Запрет авторизации через иностранные сервисы: как работает и касается ли электронной почты

38
Запрет авторизации через иностранные сервисы: как работает и касается ли электронной почты
Аватар автора

Саша Кириллова

следит за новостями

Страница автора

Поправки внесли в закон «Об информации, информационных технологиях и защите информации» в июле 2023 года. Во время обсуждения и принятия проекта с ним было много путаницы. Сначала СМИ представляли его как закон о запрете авторизации через иностранные почты, а затем сообщали, что его вступление в силу отложено.

Расскажу, в чем суть закона и как он будет работать.

Рассылка о том, как жить и богатеть
Лучшая статья недели — в вашей почте каждую среду. Бесплатно

Что меняется

Теперь владельцы российских сайтов и программ, где предусмотрена авторизация пользователей, должны проводить ее одним из четырех способов:

  1. По номеру мобильного телефона. Оператор связи может быть нероссийским — требований к нему в законе не предъявляется.
  2. Через ЕСИА  — проще говоря, с помощью госуслуг.
  3. Через ЕБС  , где хранятся биометрические данные россиян. Это изображения лица и образцы голоса, с помощью которых можно подтвердить свою личность.
  4. С помощью иной информационной системы, которой владеет гражданин России без второго гражданства или российское юрлицо. Таким условиям отвечают SSO, они же — системы авторизации, например VK ID и Яндекс ID.

Из нового закона следует, что часть популярных способов авторизации на российских сайтах перестанет работать. Под запрет попадают все иностранные сервисы, к которым относятся Apple ID, Google Account и другие.

Ограничения не касаются зарубежных сайтов: если владелец платформы — гражданин другой страны или иностранная организация, то он может сохранить авторизацию через Google, Apple и любые другие SSO.

Можно ли использовать для входа иностранную почту

Запрет не касается иностранных электронных почт. Их по-прежнему можно использовать для регистрации или авторизации. Если вы привыкли пользоваться почтой Gmail, то вам не нужно создавать новую на Яндексе и менять данные в профиле. Все продолжит работать, как раньше.

Закон касается только систем авторизации, или SSO, позволяющих заходить на сайты через учетную запись в сторонней экосистеме. К таковым относятся Apple ID, Google ID и другие. Ограничение распространяется именно на зарубежные сервисы авторизации.

Так пока выглядит окно авторизации на Т⁠—⁠Ж. Можно зайти через системы SSO, в том числе T-ID от T-Банка и Google
Так пока выглядит окно авторизации на Т⁠—⁠Ж. Можно зайти через системы SSO, в том числе T-ID от T-Банка и Google

Если пользователь заходит на сайт через электронную почту — даже иностранную, — все происходит иначе. Его аутентификация проводится не на стороне почтового сервиса, а на самом российском сайте, где хранится электронный адрес, он же логин, — и пароль. Именно программное обеспечение российского сайта будет «информационной системой, обеспечивающей авторизацию». И это соответствует требованиям закона.

Путаница возникла из-за того, что СМИ массово использовали формулировки типа «запрет регистрации с иностранной почты», подразумевая именно сервисы авторизации. Неясно выражались и чиновники, в том числе автор закона — депутат Антон Горелкин.

В интервью «Ведомостям» в июле Горелкин заявлял, что авторизацию можно будет проходить только по «отечественной электронной почте». О том же говорил и глава комитета Госдумы по информационной политике Александр Хинштейн: в комментариях СМИ он отмечал, что «регистрироваться с помощью электронных почтовых адресов иностранных сервисов» будет нельзя.

Позднее Горелкин говорил уже об отсутствии запрета на иностранные почты при регистрации и авторизации. В своем телеграм-канале он отмечал, что требований к стране регистрации почты нет, если она используется в качестве логина.

«Существует ошибочное утверждение, что зарубежная почта скоро окажется под запретом. Некоторые российские почтовые сервисы уже начали использовать этот миф в своих целях, убеждая людей переносить к ним аккаунты с Gmail», — написал Горелкин.

