Как обезопасить аккаунт Госуслуг
1) Установите у оператора кодовое слово на свой номер, чтобы никто не мог произвести с номером любые действия, вплоть до блокировки, просто зная ваше ФИО и паспортные данные, которые вы светите сплошь и рядом. И обязательно проверьте — работает ли опция так как вам нужно, потому что далеко не факт, что получится сразу сделать то, что требуется. Про МТС и борьбу с ним по этому вопросу я писал сегодня — МТС и кодовое слово. Важный комментарий
2) Укажите вашу электронную почту, на которую будут приходить оповещения об авторизации в Госуслугах.
3) В настройках Госуслуг (я делал через браузер на ПК, не знаю есть ли эта возможность в приложении для смартфонов) установите контрольный вопрос и ответ на него. Вопрос — произвольный, тут нет шаблонов типа «Назовите девичью фамилию вашей матери» или «В каком году у вас первый раз угнали аккаунт ВК» — можно придумать всё, что угодно. Согласно информации с Госуслуг, контрольный вопрос задаётся обязательно при попытке восстановить пароль. Пикрелейтед.
PS И обязательно включите опцию Вход с подтверждением по SMS — это и есть та самая двухфакторная авторизация, про которую так много все говорят и игнорируют.
У меня в Билайне стоит кодовое слово. Так вот, когда приходишь в салон, сотрудник открывает на компе твою карточку, и это кодовое слово там написано открытым текстом. То-есть оно вообще никак не защищает от сценария взлома с перевыпуском симки через знакомого сотрудника.
Хер там, мой аккаунт госуслуг взломали тупо приперевшись в МФЦ с поддельным паспортом. Была смена пароля «по личному обращению». Никаких смс и писем не приходило. Всегда стояло подтверждение входа по смс и оповещение о смене пароля на почту и смс. Вот и вся «безопасность».
Чутка опоздал, в госуслугах прописали левый паспорт и с помощью этой учетки каким-то образом разослали запросы на кредиты. 25 запросов в 13 банков. один банк из всех позвонил мне и спросил что за хня происходит и почему вдруг я хочу у них оформить кредитку по новым паспортным данным. Один банк дал халву на 120к, которую моментально обналичили, остальные отказали.
Безопасность авторизации по смс — полный бред.
Пока не будет персонального электронного ключа с ЭЦП, выдаваемого налоговой и , защищённого кодом, ничего не изменится. Варианты исполнения самого ключа могут обсуждаться, USB, карта, защищённая сим-карта, nfs, загруженные в криптокалькулятор и тд.
Но для того, чтоб это все работало надо чтобы всякие ебучие ведомства сделали нормальный вход в свои системы по эцп с любого устройства.
Сейчас например, чтобы зайти по эцп на налог ру, можно ебануться и застрелиться сразу. Все через жопу. Миллион настроек и если человек не IT ничего не получится
Отличное решение, но в Билайне для организаций вот так:
Обратиться в центр поддержки по кодовому слову можно с любого номера, а не только с того, который указан в договоре
Очень безопасное решение )))
Ответ на пост «Следователь и мошенничество с Госуслугами»
Автор первого поста описал ситуацию, в которой у него выманивали логин и пароль госуслуг очень настойчиво. Я же опишу ситуацию, которую лично наблюдаю уже второй день, и тут человек сам прям хочет передать эти данные.
В общем: есть у меня знакомый. У знакомого мать. Мать у него врач, и сейчас у нее пришло время продлевать аккредитацию. Обучение она прошла, а чтоб продлиться, нужно передать данные после обучения в регистр медицинских сотрудников. Это делается двумя способами: либо через сайт регистра, который подвязан к гос услугам, либо по почте России. И вот сейчас, к моменту отправки документов, учебный центр, который проводит это обучение, прям требует от нее логин и пароль. Женщина в возрасте, поэтому данные эти не помнит. Но их помнит ее сын. И он справедливо отказывается их куда либо отсылать. А она прям хочет этого потому что все коллеги так сделали, и ничего. К слову, вся эта процедура длится примерно 2 месяца, и, соответственно, эти 2 месяца хрен пойми кто будет иметь доступ к ее гос услугам. Учебный центр давит на то, что это сложная процедура, и без пол литра там не разберешься, поэтому дайте данные.
Ради интереса я попробовал пройти те шаги, что требуется для подачи документов. Да, есть сложности, и сайт регистра кривой, но разобраться, в принципе, не сложнее чем зарегистрироваться в какой нибудь онлайн игруле.
Так вот, к чему я это: цифровизация это прекрасно, и такой документооборот тоже, но она всё это не учитывает никаким образом людей в возрасте, которые кнопку вкл на компе ищут 10 минут. И соответственно сами с большим желанием нарушают цифровую гигиену, только бы не лезь в это своими руками. А потом удивляемся, почему так легко обманывают и обкрадывают пожилых людей
Угон учётной записи Госуслуг с 2fa-авторизацией
Недавно я получил по электронной почте уведомление о входе в мой личный кабинет Госуслуг.
