Насколько безопасно заводить аккаунт на госуслугах?

Госуслуги - они как банковский счет или номер телефона, казалось-бы нигде в законах не прописано что они у тебя должны быть, но рано или позно тебя поставят в ситуацияю что или заводи или езжай в тайгу медведей доить.

Вот вот! При этом двухфакторку с sms кодом ЗАСТАВИЛИ подключить всех.

По большому счету я без надобности стараюсь туда не ходить
Большой дядя и так достаточно много знает про меня,

У нас сейчас в электронный дневник (например посмотреть что задали на дом школьнику) можго зайти только через госуслуги.

В этом году 2 раза приходили СМС для восстановления пароля. В предыдущие 10 лет ни разу. Пока не взломали. Звонки из украинских колл-центров использовали информацию обо мне 10-20 летней давности.

Если не пользуешься загранпаспортом, водительским удостоверением, не имеешь недвижимости, не получаешь налоговых вычетов, не получаешь субсидий, не имеешь несовершеннолетних детей, не имеешь брони айтишника, не занимаешься активизмом — тогда смысла в учётке не вижу.

Вот вот! При этом двухфакторку с sms кодом ЗАСТАВИЛИ подключить всех.

OTP же можно.

Ну а чем оно лучше? Логин и пароль можно запомнить, он у тебя в голове, боишся забыть - запиши и спрячь (хотя это тоже точка отказа, лучше в голове все держать).
SMS - требует наличие телефоны и sim карты (которая как-бы не твоя, а операторская и он может ее отрубить), OTP - требует наличие приложения, в котором ты эти коды генерируешь. В любом случае если ты окажешся без телефона (не важно для sms или otp) в аккаунт ты уже не войдешь.

Ну а чем оно лучше?

Не требует телефонного номера. OTP можно настроить и на ПК. Например, KeepassXC.

Там есть google authenticator. https://journal.tinkoff.ru/news/gosuslugi-2fa/

Этот google authenticator можно отключить через процедуру восстановления пароля по SMS? Если верить вот этому FAQ: https://www.gosuslugi.ru/help/faq/login/7 – все «факторы» обнуляются, если злоумышленник получил SIM-карту.

Во времена ковида можно было просто открыть ICQ и у первого попавшегося контакта попросить код. Никто их не проверяет тщательно.

Мне не код нужен был, а подтверждение для работодателя. Да и в любом случае это игры в прятки - у кого-то не проверяли, у кого-то и проверяли.

Зачем же сразу быть биометрической скотиной.

Незачем конечно, но к сожалению, тренд такой, что в течение максимум нескольких лет думаю, что всех загонят, кроме совсем уже маргиналов.

Если верить вот этому FAQ: https://www.gosuslugi.ru/help/faq/login/7 – все «факторы» обнуляются, если злоумышленник получил SIM-карту.

Вообще дикое дело, но если есть номер телефона, известен снилс и номер паспорта, то всегда можно восстановить пароль для госуслуг. :(((((

Это удобно конечно для тех, кто забывает пароли, но ё-моё, как это сочетается с тем,что за неактивность опсосам разрешено отбирать номера через полгода или даже ранее?

Причем для активации полноценного аккаунта в первый раз пришлось в МФЦ сходить. Сделали бы так, что забыл пароль - восстановить по телефону или вообще нельзя или только базовый какой-нибудь аккаунт без возможности набрать кредиты или продать что-то.

4.2 Сегодня был на госуслугах. Нет там такой кнопки.

но если есть номер телефона, известен снилс и номер паспорта, то всегда можно восстановить пароль для госуслуг

Даже если включено подтверждение входа через TOTP, а не через SMS?

Значит, у тебя не расширенная верификация.

Я проголосовал нормально.

Как это не расширенная? Я же приносил скан жопы в МФЦ.

Значит, подумали, что не своей принёс. Придётся переприносить.

Надо было в гос. деп. нести.

К сожалению, там нет 2FA

как нет 2FA если я через totp захожу?

двухфакторку с sms кодом ЗАСТАВИЛИ подключить всех

«двухфакторку ЗАСТАВИЛИ подключить всех» - вот так правильно

а с смс кодом - это был личный выбор)

Я сам не проверял, но вроде не все. Если забыл контрольный вопрос, то лично надо ходить.

А оно безальтернативно было, просто при входе в какой-то момент высветилось: «привяжи телефон или вали на***»

Я тоже, и? Суть 2FA не в том, чтобы пользователь задолбался с двумя паролями вместо одного, а в том, чтобы никакого одного фактора не было достаточно для получения доступа.

