Как включить двухфакторную аутентификацию на Госуслугах?

Слышал, что с 1 июня 2023 года станет обязательной двухфакторная аутентификация на Госуслугах. Расскажите, пожалуйста, что это такое и как ее подключить?

Аккаунт на Госуслугах знает о своём владельце почти всё – от серии паспорта до кредитной истории. Изобилие персональных данных не только облегчает жизнь, но и провоцирует мошенников. Но защититься от взлома теперь стало проще. В этой статье мы расскажем, как помогает двухфакторная аутентификация (она же двухфакторная авторизация) сохранить свои данные, как защищает от мошенников, как её подключать и как усилить. А еще – почему она вскоре станет обязательной для всех.

Что такое двухфакторная авторизация на Госуслугах

Обычно для входа на Единый портал государственных услуг достаточно логина и пароля. Причем логином может быть номер телефона, ИНН или СНИЛС.

Двухфакторная аутентификация на Госуслугах – это способ идентификации, при котором пользователь заходит в личный кабинет, вводя два разных типа данных. Это помогает более надёжно защитить аккаунт от злоумышленников. Проще говоря, чтобы зайти в аккаунт, вам придётся дважды подтвердить свою личность.

Стандартно это выглядит так:

  • Первый шаг: вход с логином и паролем. Их обычно придумывает сам пользователь или, в редких случаях, генерирует сайт в уникальном виде.
  • Второй шаг: ввод уникального кода. Он приходит по смс, электронной почте или в push-уведомлении. Также это может быть USB-ключ или электронная подпись. То есть любая информация, которую мошенник физически не может получить через интернет, даже если взломает ваш пароль.

Обычный аккаунт можно взломать подбором пароля и другими методами. Но со вторым фактором защиты такое не выйдет: мошеннику придётся получить доступ к вашему смартфону или взломать электронную почту, адрес которой он не знает.

Если сейчас такая защита включается в настройках по желанию, то с 1 июня 2023 года её планируют сделать обязательной. Об этом заявил глава Минцифры Максут Шадаев. Работы по внедрению второго уровня защиты в каждом аккаунте начнутся уже с 1 марта.

Зачем нужна двухфакторная аутентификация

Перечень услуг, которые можно получить в личном кабинете Госуслуг, постоянно растёт. А вместе с ним растёт объём персональных данных, которые мы доверяем порталу – паспорт, водительские права, справки и даже документы на квартиру.

Если документы не спрятать под усиленную защиту, мошенники получить доступ к вашим данным. С ними они могут:

  • взять на вас кредит или микрозайм;
  • оформить компанию-однодневку, чтобы не платить налоги или отмывать деньги;
  • проголосовать за вас на выборах;
  • переписать квартиру на другого владельца.

В России уже случались эпизоды крупного мошенничества со взломом аккаунтов на Госуслугах. Так, в 2021 году у жителя Санкт-Петербурга взломали аккаунт и оформили на него кредит в 420 000 рублей. Мошенники без ведома владельца поменяли контактный телефон и заказали несколько кредитных карт на его имя.

Как настроить двухфакторную аутентификацию на Госуслугах

До июня 2023 года у всех пользователей по умолчанию настроена обычная аутентификация – по логину и паролю. Двухфакторную авторизацию на Госуслугах можно настроить в личном кабинете на сайте портала или в официальном мобильном приложении. Рассмотрим оба варианта подробнее.

Через сайт

Чтобы усилить защиту аккаунта, необходимо:

  1. Зайти на портал Госуслуги. Обязательно проверьте, правильно ли указан url в адресной строке – gosuslugi.ru. Ошибившись в одной-двух буквах, есть риск случайно попасть на фишинговый сайт и дать узнать свой пароль мошенникам. Если всё правильно, нажимаем «Войти», а там – ввести логин и пароль. Скорее всего, они уже сохранены в браузере:

    вход в ЛК Госуслуг

  2. Загружается главная страница личного кабинета. Открываем выпадающее меню, кликнув по стрелке рядом с аватаркой справа вверху:

    открываем меню профиля

  3. В меню выбираем блок «Профиль»:

    переходим в профиль Госуслуг

  4. Открывается страница со всеми настройками и личными данными. В меню слева выбираем вкладку «Безопасность»:

    переходим в меню Безопасность

  5. На открывшейся странице находим плашку «Вход с подтверждением». Передвигаем на ней переключатель вправо, чтобы он окрасился в синий цвет. Выбираем тип входа: смс на номер телефона или одноразовый код. Нажимаем кнопку «Включить»:

    как включить двухфакторную аутентификацию в Госуслугах

Двухфакторная аутентификация включена. Теперь каждый раз, когда вы решите зайти на Госуслуги, на ваш номер телефона будет приходить смс с уникальным кодом подтверждения.