Удивился, поскольку не входил. Удивился еще больше вспомнив, что у меня настроена двухфакторная аутентификация, а смс с кодом в этот раз не приходило.
Попытался авторизоваться — не получилось. Мой пароль был изменен злоумышленником.
С помощью процедуры восстановления пароля вернул себе доступ к личному кабинету.
Стал разбираться. Открыл в профиле раздел «Безопасность / Действия в системе». Там увидел запись о «восстановлении пароля в результате личного обращения». После которой обнаружил записи об успешной авторизации неизвестных лиц.
Обнаружил также, что двухфакторная аутентификация была просто выключена в процессе этого «восстановления пароля в результате личного обращения». Без каких-либо уведомлений-оповещений.
Обратился в техподдержку Госуслуг. Началась долгая переписка. Техподдержка очень не хотела разбираться с проблемой и несколько раз пыталась закрыть мое обращение. Проявил настойчивость и заставил работать. В результате они нашли злоумышленника. Им оказался работник клиентской службы провинциального отделения ПФ РФ.
Потом мне звонил руководитель этого отделения и уговаривал меня написать заявление, будто бы я сам обратился к ним для восстановления пароля. Объяснял это тем, что злоумышленник — очень ценный сотрудник, и они очень хотят спустить эту историю на тормозах. Вежливо послал его по известному адресу.
Однако мои наивные надежды, что сотрудники Госуслуг инициируют служебное расследование и накажут злоумышленника быстро разбились о суровую реальность глубокого пофигизма этих самых сотрудников. Видимо, они не посчитали этот инцидент заслуживающим внимания.
Мотивацию злоумышленника предполагаю, но не уверен.
В сухом остатке имеем следующее:
Сотрудник провинциальной клиентской службы может запросто сбросить ваш пароль одновременно выключив двухфакторную аутентификацию. Потом спокойно авторизоваться в вашем ЛК и сделать все, что ему нужно. И, главное, ему потом за это ничего не будет, если он дружит со своим начальством.
Интересно, сколько стоит сегодня на рынке предоставление доступа к чужим учетным записям через ЕСИА по описанному выше алгоритму…
Электронная подпись: как обходиться без бумаги и при этом не отдать все свои активы мошенникам?
Электронная подпись появилась в России еще в прошлом веке, когда компьютеры были большими, а интернет был по диал-апу. С тех пор применение усиленной электронной подписи (ЭП) расширяется. Её регистрируют как крупные организации, так и совсем небольшие ИП.
После начала пандемии коронавируса случился настоящий бум получений ЭП, ведь иначе бизнес бы встал. В результате за 2020 год было выдано почти вдвое больше сертификатов ЭП, чем в 2019-м. Разберемся, что такое ЭП, почему она так привлекательна для мошенников и как защитить ее от злоумышленников.
ЧТО ТАКОЕ ЭЛЕКТРОННАЯ ПОДПИСЬ?
В этом материале мы говорим об усиленной электронной подписи – идентификаторе человека при дистанционном обмене информацией, имеющем юридическую силу.
Бывает еще простая электронная подпись, подтверждающая, что документ отправил конкретный пользователь. Ее можно сделать с помощью обычных офисных программ, но уровень ее защищенности таков, что всерьез ее воспринимать сложно. Однако простые подписи используются широко. Например, ими незаметно для клиента заверяются все операции по банковским картам. Простая подпись может быть доказательством в арбитражном суде.
Чтобы ввести электронный документооборот, требовался инструмент, одновременно достаточно защищенный, чтобы ему можно было доверять, и достаточно простой, чтобы им мог пользоваться обычный пользователь ПК. Так появилась усиленная электронная подпись.
Усиленная ЭП – это реквизит документа, подтверждающий его авторство и отсутствие изменений в данных с момента подписания. Она защищена криптографическими методами, и взломать ее практически невозможно.
Чтобы подписать документ, нужна пара из секретного и открытого ключа.
Когда человек ставит электронную подпись, алгоритм считает контрольную сумму данных и зашифровывает получившееся значение секретным ключом.
Получатель документа с помощью парного открытого ключа узнаёт, кем именно был подписан документ и проверяет совпадение контрольной суммы. Если после подписи в документе хотя бы переставят запятую или удалят пробел, она будет уже другой. Значит, подпись недействительна.
Из всех ЭП юридической силой собственноручной подписи обладает только усиленная квалифицированная. Чтобы получить ее, нужно, чтобы соответствующий открытый ключ был подписан секретным ключом УЦ.Открытый ключ с метаданными владельца и подписью УЦ и называется сертификатом электронной подписи.
Неквалифицированная подпись используется в основном в деловой среде. Ее может выдать любой удостоверяющий центр (УЦ), в том числе и внутренний УЦ предприятия. Сообщение с неквалифицированной электронной подписью может (по предварительной договоренности сторон и в специально предусмотренных законом случаях) быть приравнено к бумажному документу, подписанному собственноручно.
Квалифицированная подпись по закону считается официальным документом. Она позволяет удаленно работать с налоговой инспекцией, присылать документы в суд – делать все то же, для чего нужна собственноручная подпись. Она подтверждается сертификатом от аккредитованного удостоверяющего центра.
