Австралийский правительственный портал призывает жителей отключать двухфакторную аутентификацию
Власти Австралии не перестают призывать своих граждан к отключению двухфакторной аутентификации на главном портале страны myGov. (Данный портал предназначен для быстрого доступа к большому перечню государственных сервисов: государственные платежи, услуги для пенсионеров, безработных, семей, медицинские услуги, страхование, поддержка детей, налоговые услуги и прочее. Цифровое государство.)
Двухфакторная аутентификация на сайте реализована с помощью отправки одноразовых паролей посредством текстовых сообщений, которые дополняют обычный пароль пользователя.
Ряд пользователей в твиттере отметили, что помимо снижения безопасности в целом, данные меры могут стать еще более опасными, когда жители страны выезжают за границу:
.@myGovau People go into higher risk secnarios (open hotspots, internet cafes) and you suggest downgrading security? How silly /cc @troyhunt
— Tatham Oddie (@tathamoddie) 22 декабря 2015
Смысл предлагаемой инициативы понятен: большинство туристов меняют свои австралийские сим-карты на местные, когда едут в отпуск. После выполнения подобных действий, они не смогут получать сообщения от myGov до тех пор, пока не переставят свою австралийскую карту назад в устройство, что доставляет определенные хлопоты.
Упрощая жизнь своим путешественникам, предложение правительства значительно пренебрегает безопасностью, предлагаемой двухфакторной аутентификацией при работес сайтом в интернете. Этот слой безопасности еще более важен в том случае, когда вы заходите на сайт не из безопасной домашней или рабочей сети. Учитывая все минусы подобного шага, настойчивые призывы государства выглядят довольно резко и наталкивают людей на различного рода размышления.
На волне поступившей от общественности критики, myGov оставили комментарий в твиттере, в котором говорится что «людям, решившим отключить двухфакторную аутентификацию все еще надо будет вводить ответ на секретный вопрос для входа»:
If you turn off security codes, you’ll still need to securely sign in with secret questions & answers. More: https://t.co/ON1BrUQ2pY
— myGov (@myGovau) 22 декабря 2015
На странице, по предложенной в твиттере ссылке, отсутствует какая-либо информация о секретных вопросах и ответах на них.
И даже учитывая такую возможность, её нельзя считать полноценной заменой добротной двухфакторной аутентификации.