28.01.2022 Двухфакторная аутентификация на портале госуслуг может стать обязательной — пользователи будут входить на госуслуги, используя пароль и подтверждая действие через SMS. Эту идею высказал глава думского IT-Комитета Александр Хинштейн в своём телеграм-канале 18 января. Но и это, по словам экспертов, на сто процентов не защитит от хакеров. «Парламентская газета» узнала, как создавать и хранить пароли от важных сервисов и как не стать жертвой социальной инженерии.
На «двухфакторку» надейся…
В конце прошлого года Госдума приняла закон о двухфакторной аутентификации на портале госуслуг, напомнил в телеграм-канале Александр Хинштейн. Для окончательного подтверждения своей записи на привязанный к данным телефон поступает бесплатное SMS. Это, по словам депутата, гарантированный способ защиты своих данных от мошенников, однако не является обязательным и зависит от желания человека.
«Очевидно, что нам с коллегами из Минцифры необходимо продумать, как ещё минимизировать риски. Возможно, двухфакторную аутентификацию следует сделать обязательной?» — задался вопросом Хинштейн.
Его коллега по IT-Комитету Антон Горелкин, считает, что такой способ входа на портал, а его используют не только госуслуги, но и многие соцсети, мессенджеры и другие сервисы, мера полезная и действенная для защиты от кибермошенников. «Но не нужно надеяться только на неё, — сказал «Парламентской газете» депутат. — Обязательно время от времени меняйте свои пароли от основных сервисов, которыми пользуетесь, придумывайте сложные комбинации и никому их не сообщайте».
Двуликая цифровизация
Кроме того, эксперты по безопасности считают «двухфакторку» через SMS недостаточно надёжной и рекомендуют использовать специальные 2FA-приложения, добавил Горелкин. Их можно скачать на мобильный телефон, они будут безопасно генерировать специальные одноразовые коды для входа на сайт, где доступна такая функция.
Пароли на бумажке
Основным способом получения доступа к частной информации, в том числе к банковским счетам физлиц, остаётся социальная инженерия, констатировали в конце прошлого года в Центробанке. Мошенники используют различные психологические приёмы, благодаря чему люди сами сообщают им пин-коды, пароли и коды из SMS. Лидирующие позиции по-прежнему занимает телефонное мошенничество — порядка 80 процентов всех случаев, сообщил на форуме «Интерполитех» 20 октября зампред ЦБ Герман Зубарев. А в Сбербанке отметили, что аудитория, попадающаяся на уловки мошенников, помолодела: сейчас это в основном люди 35-40 лет, хотя ещё год назад это были граждане старше 60 лет.
Ничто, кроме цифровой грамотности, не защитит от того, что люди сами называют мошенникам коды проверки, считает преподаватель Moscow Digital School Олег Блинов. Он выступил за более широкое распространение таких знаний, а как положительный пример привёл социальную рекламу в метро.
Что до двухфакторной аутентификации, то она сейчас становится стандартом безопасности, сказал «Парламентской газете» Блинов. Она вполне может быть обязательной, но у человека должен быть выбор — использовать SMS или, например, карточку с одноразовыми паролями, которую можно получить в МФЦ. На ней хранятся 20-50 комбинаций, одну из которых портал может запросить для входа или подтверждения операции.
«У этого способа есть свои плюсы и минусы, — прокомментировал эксперт. — Человек не раскрывает государству свой номер телефона, что для некоторых является принципиальным моментом. Но карточки нужно периодически менять, что не очень удобно». Ещё один способ защиты — использование физических ключей, которые выглядят как флешки, добавил Олег Блинов.
Это опасное слово «скачать»
Сегодня многие пожилые люди пользуются компьютером, соцсетями и госуслугами, но для них вводить при каждом входе пароль и код из SMS может быть трудно, не говоря уже об использовании приложения-аутентификатора. Такое мнение «Парламентской газете» высказал ведущий аналитик Mobile Research Group Эльдар Муртазин. Он считает возможным рассмотреть идею о назначении таким пользователям цифровых помощников, в роли которых могут выступать родственники или соцработник. Ранее подобные рекомендации в отношении финансовых услуг давал ЦБ. Какой функционал получат такие помощники, смогут ли они распоряжаться финансами заявителя, решит только он сам.
Эксперт посоветовал использовать для разных ресурсов различные пароли, делать их достаточно сложными и регулярно обновлять. В идеале — раз в три месяца, но хотя бы — ежегодно.
«Существуют надёжные программы для хранения паролей, но вход в них осуществляется также по паролю, — объяснил Муртазин. — Кроме того, в каждом смартфоне можно найти так называемые скрытые зоны, доступ к которым третьих лиц практически невозможен. Инструкцию, как записать туда пароли, для каждой модели телефона можно найти в Интернете».
Важно не игнорировать обновления приложений и прошивок самого смартфона, предупредил эксперт, ведь производители выпускают их в том числе, когда обнаруживают новую дыру в безопасности. А вот использование программ-антивирусов актуально далеко не всегда, ведь они реагируют на уже известные угрозы, а новые могут пропустить.
Депутат и активный пользователь соцсетей Антон Горелкин добавил, что открывать следует только понятные файлы от известных вам отправителей. «Нужно забыть слово «скачать», потому что «скачать» — самый верный способ подцепить вредоносную программу, — считает парламентарий. — Опаснее только фраза «Скачать бесплатно».
Парламентская газета | 