Как будет работать запрет

Владельцы российских сайтов должны убрать возможность SSO через иностранные сервисы. Вероятно, это произойдет не сразу и не везде, ведь ответственности за нарушение закона нет. По словам Горелкина, пока планируется «следить за правоприменительной практикой», а уже после ее оценки принять решение по нормам ответственности.

Но российские сайты уже начали убирать авторизацию через иностранные системы. К примеру, так поступил маркетплейс «Озон»: теперь на сайт нельзя зайти через Apple ID. Пользователям советуют проверить адрес электронной почты или номер телефона: если они будут неактуальными, то войти в личный кабинет не получится.

Об изменениях предупредил и Т⁠—⁠Ж: скоро на сайте нельзя будет авторизоваться через аккаунт в Google. Пользователям рекомендуют добавить адрес электронной почты, чтобы не потерять доступ к профилю. Полную инструкцию можно прочитать по ссылке.

Что произойдет с учетной записью, если пользователь не поменял способ входа, а сайт его убрал, — неизвестно. В законе об этом ничего не говорится. Вероятно, людям, которые не успели добавить почту или номер телефона, придется решать вопрос о доступе к аккаунту через службы поддержки.

Переносили ли вступление закона на 2025 год

Запрет авторизаций через иностранные сервисы начал действовать 1 декабря 2023 года без отсрочек. В ноябре в Госдуму действительно внесли, а затем приняли в трех чтениях законопроект, который откладывает некоторые требования к авторизации до 2025 года.

Второй закон разрешает владельцам российских сайтов и приложений использовать другие SSO, кроме перечисленных. Но только если эти сайты отвечают одному из условий: например, у системы авторизации и платформы общий контрольный владелец — и это российская организация.

По словам автора законопроекта Антона Горелкина, отсрочка нужна, чтобы помочь российским цифровым платформам выполнить требования законодательства без дискомфорта для пользователей. Мораторий не касается зарубежных систем.

Новости, которые касаются всех, — в нашем телеграм-канале. Подписывайтесь, чтобы быть в курсе происходящего: @t_jrnl

