Если внезапно пришла СМС‑ка «код для входа на госуслуги 314159» — какие обычно ваши чувства и действия? Если кратко — пароль, похоже, надо поменять — код приходит только после того как ввели правильный пароль, если не ошибаюсь.
Но эта маленькая заметка о другом — в списке активностей такие попытки не отображаются. Не думаю что это прочтут специалисты из Госуслуг (хотя, вдруг?) — но поскольку кейс с «двухфакторной» авторизацией популярный, хотелось бы обратить внимание на этот момент — на случай «вдруг кому пригодится».
Действия по порядку
Пробуем логиниться на госуслуги (а можете потестить и какой‑нибудь другой сервис с двухэтапной авторизацией — и рассказать как там), при условии что настроен вход по логину‑паролю и коду из СМС.
Вводим логин, вводим пароль. Как и многие пользователи я плохо помню свой пароль, поэтому пару раз ввожу неправильно. На третий раз удаётся и я вижу форму «введите код из СМС». Сообщение приходит на телефон, набираю нужные цифры — и ура, я залогинился.
Теперь щёлкнем «Профиль» в верхнем‑правом углу, там выберем «Безопасность» и «Действия в системе». На всякий случай — в картинках, чтобы не путать общественность:-)
Так мы добираемся до списка попыток входа в систему, выглядит как-то так:
Тут в соответствии с вышеупомянутыми попытками воспоминания пароля как раз и написано что два раза была "Ошибка" - пароль неправильный.
А что если неправильный СМС-код?
Разлогинившись или попробовав зайти из другого браузера, можно повторить попытку - но после правильного пароля ввести неправильный код.
Или не вводить его вообще (пока не истечет таймер).
Что появится в логе активности, который мы рассмотрели выше?
А ничего.
Поэтому картинку не прилагаю, она идентична предыдущей.
Подытожим логику
Если вход удался — запись в лог активностей создаётся
Если вход не удался по причине неправильного пароля — запись тоже создаётся (с пометкой «Ошибка»)
А вот если кто‑то ввёл правильный пароль и сидел тестировал разные коды — об этом записи не будет.
Хорошо ли это? По-моему нет. Конечно, пользователь в принципе будет оповещён СМС-кой, но если он её второпях удалил или она вообще не дошла...
Может нам был бы интересен IP‑шник с которого эти злокозненные попытки происходили (в случае если пароль не подобрали а воспользовались забытым где‑то ноутбуком с открытой страницей — друзья или родственники) — но мы его не узнаем.
В общем, хотя я не претендую на какие‑то познания в области информационной безопасности, кажется что это косяк.
Заключение
Попытался найти на сайте какую-нибудь форму для отправки запроса на улучшение функционала, но не нашёл. Советуют обращаться к боту по имени Макс. Он неплохо подсказывает где какой раздел (в интерфейсе без него реально разобраться сложно) - но на остальные вопросы отвечает неконсистентно.
Ещё есть раздел «подать жалобу» для рассмотрения Органами Власти. Пока всё же решил действовать через Хабр :-)
Комментарии (42)
inkelyad
13.11.2025 11:42Вот тут форма обращения от Минцифры. В категориях есть и 'по поводу сайта Госуслуг'.
Они, конечно, более-менее отписками отвечают, но письмо, похоже, все-таки в Госуслуги передают.
RodionGork Автор
13.11.2025 11:42UPD: написал в форму (не могу дописать это в предыдущий комментарий), подождём.
Форма прямо сказать как будто подглюкивает немножко, и не с первой попытки все удалось - но номер обращения есть и обработка видимо будет поступать уведомлениями на портале.
diakin
13.11.2025 11:42А как хакер может ввести неправильный код, если он приходит на ваш телефон? Предполагается же что телефон находится у законного владельца? А если нет, и хакер вошел в телефон, то там уже без вариантов он получит доступ к госуслугам.
inkelyad
13.11.2025 11:42А как хакер может ввести неправильный код, если он приходит на ваш телефон?
Просто случайный вводит. Маленькая вероятность угадать есть.
И это повод беспокоится. Потому что означает, что пароль он уже знает.inkelyad
13.11.2025 11:42И это повод беспокоится. Потому что означает, что пароль он уже знает.
Вдогонку - если этот код не вводили, а просто закрыли страницу - это тоже повод беспокоится. Так что в логах неплохо бы отображать и случаи, когда правильный пароль - был, а всего остального не последовало.