НЕМНОГО ИСТОРИИ
С помощью сотрудников Музея криптографии, который скоро откроется в Москве, мы смогли составить хронологию использования ЭП в России.
1994 – в России принят первый стандарт электронной подписи – ГОСТ Р 34.10-94 (сейчас действуют национальный стандарт ГОСТ Р 34.10-2012 и межгосударственный ГОСТ 34.10-2018)
2002 – вступил в силу первый закон, призванный регулировать использование ЭП – 1-ФЗ «Об электронной цифровой подписи». Он содержал слишком серьезные требования к ЭП и сильно ограничивал возможности по применению электронных документов.
2011 – вышел закон 63-ФЗ «Об электронной подписи», значительно облегчающий ее применение. Это создало основу для перехода к безбумажному документообороту.
2018 – ЭП стала использоваться на портале «Госуслуги»
2019 – появление облачной подписи, которую можно оформить удаленно.
2020 – ключи ЭП можно получать через МФЦ.
2020 – ЭП активно используется в банках для защиты переводов.
Электронная подпись стала по-настоящему доступна. Но так ли это хорошо?
ОХОТА ЗА КЛЮЧОМ
Секретный ключ чужой электронной подписи для мошенников поистине золотой. Имея его, для всего цифрового мира злоумышленник может оставить её настоящего владельца без банковского депозита, бизнеса и единственного жилья.
Самые распространенные преступления с использованием ЭП:
— вывод средств со счетов компании;
— заключение договора дарения или купли-продажи на собственность человека или компании, включая недвижимость и дорогую технику;
— различные манипуляции с организацией: смена руководителя компании, главбуха, других ключевых сотрудников, ограничение доступа организации к госзакупкам и даже ликвидация компании.
Чтобы осознать полный спектр возможностей мошенников, представьте, что вы решили очень сильно навредить собственному материальному положению. Что вы можете для этого сделать? Мошенник с вашим секретным ключом может сделать все то же самое.
Открытый ключ на то и открытый, что давать его можно всем, кому требуется подтвердить вашу электронную подпись. Им можно:
— зашифровать что-то так, что расшифровать сможет только владелец парного секретного ключа;
— проверить подпись, созданную с использованием парного секретного ключа.
Имея доступ к открытому ключу, получить секретный невозможно. Поэтому его можно безопасно предоставлять всем, кому нужно прочитать ваши документы.
УДОСТОВЕРЯЮЩИЙ ЦЕНТР: ЗАЧЕМ ОН НУЖЕН?
На всех сайтах удостоверяющих центров говорится: чтобы получить электронную подпись, нужно получить в УЦ ключевую пару и сертификат. Создается впечатление, что ключевую пару могут сделать только там. Но это а) не так, б) нарушает главное правило работы с ЭП: секретный ключ не должен оказываться в чужих руках. Тем более – в непонятно чьих.
Удостоверяющие центры – это частные организации (порой ИП или вообще частные лица), которые не в полной мере контролируются государством. До 2020 года существовали сотни УЦ, среди которых встречались созданные с мошенническими целями – как раз для кражи секретных ключей. Теперь требования к ним значительно ужесточили, и многие недобросовестные игроки с этого рынка отсеялись. Но все ли? Вряд ли вам хочется проверить это ценой собственной квартиры или бизнеса.
Поэтому если УЦ не аккредитован в Минкомсвязи, с ним можно иметь дело только если:
— это собственный УЦ вашего предприятия;
— он сертифицирует подписи для участия в конкретных мероприятиях (например, в торгах, и тогда УЦ должен иметь аккредитацию не менее чем шести торговых площадок).
Смысл создания аккредитованных УЦ – в дополнительной защите подписи путем сертификации. Сертификат УЦ говорит о том, что его сотрудники удостоверились в том, что конкретный гражданин пришел к ним с паспортом и заявил, что принесенная им ключевая пара принадлежит ему. Для такой идентификации достаточно предоставить в УЦ открытый ключ. Но явиться лично и с паспортом придется. Дистанционные способы подтверждения личности в таком важном деле, как получение сертификата, могут применяться только в исключительных случаях. Если УЦ предлагает такие варианты просто по желанию клиента, возможно, организация настолько же непринципиальна и в других вопросах информационной безопасности.
Кроме выдачи сертификата электронной подписи, УЦ по заявлению владельца может приостановить действие сертификата или отозвать его, и тогда ЭП потеряет силу. Об этом пользователю, имеющему парный открытый ключ, сообщит программа, проверяющая подпись. В сообщении будет сказано: «Подпись верна, сертификат недействителен». Но между тем, как секретный ключ станет кому-либо известен, до тех пор, пока УЦ поместит сертификат открытого ключа в список отозванных, пройдет какое-то время. За этот промежуток злоумышленник вполне может провести операции, которые будут считаться легитимными.