Саша КирилловаКакой способ входа на сайт вы обычно выбираете?
  • felidaeOpenID удобно и надёжно, если полноценно защитить основной аккаунт.2
  • МелвикБольше запретов Богу запретов!84
  • Ирина АнлимоваНепонятно, что будет с оплаченными сервисами. Например, у меня оплачена Орфограммка на год вперёд, идентификация через аккаунт в Google. Если я сменю способ идентификации, для сервиса это будет уже другой пользователь, он не поймёт, что я это я. И где деньги, Зин?9
  • СергейИрина, с чего вы решили что при смене способа идентификации меняется аккаунт?5
  • ГогаВ Рамблере работают долб..бы. Впрочем, кого я обманываю? Они работают везде.26
  • АлексЛевую почту, иначе задолбают спамом основной ящик3
  • Антон ГеерСергей, там где есть мультипривязка в профиле — там не меняется, и деньги аккаунта останутся деньгами аккаунта. У меня сколько случаев было, когда приходилось писать в саппорты с объяснением, что оплачивал я с другой почты, а теперь хочу сидеть под этой, дайте доступ. В том же ТЖ пришлось руками и через саппорт гугл и яндекс аккаунты объединять.9
  • Никита ИвановАнтон, + также пришлось писать в ВК,на почту писал не ответили лично мне.3
  • Никита ИвановАлекс,отключения рассылок ?0
  • Андрей АндреевПри этом, не очень понятно как разработчикам проходить модерацию в App Store, так как по правилам Apple ты обязан добавить регистрацию и авторизацию через Apple ID, если используешь другие соцсети для регистрации. Разве что смотреть на IP и если иностранный, то показывать, а если российский, то нет. Но это так себе решение. Закон придумали, а проблемы от него - это уже проблемы людей :)19
  • CookieАндрей, app store - это же не российский сайт1
  • АлексНикита, Однажды оставив почту на любом ресурсе, она становится достоянием спамеров.7
  • Владимир БугорковCookie, сайт то не российский, а приложения в нем российские, предоставляющие доступ к российским сервисам. А на айфон приложение нормально можно поставить только через app store, и это правильно, в том числе по этому уровень безопасности айфонов на две головы выше андроидов.1
  • AlexanderПо яндексу чёрт знает честно говоря. Когда последний раз проверял, технический домен через который работает SSO оканчивается на yandex.net с владельцем Intertech Services AG >> у системы авторизации и платформы общий контрольный владелец А так даже на домены смотреть не надо. У Яндекса нидерландская компания, ВК пока недоредомицилировал (или уже?) США >> если владелец платформы — гражданин другой страны или иностранная организация, то он может сохранить авторизацию через Google, Apple и любые другие SSO. Короче опять странная ситуация те кто держит 51% за периметром получили преимущества. А что делать платформам со скрытыми в ЕГРН владельцами или публичным акционерным обществам. Короче как обычно много вопросов и мало ответов.4
  • Андрей АндреевCookie, суть не в этом. Речь о приложениях. Приложения тоже должны убрать кнопку авторизации через Apple ID, но не могут это сделать, ведь это нарушение правил Apple. И получается, что тебе не пройти модерацию, потому что правила, но и оставлять кнопку нельзя, потому что законы РФ.14
  • Alexandra OrlovaЗахожу через гугл0
  • Dmitriy NovikovЖаль, что здесь через Яндекс ID нельзя авторизоваться. Приходится пользоваться Гуглом.0
  • Елисей КостомаровКонечно, SSO через Гугл - самый удобный способ! Запоминать кучу паролей для разных сайтов очень неудобно. Что же касается Горелкина, то его действия напоминают слона в посудной лавке. При этом он даже близко не айтишник, т.е. пытается регулировать те вопросы, в которых не разбирается. Единственное, неясно, это его личные идеи, или какие-то товарищи из дружественных ведомств советуют...9
  • MiroСовсем еб..улись22
  • ВК ведь где-то год назад в калининградский оффшор переехал0
  • Lil VicФан-клуб, человеку важно было засвидетельствовать, что у него эппл, спорить про безопасность он не собирался.4
  • AlexanderAndre, честно говоря хрен его знает. то что открыли МКООО и то что закрыли правопредшественника в предыдущей юрисдикции это 2 разных события. Я посмотрел в кипрском реестре MGL MAIL.RU EQUITY LIMITED (ΗΕ 315347) пока вполне себе действует (не имеет статуса Disolved) Да и я хз кто там оказывает услуги SSO. ООО ВК находится по контролем указанного офшора, а у ООО "ВК ЦТ" контроль (доля 90+% ) вообще у физлица. Договор может быть вообще 3+ сторонний как у яндекс-облака. есть ООО Яндекс повешенное на российский контур (Технояк ООО) а там в условиях то что отключать пользователя ("проверка благонадёжности") могут по решению ООО "Яндекс.технологии" которое напрямую включено в Yandex NV ( https://yandex.ru/legal/cloud_termsofuse/ п.4.5)0