RodionGork Автор
13.11.2025 11:42там 6-значный код, если (как я подозреваю) это автоматическая перебиралка паролей и кодов, то сделав жалкий миллион попыток в течение м.б. часа (на разные аккаунты с разных IP) что-нибудь выловить да удастся. отдельный вопрос откуда берутся "попадания" в пароли (не исключаю что в моем случае он был недостаточно хитроумным)
т.е. смысл в том что атакуют не конкретно меня а ищут произвольный аккаунт в который удастся зайти
Rolltonmister
13.11.2025 11:42Госуслуги это всего-лишь ресурс, а двухфакторную авторизацию Вы проходите в системе ЕСИА. Скорее всего в системе ЕСИА не предусмотрена процедура записи в лог удачных, неудачных входов по двухфакторке(по паролю в СМС сообщениях). И скорее всего в моделе угроз и нарушителей не предусмотрен вариант описанный вами. Ваше исследование или проигнорируют (как меня на просьбу по исправлению ошибок в методических реккомендаций к ЕСИА), или сподвигнет к изменению модели угроз и нарушителей, а это в свою очередь приведёт к повторной сертификации. Кто-то может получить атата, но в специализированных организациях периодически получают атата поэтому все привыкли.
Хотя окно ввода пароля двухфактороной аутентификации отображается на ресурсе, и ввод некорректного пароля двухфактороной аутентификации отображается.
Для повышения шанса реакции жаловаться надо не в Минцифры, а во ФСТЭК, чтоб они сертификат отозвали (конечно не отзовут, иначе вся страна останется без госуслуг).
Нужны дополнительные исследования аутентификации с QR кодом и с помощью квалифицированной электронной подписью(КЭП).RodionGork Автор
13.11.2025 11:42спасибо за подробности
не предусмотрена процедура записи в лог удачных, неудачных входов по двухфакторке(по паролю в СМС сообщениях).
удачные-то как видим пишутся :)
жаловаться надо не в Минцифры, а во ФСТЭК
звучит угрожающе, но спасибо за информацию. моя-то цель не нажаловаться - но если бы была возможность бедолагам-разработчикам написать про забытый кейс наверное было бы хорошо :) не думаю что они это со зла... хотя квалификация "специалистов ИБ" в разных компаниях меня конечно в последние годы слегка озадачивает.
Rolltonmister
13.11.2025 11:42Да, именно так. Вы смотрите лог авторизации на госуслугах, а двухфакторная авторизация происходит в ЕСИА, ЕСИА не шлёт ресурсу сообщение при неудачном вводе второго пароля.
ЕСИА ждёт по таймауту правильный второй пароль(код из СМС) и возвращает ресурсу только ответ о продолжении процедуры.
В Методических рекомендациях по использованию Единой системы идентификации и аутентификации есть схема авторизации в п.3.2, тут процесс двухфакторной авторизации происходит между пользователем и ЕСИА(на схеме пользователь проходит аутентификацию), ресурсу ничего не шлют.
NatysKi
13.11.2025 11:42Вы же понимаете, что "бедолаги-разработчики" не решают, что и как им разрабатывать в этом случае?
Это вполне могло быть запланированным поведением по ТЗ или ограничением. Например, не все события в логи могут писать потому, что заказчик решил, что для них это не критичная информация.
А, ну и ещё. При нескольких попытках неправильного ввода пароля или кода из СМС, УЗ скорее всего заблокируется, либо включится период тишины на n часов/минут. Подобрать код или пароль будет трудозатратно.
Остаётся случай, когда могут попасть пальцем в небо, но от этого никто не застрахован и никак это не обойти на 100%
inkelyad
13.11.2025 11:42А, ну и ещё. При нескольких попытках неправильного ввода пароля или кода из СМС, УЗ скорее всего заблокируется,
Это неважно. Пользователю надо знать, когда кто-то другой его пароль знает и надо это как-то показывать. И лучше, по хорошему, не в этих логах, а прямо на главной странице. "Было столько-то успешных попыток ввода пароля не с текущего устройства, а оттуда-то. Это точно вы были?"
RodionGork Автор
13.11.2025 11:42не решают, что и как им разрабатывать в этом случае?
про бедолаг-разработчиков, это утрировано
есть там менеджеры, аналитики, тестировщики - целая банда трудится, как и везде :)
и не должно быть вот этого как в старом фильме:
-- я больше никогда не смогу ходить!
-- почему? что с тобой сделали?