КЕЙС: КАК СДЕЛАТЬ СЕБЕ ЭП
Верный способ защитить секретный ключ от утечек на начальном этапе – сделать на предприятии собственный УЦ. Он не будет аккредитованным, зато вы точно будете знать, кто имеет доступ к настолько важным данным. Приведем кейс от дружественной компании, которая не поленилась немного поработать, и теперь ее руководство спит спокойно. Ну, почти спокойно: инсайдерское в+оздействие (то есть, злой умысел сотрудника) никто не отменял, но это уже другая задача.
Для создания ключевой пары и последующей работы с цифровой подписью мы использовали отдельный компьютер с заведомо «чистой» системой. Мы протестировали несколько систем, и остановились на российском Alt Linux. Для добавления поддержки шифрования и цифровой подписи по ГОСТ в ней оказалось достаточно установить пакет openssl-gost-engine и добавить в начало конфигурационного файла несколько строчек:
openssl_conf = openssl_default
[ openssl_default ]
engines = engine_section
[ engine_section ]
gost = gost_engine_section
[ gost_engine_section ]
engine_id = gost
default_algorithms = ALL
В других системах на основе GNU/Linux все тоже заработало, но усилий приложить потребовалось чуть больше. Нам удалось настроить софт для создания ключевой пары под Windows и MacOS, но в этих случаях гораздо острее встает проблема вредоносного ПО, нацеленного на кражу секретного ключа.
После создания ключевых пар мы обратились в аккредитованный УЦ и зарегистрировали их по установленной законом процедуре. Мы предъявили в УЦ открытые ключи и необходимые документы как для физических лиц, так и для организации. Этот этап оказался самым сложным: сотрудники УЦ не сразу поняли, что нам не нужна медвежья услуга по созданию ключевой пары, а достаточно просто подписать уже существующий открытый ключ.
Мы ссылались на ФЗ-63 «Об электронной подписи». В ст. 2 этого закона и во многих других статьях сказано, что сертификат электронной подписи, в том числе квалифицированной, выдает УЦ. Но нет ни слова о том, что УЦ выдает ключевую пару. Сотрудники сначала аргументировали отказ в выдаче сертификата доводами вроде «Ну мы всегда так делали». Но затем они, вероятно, все же почитали закон и посоветовались с юристами. В результате наше законное требование было выполнено, мы успешно избежали навязанной и небезопасной услуги.
С 1 января 2022 года вступят в силу изменения к ФЗ-63, но принципиально поменяется только выбор УЦ, в которых могут получить сертификат руководители предприятий, индивидуальные предприниматели и нотариусы. Список компаний, которые смогут выдать сертификат в таких случаях, будет ограничен УЦ ФНС и организаций, которые налоговая служба сочтет доверенными. Получать ключевую пару именно в них закон по-прежнему не требует.
Как хранить секретный ключ
Ключевую пару можно хранить в специализированном устройстве. Для этого обычно используют рутокен или е-токен. УЦ выдает секретные ключи именно на этих устройствах, но их вполне можно приобрести самостоятельно.
Внешне токен похож на обычную USB-флешку, но внутри содержит не накопитель, а криптопроцессор – устройство, хранящее секретные ключи и осуществляющее внутри себя все необходимые криптопреобразования. Поместить секретные ключи в эти устройства можно, но извлечь их оттуда уже не получится, что обеспечивает дополнительный уровень защиты.
Две главных опасности для секретного ключа – это вредоносное ПО и действия пользователя. Надеяться только на антивирусные программы недостаточно. Важно соблюдать правила:
— не оставлять токен подключенным к компьютеру дольше необходимого;
— не оставлять устройство без присмотра (его нужно всегда иметь при себе или хранить в сейфе);
— ни в коем случае не помещать секретный ключ в облачное хранилище и вообще не использовать для его хранения Интернет.
ЭП: ТЕХНИКА БЕЗОПАСНОСТИ
1. Изучите компьютерную грамотность сами и обучите ей сотрудников или родственников! Антивирусы – это хорошо, но лучшая защита пользователя от кибермошенничества – его собственная голова. Люди, которые могут хотя бы подойти к вашему компьютеру, должны знать, что такое фишинг, как отличить настоящий сайт от подделки и почему нельзя открывать все ссылки подряд.
2. Поддерживайте антивирусную защиту актуальной! Самый распространенный способ «украсть ЭП» (а точнее секретный ключ) на сегодня – зловредные программы, которыми преступники заражают компьютеры.
3. Не используйте токен на компьютере, в защищенности которого вы не уверены.
4. Ключевую пару можно и нужно создать самостоятельно.
5. Не пользуйтесь услугами неаккредитованных удостоверяющих центров, если это не ваш собственный УЦ.
6. Секретный ключ, в том числе содержащий его токен, нельзя передавать никому. Даже родным и близким. Сотрудникам, которые имеют право подписывать документы, сделайте их личные ключи.
7. Паспортные данные и тем более сканы документа должны храниться максимально надежно. Нельзя размещать их в Интернете, даже в якобы безопасных хранилищах. Если при получении какой-либо услуги вместо паспорта допустимо предъявить другой документ, так и поступите. Иначе есть риск обзавестись неучтенной цифровой подписью.