Через приложение

Чтобы включить двухфакторную аутентификацию в Госуслугах через приложение, необходимо:

  1. Запустить приложение. Перейти в свой профиль, кликнув по своей аватарке в нижнем меню:

    переходим в профиль в приложении Госуслуг

  2. На открывшейся странице выбрать раздел «Безопасность»:

    раздел Безопасность в приложении

  3. Здесь нас интересует плашка «Вход в систему». Кликаем по ней:

    меню Вход в систему

  4. Переводим ползунок вправо на вкладке «Вход с подтверждением». Выбираем тип аутентификации – смс или одноразовый код, затем нужно подтвердить это кнопкой «Включить»:

    как настроить двухфакторную аутентификацию на Госуслугах через приложение

Теперь ваш личный кабинет защищён от злоумышленников.

Какие еще есть способы защиты аккаунта на Госуслугах

Взлом аккаунта – проблема нечастая, но вполне реальная. Чтобы точно не допустить утечки данных, советуем не только установить двухфакторную аутентификацию на Госуслугах, но и дополнительно усилить безопасность своего аккаунта. Расскажем, как это сделать.

Общие правила безопасности

Для защиты личного кабинета лучше использовать несколько разных инструментов. Одни будут усложнять доступ мошенникам, другие – сигнализировать о попытках взлома в виде смс или письма на е-мейл.

Придумайте надёжный пароль

Логин на Госуслугах – СНИЛС или номер телефона. Мошенник легко вычислит эти данные, а значит, пароль нужно придумать максимально сложный. Он не должен повторяться в других сервисах. Если вы указываете одну и ту же комбинацию на десятках разных сайтов, утечка пароля с любого из них ставит под угрозу безопасность аккаунта на Госуслугах.

Чтобы пароль получился надёжным, в нём должно быть как можно больше разнообразных знаков – буквы разного регистра, цифры, символы. Так он будет максимально непредсказуемым для мошенника. Также пароль должен быть длинным – минимум 12 символов. Чем длиннее, тем лучше. Не забудьте записать или зашифруйте латиницей фразу, которую точно сможете запомнить.

Включите оповещения о входе

Госуслуги могут оповещать вас о каждом успешном входе в аккаунт письмом на электронную почту. Если кто-то получит доступ к вашему личному кабинету и попытается в него зайти, вы моментально об этом узнаете и сможете сменить пароль.

Чтобы подключить оповещения, заходим в настройки профиля (стрелочка рядом с аватаркой на главной странице) и выбираем раздел «Безопасность». Здесь ищем нужную вкладку и переводим ползунок на ней вправо:

как включить оповещения о входе в аккаунт Госуслуг

Уведомления будут приходить на почту, которую вы указали в процессе регистрации. При необходимости её можно изменить в разделе «Учётная запись».

Задайте контрольный вопрос

Контрольный вопрос дополнительно защитит от желающих присвоить ваш аккаунт. Даже если мошенники получат доступ к электронной почте, привязанной к Госуслугам, ответ на контрольный вопрос не угадают. Конечно, если придумаете вопрос, на который знаете ответ только вы.

Чтобы включить эту функцию, перейдите в настройки профиля. В разделе «Безопасность» найдите плашку «Контрольный вопрос» и передвиньте ползунок. Ниже нужно будет указать контрольный вопрос, ответ на него, ввести пароль и нажать кнопку «Включить»:

включение контрольного вопроса на Госуслугах

Чтобы ещё больше усилить защиту, дополнительно зашифруйте ответ. Например, напишите его задом наперёд – авксоМ вместо Москва. Или замените все гласные в слове дефисами: П-Т-Р-В- вместо Петрова. Такими способами можно сделать угадывание ответа на контрольный вопрос почти невозможным.

Главное здесь – конечно, самому не забыть, как именно был зашифрован ответ.

Одноразовые коды

Для подключения входа по одноразовому коду (ТОТР) нужно скачать приложение-аутентификатор для генерации таких кодов. Например, Яндекс.Ключ, Google Authenticator или WinAuth (только для Windows).

Чтобы подключить вход по одноразовому коду, откройте свою учётную запись и перейдите в раздел «Безопасность». А там – выберите соответствующий тип подтверждения:

подключение входа по одноразовому коду

В дальнейшем, когда будете заходить на сайт, система будет предлагать отсканировать QR-код или ввести секретный ключ. В приложении появится надпись «gosuslugi» с уникальным кодом. Такую конфигурацию мошенникам точно не удастся взломать.

Электронная подпись

Эта опция подойдёт тем, кто уже пользуется усиленной квалифицированной электронной подписью. Чтобы её получить, необходимо обратиться в один из аккредитованных центров, а потом – установить на свой ПК специальный плагин (ИП могут получить ее бесплатно в ФНС). Поэтому способ подойдёт не всем.

