Если внезапно пришла СМС‑ка «код для входа на госуслуги 314159» — какие обычно ваши чувства и действия? Если кратко — пароль, похоже, надо поменять — код приходит только после того как ввели правильный пароль, если не ошибаюсь.
Но эта маленькая заметка о другом — в списке активностей такие попытки не отображаются. Не думаю что это прочтут специалисты из Госуслуг (хотя, вдруг?) — но поскольку кейс с «двухфакторной» авторизацией популярный, хотелось бы обратить внимание на этот момент — на случай «вдруг кому пригодится».
Действия по порядку
Пробуем логиниться на госуслуги (а можете потестить и какой‑нибудь другой сервис с двухэтапной авторизацией — и рассказать как там), при условии что настроен вход по логину‑паролю и коду из СМС.
Вводим логин, вводим пароль. Как и многие пользователи я плохо помню свой пароль, поэтому пару раз ввожу неправильно. На третий раз удаётся и я вижу форму «введите код из СМС». Сообщение приходит на телефон, набираю нужные цифры — и ура, я залогинился.
Теперь щёлкнем «Профиль» в верхнем‑правом углу, там выберем «Безопасность» и «Действия в системе». На всякий случай — в картинках, чтобы не путать общественность:-)
Так мы добираемся до списка попыток входа в систему, выгля��ит как-то так:
Тут в соответствии с вышеупомянутыми попытками воспоминания пароля как раз и написано что два раза была "Ошибка" - пароль неправильный.
А что если неправильный СМС-код?
Разлогинившись или попробовав зайти из другого браузера, можно повторить попытку - но после правильного пароля ввести неправильный код.
Или не вводить его вообще (пока не истечет таймер).
Что появится в логе активности, который мы рассмотрели выше?
А ничего.
Поэтому картинку не прилагаю, она идентична предыдущей.
Подытожим логику
Если вход удался — запись в лог активностей создаётся
Если вход не удался по причине неправильного пароля — запись тоже создаётся (с пометкой «Ошибка»)
А вот если кто‑то ввёл правильный пароль и сидел тестировал разные коды — об этом записи не будет.
Хорошо ли это? По-моему нет. Конечно, пользователь в принципе будет оповещён СМС-кой, но если он её второпях удалил или она вообще не дошла...
Может нам был бы интересен IP‑шник с которого эти злокозненные попытки происходили (в случае если пароль не подобрали а воспользовались забытым где‑то ноутбуком с открытой страницей — друзья или родственники) — но мы его не узнаем.
В общем, хотя я не претендую на какие‑то познания в области информационной безопасности, кажется что это косяк.
Заключение
Попытался найти на сайте какую-нибудь форму для отправки запроса на улучшение функционала, но не нашёл. Советуют обращаться к боту по имени Макс. Он неплохо подсказывает где какой раздел (в интерфейсе без него реально разобраться сложно) - но на остальные вопросы отвечает неконсистентно.
Ещё есть раздел «подать жалобу» для рассмотрения Органами Власти. Пока всё же решил действовать через Хабр :-)
Комментарии (23)
inkelyad
13.11.2025 11:42Вот тут форма обращения от Минцифры. В категориях есть и 'по поводу сайта Госуслуг'.
Они, конечно, более-менее отписками отвечают, но письмо, похоже, все-таки в Госуслуги передают.
RodionGork Автор
13.11.2025 11:42UPD: написал в форму (не могу дописать это в предыдущий комментарий), подождём.
Форма прямо сказать как будто подглюкивает немножко, и не с первой попытки все удалось - но номер обращения есть и обработка видимо будет поступать уведомлениями на портале.
diakin
13.11.2025 11:42А как хакер может ввести неправильный код, если он приходит на ваш телефон? Предполагается же что телефон находится у законного владельца? А если нет, и хакер вошел в телефон, то там уже без вариантов он получит доступ к госуслугам.
inkelyad
13.11.2025 11:42А как хакер может ввести неправильный код, если он приходит на ваш телефон?
Просто случайный вводит. Маленькая вероятность угадать есть.
И это повод беспокоится. Потому что означает, что пароль он уже знает.inkelyad
13.11.2025 11:42И это повод беспокоится. Потому что означает, что пароль он уже знает.
Вдогонку - если этот код не вводили, а просто закрыли страницу - это тоже повод беспокоится. Так что в логах неплохо бы отображать и случаи, когда правильный пароль - был, а всего остального не последовало.
RodionGork Автор
13.11.2025 11:42там 6-значный код, если (как я подозреваю) это автоматическая перебиралка паролей и кодов, то сделав жалкий миллион попыток в течение м.б. часа (на разные аккаунты с разных IP) что-нибудь выловить да удастся. отдельный вопрос откуда берутся "попадания" в пароли (не исключаю что в моем случае он был недостаточно хитроумным)
т.е. смысл в том что атакуют не конкретно меня а ищут произвольный аккаунт в который удастся зайти
Rolltonmister
13.11.2025 11:42Госуслуги это всего-лишь ресурс, а двухфакторную авторизацию Вы проходите в системе ЕСИА. Скорее всего в системе ЕСИА не предусмотрена процедура записи в лог удачных, неудачных входов по двухфакторке(по паролю в СМС сообщениях). И скорее всего в моделе угроз и нарушителей не предусмотрен вариант описанный вами. Ваше исследование или проигнорируют (как меня на просьбу по исправлению ошибок в методических реккомендаций к ЕСИА), или сподвигнет к изменению модели угроз и нарушителей, а это в свою очередь приведёт к повторной сертификации. Кто-то может получить атата, но в специализированных организациях периодически получают атата поэтому все привыкли.