8. Установите пароли на токен и компьютер. Пароль должен иметь достаточную длину и содержать как буквы в разных регистрах, так и цифры со спецсимволами. Еще лучше использовать ключевую фразу (passphrase): это набор слов, разделенных цифрами или спецсимволами. Например, 1k*СпОc0бОв/=\zaS4itit`+token|_|. Его придется выучить наизусть. Записанный на бумажке, даже самый сложный пароль теряет смысл. Достаточно один раз забыть такой листок на столе – и в лучшем случае просто придется заказывать новую подпись.
9. Не храните незащищенный секретный ключ на жестком диске компьютера.
10. Если вы – руководитель, и у ваших подчиненных есть ЭП, дающая право подписывать документы от имени предприятия, при увольнении сотрудника отзывайте его подпись даже раньше, чем он получит расчет.
Качканарский городской округ
официальный сайт
Во исполнение Указа Президента Российской Федерации от 21 июля 2020 года № 474 «О национальных целях развития Российской Федерации на период до 2030 года» в части увеличения доли массовых социально значимых услуг, доступных в электронном виде, до 95%, поручения Президента Российской Федерации от 10.10.2020 № Пр-1648 об обеспечении к 01.01.2023 перевода вэлектронный формат МСЗУ, Минцифры России разработана информационная система «Платформа государственных сервисов» (далее — ПГС), которая обеспечивает прием и обработку заявлений по МСЗУ из федеральной государственной информационной системы «Единый портал государственных и муниципальных услуг (функций)». Правительством Свердловской области заключено соглашение с Минцифрой России по использованию ПГС на территории Свердловской области.
Для сотрудников администрации это значит следующее:
Заявления на получение услуги, направленные напрямую с портала госуслуг в ближайшем будущем будут приходить НЕ в СИР Администрации Качканарского городского округа, а в новую систему — ПГС 2.0
Переход услуг на новую платформу идет постепенно в соответствии с дорожной картой (прикладываю) 22.65 КБ 24/09/2021 — если ваши услуги уже запущены значит так оно и есть, необходимо убедиться в том, что вы можете зайти в ПГС 2.0 и если это не так немедленно обратиться в техподдержку.
Система доступна только с рабочих компьютеров администрации — https://pgs2.gosuslugi.ru/microws/ (есть в закладках)
Входить в ПГС 2.0 нужно через ЕСИА (используя вашу учетную запись на портале Госуслуг)
На данный момент в ПГС не умеет оповещать вас по почте о новых заданиях, придется проверять вручную хотя бы раз в неделю.
Хорошая новость — интерфейс ПГС гораздо дружелюбнее и очевиднее СИРа.
Подписание ответа осуществляется ЭП ОВ, непосредственно исполнителем.
Как защитить аккаунт на «Госуслугах»: прячем документы в киберсейф
Пользуетесь «Госуслугами»? Рассказываем, как надежно защитить свои документы.
14 августа 2019
Безопасность аккаунтов в социальных сетях и онлайн-сервисах — та еще головная боль. У многих по меньшей мере с десяток учеток. Нередко они нужны буквально на один раз — скажем, учетная запись в интернет-магазине, в котором вы вряд ли еще раз что-то купите.
Однако аккаунты в некоторых сервисах гораздо важнее, и к их безопасности стоит подходить серьезно, даже если вы пользуетесь ими не очень часто. Один из таких сервисов — «Госуслуги».
Зачем защищать аккаунт на «Госуслугах»
Если злоумышленник получит доступ к вашему аккаунту на «Госуслугах», он сможет проворачивать от вашего имени аферы не только на самом портале, но и за его пределами. Причем речь идет не о мелких пакостях, а об очень серьезных вещах. Например, на вас могут оформить кредит. Или распорядиться вашей собственностью на свое усмотрение.
Так, в октябре прошлого года у одного из пользователей «Госуслуг» украли квартиру. Он узнал об этом случайно — от отца, который заметил в платежных документах чужую фамилию. Как позже выяснилось, чтобы оформить на себя недвижимость, мошенники не только взломали аккаунт жертвы, но и прикрепили к нему квалифицированную электронную подпись.
Это непростая задачка: чтобы получить такую подпись, необходимо лично явиться в удостоверяющий центр. Тем не менее, мошенники каким-то образом с этим справились и успешно провернули сделку, что пострадавшему подтвердили в Росреестре и полиции.
На историю с квартирой отреагировали законодатели: теперь продавать жилье удаленно можно только после того, как вы лично сообщите в Росреестр, что действительно этого хотите.
Однако воспользоваться вашей учетной записью на «Госуслугах» могут и иначе. Например, портал позволяет при наличии все той же квалифицированной электронной подписи оформить юридическое лицо. Если на ваше имя зарегистрируют фирму, проводящую сомнительные операции, вы рискуете не только потерять деньги, но и заработать проблемы с законом.
Как защитить аккаунт на gosuslugi.ru
Портал «Госуслуги» предлагает несколько инструментов для защиты вашего аккаунта. Они позволяют, с одной стороны, усложнить мошенникам работу, а с другой — помогут вам вовремя узнать о попытке взлома.
