашивает номер ВУ или паспорта. в самый неподходящий момент3
  • Павел ХрамовРедакция, вы в заголовке аутентификацию и авторизацию перепутали2
  • ВаньшаSergey, шизофрения это когда важна страна происхождения компании в пользовательском сервисе.2
  • Roscha HackerАлександр, загран можно получить по заявлению, открой регламент - там всё написано0
  • Roscha HackerПавел, гуманитарии не знают про AAA0
  • Roscha HackerПоющая, тяжело вам!4
  • Александр АлехновичRoscha, это был риторический вопрос)0
  • user2130010смс totp были изобретены не в рф, но вы не обязательно только google можете использовать для отображения кода или смс для подтверждения есть open source аналоги2
  • user2130010Он привязан к одному устройству только если пользователь так сам решил, вы можете сохранить резервный код для подключения новых устройств в менеджер паролей. Надеюсь когда телефон в этом гипотетическом случае у вас украли, разблокировать то телефон без вашей помощи не смогут5
  • user2130010Это 👆топовый комментарий1
  • user2130010Интересно, что мешает выбрать более удобные способы? Из же три2
  • Michael V.Sergey, google authenticator это оффлайн приложение, коды считаются на Вашем устройстве.6
  • RomanSergey, Вы не понимаете схему работы TOTP кодов.10
  • RomanRoscha, ничего подобного. Можно привязать TOTP и на другой телефон, для любителей есть хардварные брелки, например https://www.protectimus.com/ru/protectimus-crystal/3
  • RomanПоющая, ну за всех говорить не стоит, Вы же наверняка не знаете.2
  • Lexa LexaRoscha, вы хоть сами свои ссылки по этим происшествиям проверяйте, правда есть, да привираете неплохо так, уже от себя. Давно заметил закономерность - чем больше текста, тем он бесполезнее, как и любая мысль его автора.2
  • Michael V.Sergey, кто написал алгоритм неизвестно, но есть его исходный код, из сочетания текущего времени + ключ который выдает ресурс получаются 6-и значный цифровой код. Интернет при расчетах не используется. Помимо наиболее популярного приложения google authenticator есть много других приложений, которые могут считать эти коды. В том числе с производителями из России, например Яндекс ключ и Ключ доступа от mail.ru.5
  • АлександрRoscha, Я пользуюсь Authy, который сложно потерять, дублирую в другом приложении, и на всякий случай у меня есть запароленный архив с qr кодами которые сканируешь чтобы осуществить привязку (для того чтобы в случае чего без проблем восстановить доступ через любое 2fa приложение)2
  • АлександрSergey, Я пользуюсь Authy, вы можете пользоватья хоть Яндекс Ключ, когда говорят google authenticator, имеют ввиду общую технологию, а приложение вы можете использовать любое, гугл к схеме работы технологии даже теоретически доступа иметь не может7
  • АлександрSergey, А зачем мне аналогичный сервис, специально для нескольких российских сайтов, который будет несовместим с остальными 2fa, если у меня есть приложение, в котором я тоже самое храню от 50 других сайтов? Если же вы имеете ввиду аналогичное приложение выполняющее тоже самое по этой же технологии - то они есть, и вы ими можете пользоваться. Я думаю вы просто не понимаете о чём пишите. Это все равно что сказать, раз этот блокнот для записей напечала американская типография, значит любые записи в нём они могут прочитать. Примерно так5
  • АлександрAl, Ну да, то то мне тинькофф постоянно предлагает убрать пароль, т.к. "мы же смс коды присылаем", и после каждой установки приложения сбрасывает запрос авторизации на приложение, т.к. "ну у вас же пароль на телефоне"1
  • MD D.Михаил, еще и оплатят!2
  • huistoe gaan nieCrazy, настроил, работает без проблем. Учитывая, что в роуминге СМС на Йоту могут идти 5 часов, это прям спасение.3
  • huistoe gaan nieЕхидна, это похоже бывает при заходе через _некоторые_ IP. У меня просит такие факторы, когда я захожу на ГУ через VPN в РФ, а сам при этом совсем не в РФ1
  • RomanSergey, если Вы видите что все говорят одно, а Вы, без аргументов, стоите на другом, может быть есть вероятность что у Вас некорректное представление?2
  • Michael V.Вы в самом начале написали абсолютно неверное предложение, о том что авторизация происходит через сервис иностранной компании. Разберитесь в том, как считаются эти коды.3
  • Publius FlaviusВсе бы хорошо, но есть куча сервисов где вход только через госуслуги и раньше можно было с паролем владельца заходить всем офисом. А сейчас приходится код для входа каждый раз у него запрашивать. Хотели как лучше, получилось как обычно0
  • НикитаFedor, есть вход по ЭЦП, но он ооооочень медленный1
  • НикитаSergey, нет там никакого API. Алгоритмы HOTP и TOTP открыты, известны и опубликованы как RFC. Гугл, кстати, к ним не имеет примерно никакого отношения https://datatracker.ietf.org/doc/html/rfc6238 https://datatracker.ietf.org/doc/html/rfc4226 Читайте, и не пишите глупостей больше пожалуйста, да простит меня модерация за возможную токсичность2
  • Andy ShaxМинус этих аутентикаторов в том что жизнь становится завязаной под смартфон - нет смартфона? ну вывалился из штанов или батарейка села или украли - все, никуда доступу нет. Идея в общем неплохая для сервисов где он реально нужен. Но сейчас его стали внедрять абсолютно везде где надо и где нафиг он не нужен0
  • Станислав ЗабойкинУ моей женщины случился конфуз. Решила она зайти оплатить налоги, с авторизацией через госуслуги конечно. А зайти не может, требует ТОТР. А сок в том, что ТОТР она не выбирала, и соответственно токена НЕТ. Просто на ровном месте потеряла учетную запись. Будь проклят тот, кто установил по умолчанию именно ТОТР, хотя был привязан номер.)) Чтобы сменить метод аутентификации нужно зайти в аккаунт, а это невозможно без токена, которого нет и никогда не было. Какой маразм.0
  • Анастасия НастяКак мне зайти в госуслуги, если просит ТОРТ для входа, а Яндекс ключ просит секретный ключ для генерации входа, получается я не могу зайти никуда0
  • Tony S.А если я утратил доступ к получению totp кода, что делать? Или всё, приплыли?0
  • LukaА вот если утерял TOTP, то что делать? Может придумал кто?0
  • Татьяна СмолякCrazy, а как вернуться обратно на смски? Если в госы войти не возможно0
  • Гасан АлиевCrazy, я столкнулся с аналогичной проблемой, пишет не верный код. Как вернуться обратно к смс, если не могу войти в аккаунт госуслуг?1
Вот что еще мы писали по этой теме