Обложка канала

Windows 11, 10, etc - Вадим Стеркин

10333 @sterkin_ru

Авторский канал. Windows 11, безопасность, мобильный мир: • тайное знание • профессиональный ликбез • гадание по логам • срыв покровов • доставка пруфов

Windows 11, 10, etc - Вадим Стеркин

4 года назад
Открыть в
🔒 Об отсутствии кодов восстановления в двухфакторной аутентификации Госуслуг (ГУ) Читатель Yves Genie первым делом обратил внимание, что в ГУ при переключении на 2FA с одноразовыми кодами не предусмотрено создание резервных кодов. Они невероятно ценны в случае повреждения или утери аутентификатора. #Классика блога освещала этот вопрос. ℹ️ На реализацию #2FA различными компаниями полезно смотреть через призму документа NIST 800-63B. Конечно, американский институт стандартов не указ российским Госуслугам. Однако публикации NIST не просто определяют стандарты для госсектора США, но и в немалой степени задают вектор развития мировой индустрии. Наряду с высотой потолка эти рекомендации обозначают и высоту пола, под которым уже начинает просматриваться дно. 👉 В разделе 6.1.2.1 говорится, что поставщик услуги должен рекомендовать клиентам использование двух аутентификаторов на каждый фактор. Например, если применяется устройство для генерации одноразовых кодов (OTP), можно выпускать коды восстановления (look-up secrets в терминологии документа). И соответственно такая возможность должна быть реализована в сервисе. В документе также есть раздел 6.2, посвященный потере, краже или повреждению аутентификатора. Поставщик услуги должен обеспечить способ информирования о потере, причем в этом случае для верификации должно хватать одного фактора - например, пароля. Однако в качестве альтернативы может использоваться специальный защищенный канал для проверки с помощью ранее собранных сведений о клиенте. NIST не обозначает природу такого канала. Наверное, подразумевается дистанционный способ. Но в случае с ГУ таковым вполне может являться визит в МФЦ с паспортом 😎