1. Используйте уникальный пароль
«Госуслуги» требуют от вас придумать длинный и сложный пароль, чтобы его было труднее подобрать. Однако сервис никак не может проверить его уникальность. Если вы воспользуетесь тем же самым паролем, которым защитили еще десяток аккаунтов на других сервисах, то утечка данных с любого из них поставит ваши документы под угрозу.
Поэтому мы рекомендуем для каждого аккаунта — и в особенности для такого важного, как на «Госуслугах», — придумывать уникальный пароль. А чтобы вы не боялись его забыть, у нас есть для вас несколько лайфхаков по составлению паролей. И, конечно, всегда можно подстраховаться и сохранить его в менеджере паролей.
2. Включите оповещения о входе в ваш аккаунт Госуслуг
Если вы включите оповещения, то после каждого успешного входа вам придет письмо на электронную почту. Так вы узнаете, если кто-либо, кроме вас, получит доступ к аккаунту, и сможете своевременно поменять пароль. Чтобы включить уведомления о входе:
- Нажмите на свою аватарку и в открывшемся меню выберите Личный кабинет.
- На главной странице личного кабинета откройте вкладку Настройки.
- Нажмите Настройки безопасности.
- В блоке Оповещения о входе поставьте флажок Присылать уведомление на электронную почту.
3. Задайте контрольный вопрос
Контрольный вопрос — это дополнительная мера защиты от попыток посторонних сменить пароль от вашего аккаунта. Злоумышленники могут взломать почтовый ящик, к которому привязан ваш аккаунт, и даже узнать номера документов, которые сайт уточняет, чтобы убедиться, что вы — это вы.
Однако стоит помнить, что контрольный вопрос не защитит вас, если ответ на него легко угадать или найти в Интернете. Важно, чтобы его знали только вы, причем могли в любой момент его вспомнить. Для этого можно прибегнуть к хитрости — придумать свой собственный метод записи ответа.
Например, использовать знаки подчеркивания вместо гласных: Р_З_НЬ вместо Рязань — или написать слово задом наперед: авонавИ вместо Иванова. Больше идей, как запомнить ответ и сделать его практически неугадываемым, можно найти в нашем посте про надежные пароли.
Чтобы задать контрольный вопрос:
- Нажмите на свою аватарку и в открывшемся меню выберите Личный кабинет.
- На главной странице личного кабинета откройте вкладку Настройки.
- Нажмите Настройки безопасности.
- Выберите Задать контрольный вопрос.
- Введите вопрос, ответ на него и пароль.
- Нажмите Сохранить вопрос.
4. Включите двухэтапную проверку входа
После включения двухэтапной проверки, чтобы залогиниться в вашу учетную запись, злоумышленнику потребуется ввести не только пароль, но и одноразовый SMS-код, который придет на ваш телефон. Таким образом, вы будете в относительной безопасности, даже если ваш пароль украдут. Заодно вы вовремя узнаете о том, что пароль попал не в те руки, и сможете оперативно сменить его.
Чтобы включить двухэтапную проверку:
- Нажмите на свою аватарку и в открывшемся меню выберите Личный кабинет.
- На главной странице личного кабинета откройте вкладку Настройки.
- Нажмите Настройка безопасности.
- Выберите Включить двухэтапную проверку входа.
- Введите пароль от аккаунта и нажмите Включить.
5. Включите вход с помощью электронной подписи
Если вы пользуетесь квалифицированной электронной подписью, можно применять ее и для входа в аккаунт. Этот метод надежнее SMS-кодов: перехватить сообщение с одноразовым кодом проще, чем подделать подпись.
- Нажмите на свою аватарку и в открывшемся меню выберите Личный кабинет.
- На главной странице личного кабинета откройте вкладку Настройки.
- Нажмите Настройки безопасности.
- Выберите Включить вход с помощью электронной подписи.
- Введите пароль от аккаунта и нажмите Включить.
Если же электронной подписи у вас пока нет, безопаснее будет, наоборот, отказаться от этой опции: без ЭЦП она бесполезна, а включая ее, вы теряете возможность получать коды через SMS.
Храните документы в надежном месте
Как видите, настроек безопасности на «Госуслугах» не так много, и разобраться в них совсем несложно. Тем не менее, следуя нашим рекомендациям, вы существенно усложните жизнь злоумышленникам и защитите свои данные.
Как включить двухфакторную аутентификацию на Госуслугах
Единая система идентификации и аутентификации на портале Госуслуги предоставляет пользователю единую учетную запись для получения электронных государственных услуг, иными словами ЕСИА — это универсальный ключ пользователя ко всем электронным госуслугам. Так как пользователь вносит и хранит свои конфиденциальные данные на портале Госуслуг, то каждому гражданину, зарегистрированному на портале следует подходить к вопросу безопасности своей учетной записи с максимальной серьезностью. И отличным решением обезопасить свою учетную запись является двухэтапная авторизация или двухфакторная аутентификация на сайте Госуслуги.
Далее мы подробно разберём, как включить двухфакторную аутентификацию на Госуслугах!