Хотя окно ввода пароля двухфактороной аутентификации отображается на ресурсе, и ввод некорректного пароля двухфактороной аутентификации отображается.
Для повышения шанса реакции жаловаться надо не в Минцифры, а во ФСТЭК, чтоб они сертификат отозвали (конечно не отзовут, иначе вся страна останется без госуслуг).
Нужны дополнительные исследования аутентификации с QR кодом и с помощью квалифицированной электронной подписью(КЭП).RodionGork Автор
13.11.2025 11:42спасибо за подробности
не предусмотрена процедура записи в лог удачных, неудачных входов по двухфакторке(по паролю в СМС сообщениях).
удачные-то как видим пишутся :)
жаловаться надо не в Минцифры, а во ФСТЭК
звучит угрожающе, но спасибо за информацию. моя-то цель не нажаловаться - но если бы была возможность бедолагам-разработчикам написать про забытый кейс наверное было бы хорошо :) не думаю что они это со зла... хотя квалификация "специалистов ИБ" в разных компаниях меня конечно в последние годы слегка озадачивает.
inkelyad
13.11.2025 11:42отдельный вопрос откуда берутся "попадания" в пароли (не исключаю что в моем случае он был недостаточно хитроумным)
Сидят зловреды (очень тихо, не вызывая лишних подозрения) на компах пользователей, следят за происходящими и сливают пароли из буфера обмена и форм браузера, когда на госуслуги вход происходит. 2 фактор и нужен, чтобы от такого защищать.
RodionGork Автор
13.11.2025 11:42да, это вероятный сценарий, хотя как я упомянул в моём случае у меня больше подозрение на то что я легкомысленно достаточно очевидно пароль скомбинировал считая что 2FA в любом случае спасёт (вот ВТБ вообще вместо паролей на 4-значные коды перешёл, странные люди)
inkelyad
13.11.2025 11:42вот ВТБ вообще вместо паролей на 4-значные коды перешёл, странные люди)
Обычно там аргументация, что оно только на твоих устройствах действует, где уже логинился. И на других устройствах новую сессию открыть не позволит. Логика в этом есть... слегка. Потому что остается вопрос, как именно определяется, что устройство уже знакомое.
RodionGork Автор
13.11.2025 11:42не-не, там не пин связанный с данными, сохранёнными в браузере текущем, как у других, а реально 4 цифры вместо пароля. вот сейчас в инкогнито логинюсь из браузера который никогда не использую для этих целей, через прокси в чужой стране, с ноута которым тоже не пользуюсь для заходов в банки - спрашивает сначала 6-значный код из СМС, потом 4-значный который когда-то установлен вместо пароля (на другом компьютере, браузере и т.п.)
писал в поддержку, ну сказали мол не писай, всё будет зашибись, у нас спецы круче чем везде (видимо поэтому все остальные лохопеты до такого еще не додумались :)
aik
13.11.2025 11:42Сегодня как раз юзер подходил с вопросом "пришел код от госуслуг, хотя сам не входил". По мне так тут надо не айпиадреса смотреть, а пароль менять. Так что то, что такое в логе не отображается, не страшно. А если пользователь удалил смс, то он сам себе буратино.
Heggi
13.11.2025 11:42Смс может не дойти по разным причинам и пользователь никогда не узнает о попытке
SiberianMouse
13.11.2025 11:42Я туда заходил один или два раза всего и если даже кто то и заходил (не пытался, а заходил), я этого и не узнаю, потому что не замечу это сообщение. Короче безвыходная ситуация. Ну разве что, просто пароль нормальный ставить, не лениться.
RodionGork Автор
13.11.2025 11:42я на это смотрю больше с позиции IT-шника - по мне сделать оповещение в 2 случаях и не сделать в 3-м это косяк :)
inkelyad
13.11.2025 11:42"пришел код от госуслуг, хотя сам не входил"
Там еще сценарий восстановления пароля. Который через пароль не проходит. Надо на текст смотреть и предложенные меры дополнительной безопасности использовать.
RodionGork Автор
13.11.2025 11:42да, есть, но там другой текст ("подтверждение смены пароля...")
ну и кстати попытки смены пароля тоже не отображаются по-моему :)
zanzack
13.11.2025 11:42Здесь хотя бы пароль спрашивают, а в Сбербанке, если ставишь с нуля мобильное приложение и вводишь свой телефон, то сразу переходят ко вводу СМС и если корректная, то вход в Приложение осуществлён - пароль не требуется!
Я неоднократно уже писал им в поддержку help@sberbank.ru и на +7 495 500-55-50 звонил, чтобы пожаловаться, какая-то двухфакторная аутентификация у вас неправильная, но воз и ныне там. Плюс пароль в Сбербанке регистронезависимый, то есть заглавные/прописные буквы не различаются.
Уважаемый Герман Оскарович! Где двухфакторная аутентификация в мобильном приложении, где регистрозависимые пароли?RodionGork Автор
13.11.2025 11:42хех, в ВТБ пароль (пока это были не 4 цифры) был не то что регистронезависимый, а вообще только из цифр (хоть и больше четырех)
greenlittlefrog
Хакер в столовой.jpg