Чтобы подключить подтверждение аккаунта по ЭП, перейдите в раздел «Безопасность» и найдите вкладку «Вход по электронной подписи». Здесь нужно передвинуть ползунок, ввести пароль от аккаунта и нажать кнопку «Включить»:

включение входа по электронной подписи на Госуслугах

В дальнейшем, когда будете входить в аккаунт, выбирайте «Электронная подпись». Вводить пароль и логин не придётся:

авторизация по электронной подписи на Госуслугах

Если у вас нет действующей ЭП, безопаснее будет отказаться от такого способа. Подключая её, вы теряете возможность получать коды по СМС и пользоваться одноразовыми паролями.

Биометрия

С 1 февраля 2023 года на Госуслугах добавили ещё одну опцию – биометрическая идентификация. Теперь подтверждать личность можно по данным, которые вы передадите в единую биометрическую систему: например, фото лица, отпечаток пальца или запись голоса.

С подключением биометрии ноутбук/компьютер будет узнавать владельца аккаунта через веб-камеру, а в приложение можно будет зайти отпечатком пальца. Такой способ многократно увеличит защищённость персональных данных на портале.

Запуск обязательной для всех двухфакторной аутентификаци

С 1 октября 2023 года, как и ожидалось, авторизация на портале Госуслуги стала исключительно двухфакторной. То есть, всем пользователям нужно иметь не только логин и пароль, но и второй фактор (код из смс). По данным Минцифры, такой способ авторизации подключили уже 35 миллионов пользователей портала.

С 28 октября 2023 года, как сообщил официальный канал Минцифры, двухфакторная аутентификация становится обязательной для всех без исключение пользователей портала. Зайти в профиль только по логину и паролю можно будет только один раз. Следующий вход будет только в раздел «Безопасность» в настройках, чтобы настроить второй фактор авторизации. Без этого снова зайти в аккаунт уже не получится:

минцифры о двухфакторной аутентификации на госуслугах

Источник: t.me/mintsifry

Эксперты о двухфакторной аутентификации

Безопасность личных данных должна быть приоритетом для любого пользователя банковских или государственных сервисов. А двухфакторная аутентификация обеспечивает ее лучше других способов. Поэтому мы попросили экспертов прокомментировать нововведение, согласно которому с июня такой способ авторизации на Госуслугах станет обязательным.

Правильный второй фактор, конечно же, улучшает безопасность. Но слово «правильный» – ключевое.

Рассмотрим наиболее часто используемый и самый небезопасный второй фактор – смс. При его использовании шансов попасть злоумышленнику в аккаунт существенно больше, чем даже при использовании только логина и пароля. Простой пример – с помощью украденной/найденной сим-карты можно «восстановить» (сбросить) пароль к аккаунту. При этом у обычной пары логин/пароль такой проблемы нет: злоумышленники не знает ни логин, ни пароль.  В случае смс логин – это номер, а присланные смс позволяют войти в систему.

Александр Злобин, ИТ-директор Хавас Медиа.

Механизм 2FA нужно сделать обязательным. Лучше испытать сложности со входом в сервис, чем неожиданно обнаружить, что кто-то за тебя продал квартиру или вписал туда двадцать человек с маленькими детьми. Сейчас украсть или подобрать пароль максимально просто. Второй фактор намного повысит безопасность, но полностью не исключит возможность взлома. В Интернете достаточно историй, как люди диктуют злоумышленникам код подтверждения перевода.

Двухфакторная аутентификация не отпугнет от сервиса – разве что только тех, кто любит посещать казенные учреждения, стоять в очередях. Мы уже используем второй фактор, например, при банковском переводе – это просто незаметно «пробралось» в нашу жизнь! Второй фактор – это кибергигиена. Как зубы почистить утром и вечером.

Разумеется, это может создать трудности. Но, скажем так: потеря телефона или паспорта создаёт гораздо больше сложностей. Для тех, кто не хочет подключать подтверждение по SMS или push-уведомление, можно сделать другой вариант второго фактора: отпечаток пальца, вены на ладони, токен, встроенный в карточку СНИЛС. Как я говорил ранее, лучше отстоять очередь в двадцать человек, чем неожиданно обнаружить десять оформленных на вас кредитов.

Игорь Тюкачев, руководитель отдела развития бизнеса продуктов ИБ компании Axoft.

С помощью данных из Госуслуг злоумышленники могут через сервис восстановления паролей получить доступ к онлайн-кабинетам банков и брокерским счетам, чтобы вывести деньги. Кроме того, есть большое количество услуг, которые можно получить дистанционно, только сообщив данные документов – открыть счет, получить кредитку, оформить виртуальную карту и так далее. Доказать тот факт, что к оформлению этих продуктов человек не имеет отношения, будет довольно сложно.