Госуслуги двухэтапная авторизация — сделать вход через смс
Двухэтапная (или двухфакторная) проверка входа в Госуслугах — что это такое? Двухфакторная авторизация на Госуслугах позволяет обезопасить вашу учетную запись тем, что, как подсказывает капитан очевидность, вход в Госуслуги состоит из двух этапов:
- Ввод пароля от учетной записи;
- Ввод пароля из смс сообщения, которое передается на номер телефона пользователя.
Иными словами, если сделать двухэтапную аутентификацию на Госуслугах, при каждом входе в личный кабинет вам нужно будет ввести проверочный код, который вы получите в SMS сообщении на свой мобильный телефон. Таким образом, даже если злоумышленники завладеют паролем от учетной записи, войти в нее они не смогут, так как пароль из смс придет только вам. Таким образом вы настроите усиленную защиту своей учетной записи. Но как настроить вход на Госуслуги по смс?
Как включить двухфакторную аутентификацию на Госуслугах
Итак, поставить двухфакторную аутентификацию на Госуслугах можно следующим образом:
- Авторизуйтесь в своей учетной записи (введите логин и пароль), а затем нажмите на свою фамилию и инициалы в правом верхнем углу;
- В открывшемся меню выберите вкладку «Профиль»;
- Откроется страница настроек вашего личного кабинета Госуслуг. Если у вас возникли трудности и не удаётся зайти в раздел безопасности, тогда просто перейдите по ссылке — https://lk.gosuslugi.ru/settings/account;
- Теперь нужно открыть вкладку «Безопасность», а затем нажать на кнопку «Настроить» в подразделе вход с подтверждением по SMS;
- Теперь нам нужно ввести пароль от Госуслуг. Обратите внимание! На этом шаге портал подставит ваш номер телефона, который указан в личном кабинете Госуслуг. Если вы меняли номер телефона, то важно предварительно изменить его прежде, чем ввести двухфакторную аутентификацию.
После того, как мы ввели пароль от Госуслуг, нажимаем на кнопку «Включить»;
- Вот и все! Усиленная аутентификация на портале Госуслуг будет включена. Теперь при входе в свою учетную запись Госуслуг, вам нужно будет ввести пароль, а затем код из смс сообщения, которое придет на ваш номер телефона.
Вот таким нехитрым способом можно установить двухфакторную авторизацию на Госуслугах. Главное помнить, что вам нужно всегда иметь доступ к телефону, а телефон должен всегда быть «в сети», иначе войти в личный кабинет на портале Госуслуги не получится.
Также, стоит отметить, что у пользователей есть возможность подключить вход в Госуслуги через смс подтверждение. Теперь вы в курсе, как настроить двухфакторную аутентификацию на Госуслугах в 2021 году!
Кстати, в Вконтакте также есть возможность активировать двухфакторную аутентификацию! В этой статье рассказано, как включить двухфакторную аутентификацию в ВК!
Установить двухфакторную аутентификацию в Госуслугах с телефона в приложении
Также многие подписчики спрашивают, можно ли установить двухфакторную аутентификацию с телефона в мобильном приложении Госуслуг. Обратите внимание, что на сегодняшний день в функционале мобильного приложения Госуслуг нет возможность включить двухфакторную авторизацию. Так что для этого нужно зайти в настройки своей учетной записи на компьютере.
Комментарии к “ Как включить двухфакторную аутентификацию на Госуслугах ”
Добрый день! Уже не первый день не можем войти на сайт Госуслуги, написал в техподдержку, сказали, что
Ваша учетная запись в Единой системе идентификации и аутентификации инфраструктуры электронного правительства переведена в статус неподтвержденной.
Данная операция была совершена в связи с тем, что владелец другой учетной записи, зарегистрированный на такой же СНИЛС, подтвердил свою личность.
Если вы не знаете, кто мог зарегистрировать учетную запись и подтвердить личность с вашими данным, возможно, это сделал злоумышленник.
Пожалуйста, свяжитесь со службой поддержки Единой системы идентификации и аутентификации.
Что нужно сделать, чтобы получить учетную запись?
Добрый день! Рекомендую обратиться по телефону 8-800-100-70-10, либо в любой из Центров обслуживания пользователей.
Доброе время суток.
Я не понял кто зашёл в мои гос.услуги? Напишите что мне нужно сделать.
Добрый день! Я по неосторожности удалила свою учетную запись на госуслугах. Как мне её восстановить?
Уважаемые программисты! Ваш продукт госуслуги явно «не дружественный» для пользователя. 1. От меня требуют подтверждения личности, хотя я проделал это в Пенсионном фонде по ссылке на вашем сайте. 2. Я не могу найти на сайте анкету для приглашения в РФ моей жены-иностранки. 3. На сайте госуслуг плохо с обратной связью, я не могу сразу же попросить помощи, если что-то идет не так.
Почему нет ответа на мои вопросы?
Почему я заполнил он-лайн форму для оформления приглашения для моей жены из другой страны. но МВД упорно возвращает мне эту форму( уже третий раз), находя там какие-то нестыковки, которые не были обозначены исходно при заполнении. Как это может быть? — чтобы при правильном онлайн заполнении потом требоваали дополнительных данных? Это онлайн или не онлайн?
