Госуслуги требуют скачать мессенджер MAX? Есть альтернатива Сегодня утром пользователи государственного портала начали сообщать о невозможности авторизоваться в Госуслугах без установки госмессенджера MAX (второй скриншот). Почему это произошло? Полагаем, что совпало два обстоятельства. Во-первых, огромное количество взломов аккаунтов в Госуслугах произошло по причине архитектурной уязвимости двухфакторной авторизации при помощи SMS-сообщения. Это максимально небезопасный метод, поскольку сообщение может быть перехвачено множеством способов, да и убеждать пользователей продиктовать или написать код злоумышленники давно научились. Аналогичным образом постоянно взламывают аккаунты в Telegram (если не подключен облачный пароль). Во-вторых, необходимость повышать количество пользователей MAX совпала с технической возможностью использовать его в качестве генератора паролей (вместо той самой SMS) для Госуслуг. Значит ли это, что так Госуслуги станут безопаснее и нужно использовать именно этот метод? К сожалению - нет. Теперь лишь злоумышленники перенесут свои усилия со взлома аккаунтов в Госуслугах на взломы аккаунтов в госмессенджере MAX. Защищен ли он лучше чем Госуслуги? Авторизация в пользователя в нём происходит ровно также – по SMS и паролю. Что же делать? Разумно настроить для защиты Госуслуг вместо МАХ проверенные средства — генераторы паролей (TOTP) 2FAS, Google Authenticator, Apple Пароли и другие (пример их работы на первом скриншоте). Кстати, сделать это можно без установки МАХ, если открыть сайт Госуслуг с настольного устройства. Ранее мы писали подробнее о работе таких программ. ❗️И, конечно же, ни при каких обстоятельствах никому не говорите и не пересылайте коды авторизации ни из генератора паролей, ни из MAX, ни из SMS!