В России с 1 октября стала обязательной двухфакторная аутентификация на «Госуслугах». Такой способ входа на портал поможет защитить аккаунт и предотвратить кражу личных данных. Для чего усиливаются меры безопасности, кому нужны персональные данные россиян и какие ошибки чаще всего допускают люди при защите своих аккаунтов — в материале NEWS.ru.
Что изменится для пользователей «Госуслуг»
Отныне пользователям при входе в приложение «Госуслуги» система будет предлагать ввести помимо логина и пароля код из SMS-сообщения. Если у гражданина потерян доступ к номеру телефона, который привязан к аккаунту на государственном портале, то поменять этот номер можно при личном посещении МФЦ.
По данным Минцифры, более 35 млн россиян уже подключили двухфакторную аутентификацию для входа на портал «Госуслуги». При этом с начала октября дополнительное подтверждение для входа стало обязательным для новых пользователей портала и для тех, кто восстанавливает учетную запись.
В ведомстве сообщили, что в ближайшее время правительство примет постановление об обязательной для всех двухфакторной аутентификации. Пользователи, которые еще не установили второй фактор защиты, должны будут выбрать его во время следующего входа. Чтобы установить второй фактор защиты, пользователям необходимо войти в свой профиль в личном кабинете на портале «Госуслуги». После этого в разделе «Безопасность» выбрать «Вход с подтверждением», а далее — один из трех вариантов дополнительного подтверждения. Среди них — код из SMS, одноразовый сгенерированный код из специального приложения или вход по биометрическим данным.

Бывает ли трехфакторная аутентификация
Двухфакторная аутентификация — это метод идентификации пользователя в каком-либо сервисе при помощи запроса данных двух разных типов.
Как рассказал NEWS.ru эксперт в сфере информационной безопасности Арсений Измайлов, это обеспечивает двухслойную, а значит, более эффективную защиту аккаунта от несанкционированного проникновения.
«В реальности это, как правило, выглядит так: первый рубеж — это логин и пароль, второй — специальный код, приходящий по SMS или электронной почте. В некоторых случаях второй „слой“ защиты запрашивает биометрические данные пользователя. Таким образом, суть подхода довольно проста: чтобы куда-то попасть, необходимо дважды подтвердить тот факт, что вы — это действительно вы, причем при помощи двух „ключей“», — пояснил специалист.
Впрочем, Измайлов признал, что даже двухфакторная защита не дает стопроцентную гарантию от перехвата контроля над аккаунтом. Скорее, подчеркнул он, это достаточно надежный барьер, серьезно усложняющий злоумышленникам доступ к чужим данным.
По словам Измайлова, у обычных паролей немало недостатков: специальные приложения могут подобрать их, особенно если речь идет о простейших комбинациях букв и цифр. Простые пароли легко запомнить, однако точно так же и легко подобрать.
Эксперт также рассказал, что существует и трехфакторная аутентификация: например, код, сгенерированный специальным приложением, пин-код и голос (для сравнения с записанным ранее аудиофайлом).
Такой вид аутентификации, пояснил Измайлов, обычно используется предприятиями и организациями, которые требуют высокого уровня безопасности, например, банками, государственными учреждениями, аэропортами.

В чем проблема с защитой аккаунтов
Большинство россиян устанавливают простые комбинации в качестве пароля на телефон. Как ранее выяснили специалисты Института кибербезопасности и цифровых технологий РТУ МИРЭА, каждый десятый пользователь использует пароль 1234 на смартфоне, в числе популярных комбинаций 1111, 0000, 1212.
Согласно результатам проведенного исследования, подавляющее большинство россиян используют простые комбинации. Эксперты утверждают, что с помощью таких последовательностей цифр можно взломать 22% гаджетов. При этом комбинация 1234 дает доступ более чем к 10% смартфонов россиян.
Эксперт в сфере информбезопасности Арсений Измайлов подтвердил NEWS.ru, что опасность четырехзначных кодов заключается также в относительной простоте подбора верного шифра. Например, комбинации из четырех цифр дают только 10 тысяч возможных вариантов, а шестизначные комбинации — один миллион.
По его словам, еще более ненадежным способом защиты устройства является графический пароль для разблокировки устройства. В таком случае пользователю гаджета необходимо соединить линиями несколько точек, однако получившийся рисунок-код может подсмотреть посторонний. При этом доказано, что человеческий мозг лучше запоминает рисунок, а не цифры.