Как исправить буквы в фамилии и имени с простых на заглавные при регистрации на портале госуслуг.Спасибо!
Здравствуйте, Сергей Александрович!
Ваша учетная запись в Единой системе идентификации и аутентификации инфраструктуры электронного правительства переведена в статус неподтвержденной.
Данная операция была совершена в связи с тем, что владелец другой учетной записи, зарегистрированный на такой же СНИЛС, подтвердил свою личность.
Если вы не знаете, кто мог зарегистрировать учетную запись и подтвердить личность с вашими данным, возможно, это сделал злоумышленник.
Пожалуйста, свяжитесь со службой поддержки Единой системы идентификации и аутентификации
Пришло сообщение «Ваша учетная запись в Единой системе идентификации и аутентификации инфраструктуры электронного правительства удалена.
Если вы не инициировали процесс удаления своей учетной записи, возможно, ваша учетная запись была взломана.
Пожалуйста, свяжитесь со службой поддержки Единой системы идентификации и аутентификации»
Я не удаляла учётку,что делать куда обращятся?
Здравствуйте, с этого адреса повторно был сделан вход в мой личный кабинет, Я повторно сменила пароль, было включена двухступенчатый вход в систему. Увидела, что у меня было включено вход с помощью электронной подписи — отключила, что можно ещё сделать, чтобы не зашли повторно? Скажите, все действия отображаются только во вкладке «Уведомления» или где-то ещё?
10.11.2018 19:21:43
Вход в систему Подсистема «Внешнее взаимодействие» АИС ПФР-2
82.102.21.227 устройство Windows, браузер IE
10.11.2018 19:21:15
Выход из системы Подсистема «Внешнее взаимодействие» АИС ПФР-2
82.102.16.138 устройство Windows, браузер IE
Как отключить 2 этапную аутентификацию с смс, чтобы заходить только по паролю?
Евгения, перейдите по ссылке https://esia.gosuslugi.ru/profile/user/settings
Авторизуйтесь, после чего нажмите «Выключить двухэтапную проверку» и введите пароль.
добрый день. На почту пришло сообщение, что я заходила на портал Гос услуг. 13.08.2019 в 09:30 вы осуществили вход в информационную систему с помощью Единой системы идентификации и аутентификации инфраструктуры электронного правительства. Я в это время была в Центре занятости и не заходила. Могут сотрудники ЦЗН заходить в мой личный кабинет Госуслуг ?
Добрый вечер! Пришло сообщение — 27.08.2019 в 17:13 вы осуществили вход в информационную систему с помощью Единой системы идентификации и аутентификации инфраструктуры электронного правительства.
Если вы не входили в систему, возможно, кто-то попытался это сделать от вашего имени. Пожалуйста, свяжитесь со службой поддержки Единой системы идентификации и аутентификации. Я не заходила на портал Гос.услуг. Что нужно сделать, по какому номеру позвонить?
Доброе время суток. Я что-то не пойму,27.08.2019 г я не входил в гос.услугу. А вот 28.08.2019 г. я отправил в городскую мэрию эл. письмо утром. Напишите в чём дело?
Я вам направила текст, который скопировала с текста, который пришел на эл.почту. А о чем Вы пишите вообще не понятно.
Единая Система Идентификации и Аутентификации ,это уже отсталые технологии .Сейчас чтоб получит Государственные Услугами ,в правовых развитых странах ,пользуются онлайн сервизами .например онлайн сервером Тук Тук , или Сервис Там Там ,или сервером WhatsApp,или сервером Microsoft Teams или Видео Звонки Skype.Российская Федерация когда не будь будет шагать в ногу с техническим прогрессом .общение государственных чиновников с гражданами ,защищено 3 шифрованиями ,или у нас в России .Государственные Мужи и Женщины ,разучились общаться с гражданами ?
Добрый день! Не не могу войти на сайт Госуслуги, на почту пришло письмо
Ваша учетная запись в Единой системе идентификации и аутентификации инфраструктуры электронного правительства переведена в статус неподтвержденной.
Данная операция была совершена в связи с тем, что владелец другой учетной записи, зарегистрированный на такой же СНИЛС, подтвердил свою личность.
Обратиться по телефону 8-800-100-70-10 (оператор ответит через 30 минут) , либо в любой из Центров обслуживания пользователей (самоизоляция) не предлагать. Есть еще варианты?)).
Как отключить двухфакторную аутентификацию при входе в личный кабинет гос услуг? При условии что номер, на которые приходят смс с проверочным кодом для входа в личный кабинет утерян и нет возможности восстановления.
Как отключить двухфакторную аутентификацию для входа в личный кабинет, при условии утери номера телефона , на который приходит код подтверждения для входа в личный кабинет, утерян и нет возможности его восстановления?
Здравствуйте я потеряла сим карту и у меня стоит двух этапная аунтефикацыя, и я не могу зайти в госуслуги. Что можно сделать, так как я не в России, не могу выехать!