В настройках 3 варианта: смс, тотп, биометрия. Можно поменять. Я когда озадачился даже спрашивал их поддержку и понял так, что самое надёжное - тотп + контрольный вопрос

ну то что они позволяют сбросить тотп по смс - это да, идиотизм, но вроде контрольный вопрос должен решить эту проблему.

То есть второй фактор – это еще один пароль… Интересно, постараюсь погуглить как это работает на практике.

Даже если включено подтверждение входа через TOTP, а не через SMS?

Не проверял

Надо, заводите. Не надо, не заводите. У вас вопрос сферичный.

Со всеми органами, представленными там можно взаимодействовать без этой прослойки, порой даже эффективнее чем с ней.

Смотря где. В нерезиновске таки нужна.

Мероприятие далеко не безопасное.

Зависит от... на неподтвержденной учетке много чего ненакуролесишь.

Да и бессмысленное к тому же

Кому что трэба. Кажется уже писал здесь, например в DC в МФЦ судя по косвенным и не очень косвенным признакам дофига чего без неё не делают.

Но надо контролировать, какие организации пользуются твоими данными

Что значит «пользуются»?

и удалять периодически лишние «носы».

И что значит «периодически»?

Насколько безопасно заводить паспорт гражданина РФ?

В целом не самое плохое сравнение.

Зависит от регистранта. Но в целом пример не самый плохой.

В настройках да, но я говорю про момент когда они насильно всех заставляли добавить второй фактор

разовые емейл/тлф

Что значит разовые?

Думаю, нет. Лучше сходи в мфц

И вот там заведут учетку на госуслугах. Я не говорю, что во всех МФЦ необъятной так поступают, но минимум в двух МФЦ ДС поступают именно так.

Не регистрируй сервисы на неактивные номера.

Человек, который в наше нелегкое время не имеет аккаунтов в соцсетях и на госуслугах (как правильно указали выше, он есть, просто не оформлен доступ к нему), привлекает куда больше ненужного внимания, нежели.

Глупость. Ну почти глупость. Сейчас это действительно стало модным в анкетах «укажите ваши соц. сети», недавно с таким столкнулся. Да я реально могу только предположить сильно пальцем в небо названия акков, но не более того. Что я могу с собой поделать если оно мне нах не нужно в его прямом назначении? Мне одних мессенджеров уже настолько заглаза...

По мне так жить в России, вести активную экономическую жизнь и не иметь аккаунта на госулугах, это крайне сложно.

Вы наверное хотели сказать почти невозможно.

Пока что возможно. Даже электронную медкнижку завести удалось. Но слышал, что гайки закручивают

К сожалению, там нет 2FA – если твою симку в салоне связи переоформили на кого-то другого, то этот другой без труда сбросит пароль.

Мне тоже подобная хня с восстановлением нравиться.

но рано или позно тебя поставят в ситуацияю что или заводи или езжай в тайгу медведей доить.

И этого «рано или поздно» всё больше и больше. Тоже самое и с сотовым, по умолчанию считается, что он есть у каждого человека и ЧСХ обязательно с собой.

Насколько безопасно заводить аккаунт на госуслугах?

Байки из склепа

Ну а чем оно лучше? Логин и пароль можно запомнить, он у тебя в голове

Ничесе у вас голова. Завидую.

К сожалению, там нет 2FA – если твою симку в салоне связи переоформили на кого-то другого, то этот другой без труда сбросит пароль.

Для восстановления по SMS нужно знать еще ответ на контрольный вопрос, без него не выйдет.

Как это не расширенная? Я же приносил скан жопы в МФЦ.

Вы не в то окошко подали. В МФЦ же бардак с этими окошками, заимеешся нужное искать.

Не регистрируй сервисы на неактивные номера.

Так он может вчера был активный, а завтра стал пассивный.

Да, выше уже объяснили про контрольный вопрос, это действительно тянет на 2FA.

Но давайте признаем, что сделано все максимально криво и неинтуитивно. Оказывается, «пароль + SMS/TOTP» — это еще не двухфакторка, вот «пароль + SMS/TOTP + настоящий пароль» — это оно. И у большинства пользователей как раз первый вариант.

Пока что возможно. Даже электронную медкнижку завести удалось.

Возможно до вас ещё не настолько «цифравизация» докатилась.

Но слышал, что гайки закручивают

Ну отож. На ДС откатали, теперь по городам по весям понеслась «трансляция опыта». Оно реально удобно! Но вот исполнение в некоторых частях мягко говоря прихрамывает, ИБ неиллюзорно идет по ЖПП.

вот «пароль + SMS/TOTP + настоящий пароль» — это оно

Как оно включается? Что-то я сходу не понял, где оно в настройках.