  • Сергей ВасильцовДумаю, им придётся сделать исключения для приложений, потому что правила AppStore обязывают разработчика предоставить пользователю возможность входа посредством AppleID: https://developer.apple.com/app-store/review/guidelines/#sign-in-with-apple 4.8 Sign in with Apple Apps that use a third-party or social login service (such as Facebook Login, Google Sign-In, Sign in with Twitter, Sign In with LinkedIn, Login with Amazon, or WeChat Login) to set up or authenticate the user’s primary account with the app must also offer Sign in with Apple as an equivalent option. A user’s primary account is the account they establish with your app for the purposes of identifying themselves, signing in, and accessing your features and associated services. Sign in with Apple is not required if: Your app exclusively uses your company’s own account setup and sign-in systems. Your app is an education, enterprise, or business app that requires the user to sign in with an existing education or enterprise account. Your app uses a government or industry-backed citizen identification system or electronic ID to authenticate users. Your app is a client for a specific third-party service and users are required to sign in to their mail, social media, or other third-party account directly to access their content. Перевод: 4.8 Вход в систему с помощью Apple Приложения, использующие сторонние или социальные службы входа (такие как Facebook Login, Google Sign-In, Sign in with Twitter, Sign In with LinkedIn, Login with Amazon или WeChat Login) для создания или аутентификации основной учетной записи пользователя в приложении, должны также предлагать функцию Sign in with Apple в качестве эквивалентной опции. Основная учетная запись пользователя - это учетная запись, которую он создает в вашем приложении для целей идентификации, входа и доступа к вашим функциям и сопутствующим услугам. Вход с помощью Apple не требуется, если: Ваше приложение использует исключительно собственные системы настройки учетных записей и входа в систему вашей компании. Ваше приложение является образовательным, корпоративным или бизнес-приложением, которое требует от пользователя войти в систему с помощью существующей образовательной или корпоративной учетной записи. В вашем приложении для аутентификации пользователей используется государственная или промышленная система идентификации граждан или электронный идентификатор. Ваше приложение является клиентом для определенного стороннего сервиса, и для доступа к его содержимому пользователям необходимо напрямую войти в свою почту, социальную сеть или другую учетную запись стороннего сервиса. P.S. и да, хоть в исключениях и указана "государственная или промышленная система идентификации граждан", но это не относится ко входу в условные "Госуслуги" по email или номеру телефона, это относится ко входу в те же условные "госуслуги" по номеру паспорта, СНИЛС, ИНН, медицинского полиса и т.д.1
  • Warped FoxПерепела, судя по реакциям на сообщения, люди далеки от понимания сарказма, что довольно-таки странно для нашего менталитета. В то же время понятно, что ради форума большинство без проблем привяжет хоть новую почту, хоть соцсеть, хоть серию и номер паспорта с биометрией. Данное решение властей, конечно, было ожидаемо ввиду желания упростить/ускорить идентификацию граждан. Особенно, на тех ресурсах, где они открывают рот. Но скажу за себя: даже вне какого-либо контекста лично мне будет тупо влом создавать и привязывать отдельную рос. почту ради того, чтобы потрындеть на форуме.0
  • Дмитрий КалашниковИрина, если что, просто напишете им в саппорт, думаю, всё решат :)0
  • Nadya.KhudyakovaСамый удобный способ для меня - номер мобильного телефона.0
  • Илья Козлов"Ваш адрес электронной почты не удовлетворяет требованиям закона № 406-ФЗ, вам необходимо сменить его на адрес в зоне .рф или .ru! Для смены адреса перейдите по ссылке" Это как-то не вяжется с текстом статьи. Такое начали вешать разные организации (в тч негосударственные). И речь именно про почту а не Google Account или Apple Id.0
  • Lina AAppleID был самым удобным способом авторизации...0
  • Богиня Смертив некоторых играх регистрация только через FB, придурки0
  • Ярослав ВихоревПросто зачем ...0
  • Иван СафоновТак, а что мне тогда делать? У меня много аккаунтов привязано к гугл и мне что все это менять? Надеюсь закон отменят к 2025 году а то как-то , без аккаунтов не хочется остаться.0
  • Д ОПод запрет попадают не только иностранные сервисы, но и сервисы компаний с иностранным капиталом. Например Тинькофф банк не сможет законно использовать свой интернет-банк и мобильный банк, так как Тинькофф банк имеет офшорную регистрацию.0

Вот что еще мы писали по этой теме