-- они... они связали мне шнурки на ботинках!
inkelyad
13.11.2025 11:42отдельный вопрос откуда берутся "попадания" в пароли (не исключаю что в моем случае он был недостаточно хитроумным)
Сидят зловреды (очень тихо, не вызывая лишних подозрения) на компах пользователей, следят за происходящими и сливают пароли из буфера обмена и форм браузера, когда на госуслуги вход происходит. 2 фактор и нужен, чтобы от такого защищать.
RodionGork Автор
13.11.2025 11:42да, это вероятный сценарий, хотя как я упомянул в моём случае у меня больше подозрение на то что я легкомысленно достаточно очевидно пароль скомбинировал считая что 2FA в любом случае спасёт (вот ВТБ вообще вместо паролей на 4-значные коды перешёл, странные люди)
inkelyad
13.11.2025 11:42вот ВТБ вообще вместо паролей на 4-значные коды перешёл, странные люди)
Обычно там аргументация, что оно только на твоих устройствах действует, где уже логинился. И на других устройствах новую сессию открыть не позволит. Логика в этом есть... слегка. Потому что остается вопрос, как именно определяется, что устройство уже знакомое.
RodionGork Автор
13.11.2025 11:42не-не, там не пин связанный с данными, сохранёнными в браузере текущем, как у других, а реально 4 цифры вместо пароля. вот сейчас в инкогнито логинюсь из браузера который никогда не использую для этих целей, через прокси в чужой стране, с ноута которым тоже не пользуюсь для заходов в банки - спрашивает сначала 6-значный код из СМС, потом 4-значный который когда-то установлен вместо пароля (на другом компьютере, браузере и т.п.)
писал в поддержку, ну сказали мол не писай, всё будет зашибись, у нас спецы круче чем везде (видимо поэтому все остальные лохопеты до такого еще не додумались :)
aik
13.11.2025 11:42Сегодня как раз юзер подходил с вопросом "пришел код от госуслуг, хотя сам не входил". По мне так тут надо не айпиадреса смотреть, а пароль менять. Так что то, что такое в логе не отображается, не страшно. А если пользователь удалил смс, то он сам себе буратино.
Heggi
13.11.2025 11:42Смс может не дойти по разным причинам и пользователь никогда не узнает о попытке
SiberianMouse
13.11.2025 11:42Я туда заходил один или два раза всего и если даже кто то и заходил (не пытался, а заходил), я этого и не узнаю, потому что не замечу это сообщение. Короче безвыходная ситуация. Ну разве что, просто пароль нормальный ставить, не лениться.
RodionGork Автор
13.11.2025 11:42я на это смотрю больше с позиции IT-шника - по мне сделать оповещение в 2 случаях и не сделать в 3-м это косяк :)
inkelyad
13.11.2025 11:42"пришел код от госуслуг, хотя сам не входил"
Там еще сценарий восстановления пароля. Который через пароль не проходит. Надо на текст смотреть и предложенные меры дополнительной безопасности использовать.
RodionGork Автор
13.11.2025 11:42да, есть, но там другой текст ("подтверждение смены пароля...")
ну и кстати попытки смены пароля тоже не отображаются по-моему :)
xSVPx
13.11.2025 11:42Вроде бы можно подключить доверенный аккаунт для смены, ну т.е. функционал есть. Как будет работать пока непонятно, но судя по справке третьим фактором
inkelyad
13.11.2025 11:42но судя по справке третьим фактором
Вторым(или первым - смотря как считать) в сценарии восстановления доступа. При входе - никак не используется.
xSVPx
13.11.2025 11:42Дополнительным, не вместо. Т.е. понадобится СМС от тебя и что-то там от доверенного лица?
Тогда отлично. Узнать кто доверенное лицо не так тривиально, и одновременно атаковать двоих всяко сложнее
inkelyad
13.11.2025 11:42Тогда отлично. Узнать кто доверенное лицо не так тривиально, и одновременно атаковать двоих всяко сложнее
За исключением случая, когда доверенное лицо - и есть атакующий.
Убалтываем жертву сделать мошенника таковым и потом все раскручиваем.
Я им туда уже предложение написал, чтобы можно было поставить несколько доверенных лиц и из них несколько штук должно согласиться, что ты это ты, для восстановления доступа.
Написали отписку но посмотрим, может и сделают.
xSVPx
13.11.2025 11:42Слишком сложно и всё равно ведь не менее надежно чем без него. Проще уж тогда пароль и смс получить от жертвы...
Мм... наверное можно было бы становиться доверенным лицом за небольшие деньги если как-то прокачать доверие :). С тем, чтобы никогда более не было возможности восстановить пароль удаленно, ну т.е. только при личной явке.