Какие пароли считаются надежными
Юридически доступ к паролю не защищен, он не относится к персональным данным. Хотя в Уголовном кодексе РФ существует статья 272 «Неправомерный доступ к компьютерной информации», карающая в зависимости от тяжести деяния наказанием от 2 до 7 лет. Об этом NEWS.ru рассказал основатель адвокатского агентства «Законовед» Григорий Сарбаев. Однако, по его словам, доказать факт использования пароля другим лицом обычному пользователю очень сложно. Поэтому в данном случае «спасение утопающих», то есть хранение информации о паролях и логинах, — дело рук самих пользователей, указал Сарбаев.
Специалист пояснил, что длина пароля должна составлять не менее шести символов, а максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки — от трех до десяти. При этом смена паролей должна происходить не более чем через 180 дней.
В то же время Сарбаев признал, что среднестатистический россиянин сойдет с ума, выполняя такие рекомендации.
«Практика показывает чрезвычайную легкомысленность в хранении этих данных. Поэтому, особо не надеясь на здравый смысл обычного гражданина, банки вводят свои системы защиты от мошенников, а государство — свои», — указал собеседник NEWS.ru.
Впрочем, Сарбаев напомнил, что такое отношение к собственным секретам демонстрируют не только россияне. Так, еще будучи президентом США, Барак Обама признался, что долгое время использовал комбинацию цифр 123457 или слово «пароль» в качестве пароля для работы в интернете. И подобные «пароли» использовала вместе с ним треть американцев.

Кому нужны персональные данные россиян
Персональные данные граждан являются очень ходовым предложением для продавцов товаров и услуг, а также для представителей криминального мира, рассказал NEWS.ru эксперт в сфере безопасности офицер ФСБ в запасе Сергей Храпач.
По его словам, в первом случае в получении таких данных заинтересованы маркетологи и продавцы для таргетированой продажи своих товаров и услуг.
Во втором случае — мошенники для завладения деньгами граждан путем злоупотребления доверием.
«Пока будет спрос на такой товар, как персональные данные граждан, будет и соответствующее предложение. В любом случае получение персональных данных граждан без их согласия — это преступление как по форме, так и по сути, и с этим надо бороться, что государство и пытается делать, вводя ответственность, с одной стороны, и совершенствуя технические методы защиты, с другой», — объяснил Храпач.
Как часто крадут персональные данные
В России за два года почти в 40 раз выросло количество утечек персональных данных пользователей. Если в 2021-м таких инцидентов было четыре, то в 2022-м — уже свыше 140, а за первые семь месяцев 2023-го — уже свыше 150. Об этом ранее сообщили «Известиям» в Роскомнадзоре. Всего в России насчитывается не менее 5,5 млн структур, имеющих доступ к частной информации.
При этом россияне, пострадавшие от утечки их персональных данных из фирм и организаций, могут получить компенсацию. Портал «Объясняем.рф» опубликовал соответствующую инструкцию. В течение 15 рабочих дней после того, как компания уведомит об утечке данных, необходимо подать заявку на возмещение причиненного ущерба на «Госуслугах». Затем в течение 20 рабочих дней организация рассчитает выплату и направит пострадавшему свое предложение.

За последние два года произошло немало утечек персональных данных. Так, в феврале прошлого года в Сеть попали почти 50 миллионов строк данных пользователей сервиса «Яндекс Еда» — фамилии, номера телефонов, адреса доставок, комментарии к заказам и даже суммы чеков. Позднее утекли данные клиентов Delivery Club, были слиты 2,2 миллиона строк данных пользователей сервиса с 2019 года.
Широко обсуждался также слив базы данных медицинской лаборатории «Гемотест» — тогда в интернете оказалось две базы данных. 554 миллиона заказов и 31 миллион строк с информацией: Ф. И. О., даты рождения, адреса, номера телефонов, адреса электронных почт, серии и номера паспортов и даже результаты анализов.
В открытом доступе оказались данные клиентов сервиса «Туту.ру». В Сеть попали данные пользователей, которые покупали автобусные туры. Речь идет о 2,6 миллиона заказов.
Читайте также:
«Госуслуги» начали определять место жительства пользователей без их ведома
В России создан телефон для защиты помещений от прослушки
Европейский центральный банк решил бороться с утечками радикальным способом