Именно поэтому введение обязательной двухфакторной аутентификации пользователей на портале Госуслуг – вполне разумный шаг, который повысит безопасность конфиденциальных данных.

Никита Нечаев, CEO мобильного приложения «Город».

Методика двухфакторной аутентификации, безусловно, повышает уровень безопасности. Пользователи могут защитить свои данные, грамотно ее применяя. Если подтверждение авторизации приходит клиенту в виде уведомления или пуша, который будет виден всем на экране блокировки, это не сделает систему безопаснее. Злоумышленник легко сможет узнать код подтверждения, не владея даже паролем от телефона. Пользователю лучше активировать маскирование входящих сообщений и уведомлений, тем самым обезопасив свои данные.

Одним из минусов двухфакторной аутентификации является зависимость от мобильного устройства, так как его утеря или поломка затрудняют использование ресурса. Решением данной проблемы может служить гибкая система восстановления пароля или кода доступа, в качестве дополнительного агента верификации можно привязать запасную электронную почту и не бояться потерять или забыть смартфон.

Алексей Маринин, старший разработчик мобильных приложений для IOS в Ozon.

Существуют, конечно, риски «замыливания глаза» бесконечными подтверждениями по SMS, однако же в целом мобильные подтверждения операций в свое время уже зарекомендовали себя как хороший слой дополнительной защиты в банкинге. Общий уровень безопасности в любом случае возрастёт.

Не думаю, что это создаст какие-то проблемы для людей, которые в принципе пользуются Госуслугами. Сложно предположить, что среди пользователей портала есть подмножество не использующих мобильную связь. Всё же, знакомые с ИТ, как правило, обладают не просто мобильным телефоном, а смартфоном.

Павел Кузнецов, директор по продуктам компании «Гарда Технологии».

Своевременно и оправданно, считаю. Цифровая зрелость населения позволяет относительно безболезненно ввести двухфакторную аутентификацию для Госуслуг.

Для второго фактора будет достаточно и кнопочного телефона, поэтому больших доставить сложностей не должно.

Руслан Рахметов, генеральный директор Security Vision.

Двухфакторная аутентификация давно используется в онлайн-банках, так что для большинства пользователей это не станет чем-то неожиданным. Информационная безопасность старается найти компромисс между безопасностью использования и удобством использования. Если такой компромисс находится, то меры ИБ выполняются и работают. Если же нет, то происходит сознательное уклонение от соблюдения ИБ или отток пользователей.

2FA давно себя зарекомендовала как успешный и удобный механизм повышения уровня защиты пользователей. Те, кто пользовался сервисом Госуслуг – и дальше будет его использовать. Для тех пожилых людей, которые этим сервисом никогда не пользовались, в их жизни ничего не изменится. Введение подобной дополнительной функции усилит меры безопасности, однако, вместе с этим побудит мошенников получать доступ к аккаунтам на Госуслугах, применяя технологии социальной инженерии, а именно посредством массовых звонков от телефонных мошенников.

Дмитрий Овчинников, главный специалист отдела комплексных систем защиты информации компании «Газинформсервис».

Подтверждение входа по СМС – это единственный простой для пользователя метод защиты, который пьёт огромное количество крови у мошенников.  Отсюда и огромное количество звонков из всяких «служб поддержки Сбербанка», пытающихся под разными предлогами узнать код подтверждения из заветной смс.  Крайне эффективная технология.

Кирилл Блинов, инженер-программист, главный разработчик Web-slim.

Двухфакторная аутентификация кратно повышает безопасность аккаунта, но часть аудитории столкнется с проблемой еще на уровне подключения. Поэтому стоит подготовить удобный вариант выбора типа дополнительного способа подтверждения личности и, что немаловажно, объяснить гражданам, как пользоваться выбранным способом при входе. Дальше поддержку могут завалить вопросами как изменить пароль и дополнительный способ подтверждения.

Никита Шевляков, разработчик, основатель интернет-агентства Future.

Аутентификация через SMS-код тоже уязвима и не дает 100% гарантию, что мошенники не воспользуются, например, подменой сим-карты или фишингом. Доступ к личному кабинету с помощью физического ключа безопасности (USB, Bluetooth, NFC, RFID и тд.) могут обеспечить более высокий уровень защиты.

Также важно отметить, что, хотя двухфакторная аутентификация может быть эффективной мерой безопасности, но она не является на 100% надежной. Опытные злоумышленники все равно могут воспользоваться уязвимостью в системе или использовать тактику социальной инженерии, что, судя по продолжающимся звонкам от «службы безопасности банка», до сих пор работает.

Александр Вайнер, главный эксперт-аналитик ГК «Векус».