Много доверенных лиц - это тоже отлично, яб добавил всех родственников, друзей и сослуживцев и указал что нужно одобрение абсолютно всех одновременно. Человек 50.
ЗЫ. То, что в госуслугах зачем-то можно восстанавливать пароль не лично явившись в МФЦ, а дистанционно - огромный косяк...
zanzack
13.11.2025 11:42Здесь хотя бы пароль спрашивают, а в Сбербанке, если ставишь с нуля мобильное приложение и вводишь свой телефон, то сразу переходят ко вводу СМС и если корректная, то вход в Приложение осуществлён - пароль не требуется!
Я неоднократно уже писал им в поддержку help@sberbank.ru и на +7 495 500-55-50 звонил, чтобы пожаловаться, какая-то двухфакторная аутентификация у вас неправильная, но воз и ныне там. Плюс пароль в Сбербанке регистронезависимый, то есть заглавные/прописные буквы не различаются.
Уважаемый Герман Оскарович! Где двухфакторная аутентификация в мобильном приложении, где регистрозависимые пароли?RodionGork Автор
13.11.2025 11:42хех, в ВТБ пароль (пока это были не 4 цифры) был не то что регистронезависимый, а вообще только из цифр (хоть и больше четырех)
paultwik
13.11.2025 11:42Где это такое было? Я регистрировался в 2019 где-то, пришлось делать пароль с буквами, цифрами и специальными знаками. А кодовые на цифры не только у них есть, на Т-банке тоже и вроде на Сбер.
RodionGork Автор
13.11.2025 11:42да вроде буквально только год-полтора назад как мне "многоцифровой" на "простоцифровой" пришлось изменить... даже меньше, я гляжу сейчас по интернетам что эта волна возмущения много где прокатилась, например
https://www.banki.ru/services/questions-answers/question/710970/
кодовые цифры на других банках - они к браузеру привязаны. а здесь это типа пароля теперь :)
Ileots
13.11.2025 11:42Почти во всех банках так же
Либо пароль формально есть, но сбрасывается смской
xSVPx
13.11.2025 11:42Какая вам двухфакторная аутентификация если вы в телефон в который получаете смс ставите приложения ? Ее не будет ни при каком раскладе в таком сетапе. Ну т.е. либо вы каждый раз будете ваодить пароль, либо ничего не поможет. Пароль, кстати тоже поможет лишь слегка, вводить вы должны что-то одноразовое...
Ileots
13.11.2025 11:42Пароль пригодился бы в момент первоначальной установки приложения. Вместе с СМС это было бы типа 2fa.
А дальше это "типа 2fa" обеспечивается владением телефона, на котором установлено приложение + знанием кодпароля к самому приложению.
Dgbbjjhgv
13.11.2025 11:42А что не так к переходу ввода кода с смс, минуя пароли? У человека должен быть физический доступ к сим-карте и банковской карте, чтобы войти в аккаунт сбера.
meowpointerexception
13.11.2025 11:42Плюс пароль в Сбербанке регистронезависимый, то есть заглавные/прописные буквы не различаются.
Эти регистронезависимые пароли сейчас с нами в одной комнате?
ITDiver77
13.11.2025 11:42А я вот похоже не узнаю что мой пароль теперь не пароль... ибо не доверяю смс. И использую честную двухфакторку TOTP.
И да, очень бесит, что не смотря на то, что я использую хорошую двухфакторку, мне каждый раз предлагают использовать с.. Мах
Dgbbjjhgv
13.11.2025 11:42С точки зрения создания программистами пользовательского интерфейса, юзеру не надо знать о неудачных попытках входа в своем профиле. А смысл? Это банальная защита юзера от развода мошенниками.
Допустим тебе позвонят мошенники и скажут, что в ваш аккаунт госуслуг взломан или были многократные попытки. Юзер заходит в свой ак и видит тысячи неудачных попыток авторизации с красными крестами, предупреждающими сообщениями и начнет паниковать. В этой ситуации сработать мошеннику на психологии юзера будет проще. Смс же отдельная тема. Много не наспамить их. Вот скажите - зачем мне, как простому юзеру, а не специалисту пентентеста, знать с каких иностранных IP пытались вломиться в мой ак госуслуг? Что лично тебе даст понимае этой информации, кроме как стресс и судорожные попытки писать в поддержку и звонить в МЧС с криками - меня взломали, присылайте все бригады?
greenlittlefrog
Хакер в столовой.jpg