Власти Австралии не перестают призывать своих граждан к отключению двухфакторной аутентификации на главном портале страны myGov. (Данный портал предназначен для быстрого доступа к большому перечню государственных сервисов: государственные платежи, услуги для пенсионеров, безработных, семей, медицинские услуги, страхование, поддержка детей, налоговые услуги и прочее. Цифровое государство.)
Двухфакторная аутентификация на сайте реализована с помощью отправки одноразовых паролей посредством текстовых сообщений, которые дополняют обычный пароль пользователя.
Ряд пользователей в твиттере отметили, что помимо снижения безопасности в целом, данные меры могут стать еще более опасными, когда жители страны выезжают за границу:
.@myGovau People go into higher risk secnarios (open hotspots, internet cafes) and you suggest downgrading security? How silly /cc @troyhunt
— Tatham Oddie (@tathamoddie) 22 декабря 2015Смысл предлагаемой инициативы понятен: большинство туристов меняют свои австралийские сим-карты на местные, когда едут в отпуск. После выполнения подобных действий, они не смогут получать сообщения от myGov до тех пор, пока не переставят свою австралийскую карту назад в устройство, что доставляет определенные хлопоты.
Упрощая жизнь своим путешественникам, предложение правительства значительно пренебрегает безопасностью, предлагаемой двухфакторной аутентификацией при работес сайтом в интернете. Этот слой безопасности еще более важен в том случае, когда вы заходите на сайт не из безопасной домашней или рабочей сети. Учитывая все минусы подобного шага, настойчивые призывы государства выглядят довольно резко и наталкивают людей на различного рода размышления.
На волне поступившей от общественности критики, myGov оставили комментарий в твиттере, в котором говорится что «людям, решившим отключить двухфакторную аутентификацию все еще надо будет вводить ответ на секретный вопрос для входа»:
If you turn off security codes, you'll still need to securely sign in with secret questions & answers. More: https://t.co/ON1BrUQ2pY
— myGov (@myGovau) 22 декабря 2015На странице, по предложенной в твиттере ссылке, отсутствует какая-либо информация о секретных вопросах и ответах на них.
И даже учитывая такую возможность, её нельзя считать полноценной заменой добротной двухфакторной аутентификации.
Комментарии (10)
stalinets
25.12.2015 00:19Есть хороший, но почему-то малоиспользуемый способ авторизации — кодовая таблица. ИМХО это лучше sms на телефон.
AlexTest
25.12.2015 01:43-2Почти все кодовые таблицы запатентованы, потому и мало используются.
stalinets
25.12.2015 06:55Можно ведь сделать кодовую таблицу без чисел, обойдя патенты, если они есть. Например, клиент распечатывает поздравительную открытку, на которой кавайный многоэтажный домик, в каждом окошке которого сидят лисички, енотики, собачки-котики и прочее зверьё. А при авторизации клиента спрашивают «Кто живёт на пятом этаже, в шестом окошке?». Кто придерётся к открытке?
dimcha
25.12.2015 17:51+7Как можно запатентовать шифроблокнот?
AlexTest
26.12.2015 01:26+2Минусуют те, кто не в теме, а запатентовать можно по разному. Шифроблокнот это по сути — разновидность кодовой таблицы. Вот здесь например toster.ru/q/23175 вы найдете информацию о патенте на «табличную (сеточную) аутентификацию», которая была раньше на яндекс деньгах. Только у этого патентодержателя www.rnbo.ru/catalog/4/29 целый пул патентов подобных этому www.google.com/patents/US5712627. Почитайте его и смежные патенты (там есть списки) и вам станет понятно: «Как можно запатентовать шифроблокнот?»
tendium
26.12.2015 02:56+2Да уж… Современное патентное законодательство — это нечто. Так вот придет какая-то идея в голову, и беги шарь по патентам, а то вдруг уже кому-то она пришла в голову до тебя. Что-то в патентном законодательстве неладно, как мне кажется.
Ant1k
25.12.2015 02:12+7большинство туристов меняют свои австралийские сим-карты на местные, когда едут в отпуск
Звучит совсем нелепо, mygov это не сайт новостей, который несколько ра в день открывается, люди на этот сайт заходят всего несколько раз в год и уж точно во время отпуска об этом не думают.
Так что «Смысл предлагаемой инициативы» совсем непонятен.
ComodoHacker
25.12.2015 20:46+1Эх, знали бы австралийцы, к чему призывают своих граждан киргизские, узбекские и таджикские порталы госуслуг… Молчали бы в тряпочку и радовались, как им повезло.
achekalin
26.12.2015 00:40Раз предлагается решение проблемы неудобства возни с симками, можно сделать два вывода: для выезжающих жителей таки дорого пользоваться роумингом, и, самое главное, жители массово жалуются на возню с перестановкой.
На цены правительство может и повлиять (облегчая жизнь сотовым операторам, но попросив тех сделать роуминг доступным), а насчет жалоб — если мне приспичило бы зайти на Госуслуги, будучи за рубежом, то для такой «частой» операции переткнуть симку можно и поднапрячься. Или уже доехать до родной страны, где проблема решится целиком возвращением к «родной» симке. Так что озучили бы они цифры «ленивых» граждан, мы бы хоть порадовались, для какого числа граждан гос-во начинает переживать и искать решение вроде бы мелкой проблемы.
amarao
TOTP прикрутить не судьба? Всех делов-то — две либы и пара страничек. А SMS'ки и прочее — только для восстановления потерянного TOTP, а не для обычной авторизации.