Классика жанра — у сотрудников Мурманскводоканала требуют логин и пароль от Госуслуг, чтобы записать их на выборы. Автор поста на фейсбуке возмущается самим фактом вмешательства в выборы со стороны какого-то деятеля из КПРФ, и он, конечно же, прав в своём негодовании:
https://www.facebook.com/permalink.php?story_fbid=876713489916293&id=100027329493696
Меня, однако, огорчает совсем иное. Вся наша система электронной безопасности страдает от советской привычки оставлять ключи под ковриком перед дверью. Надёжности замков государство уделяет огромное внимание, глючный КриптоПро нашпигован самыми современными шифрами, однако при этом просьбы сдать кому-нибудь логин и пароль звучат регулярно, причём не от классических жуликов, а от обычных чиновников, бухгалтеров и сисадминов.
Лично я при оформлении сделок в банках первой десятки несколько раз сталкивался с требованием продиктовать клерку код из телефона или сообщить ему свои логин и пароль для входа в систему. Однажды всё было прям по классике: позвонили и попросили код из смс. Мне пришлось прокатиться во Всеволожск, чтобы убедиться, что это не ошибка — сотруднице банка действительно был нужен код из смс, и она действительно рассчитывала, что я продиктую его по телефону.
Ещё пример. Если у вас проблемы с настройкой электронной подписи, вы можете позвонить на службу поддержки удостоверяющего центра, чтобы тамошние сотрудники подключились к вашему компьютеру через интернет и сделали всё удалённо. При этом систему удалённого подключения никто и никак не проверяет и не сертифицирует. Хакер тоже может удалённо подключиться к пользователю, чтобы подписывать его подписью важные документы.
Саму электронную подпись выдают с самой минимальной проверкой — достаточно на две секунды показать паспорт и на одну секунду приспустить маску с лица. Если вы «одолжили» паспорт директора своей фирмы, и если вы хоть отдалённого на него похожи, подпись вам без проблем выдадут.
Собственно, получение электронной подписи снижает уровень защиты пользователя, а не получает его. Когда ваша подпись выпущена, вам надо тщательно следить, чтобы она не попала в неправильные руки, так как если кто-то при помощи этой подписи продаст, например, вашу квартиру, отмотать сделку назад будет крайне тяжело. Отказаться же от получения подписи нельзя, так как некоторые формы отчётности, — абсолютно излишние, кстати, — государство требует сдавать только при помощи электронной подписи.
Все эти проблемы можно было бы решить, просто включив ненадолго мозг. К примеру, выдавая пользователям примитивное устройство с хранилищем паролей, вообще не подключённое к компьютеру. Сайт банка пишет: «введите пароль номер 9142, чтобы оправить 20 тысяч рублей гражданину Пупкину». Вы вбиваете в устройство 9142, и устройство выдаёт вам одноразовый пароль для банка. Дёшево и надёжно, а главное — понятно конечному пользователю. Благодаря простоте, взломать такое устройство будет гораздо сложнее, чем классический USB-ключ, который директора и бухгалтеры обычно просто оставляют висеть в рабочих компьютерах.
Или, допустим, проверка нового пользователя. Загуглите «на меня выпустили ЭЦП без моего ведома» — полно таких историй. Жулики чувствуют себя вольготно, так как при выпуске ЭЦП от них требуют разную бюрократическую чушь — скан паспорта, номер СНИЛС, ещё какие-то стандартные бумажки. Понятно, что жуликам достать эти бумажки несложно. А вот элементарной проверки — позвонить по номеру телефона фирмы, указанному в Госуслугах или на сайте Налоговой, никто не делает. Никто также не снимает видео, на котором владелец подписи говорит в камеру: «Я, Игнат Могила, прошу выпустить электронную подпись в таком-то центре».
В принципе, не всё так плохо. Власти видят проблему и пытаюся её решить. Вводят новые правила, принимают новые законы. Потихоньку конопатят самые зияющие дыры. К сожалению, подход в любом случае остаётся чисто формальным: вместо того, чтобы продумать возможные действия мошенников и предусмотреть защиту от них, чиновники требуют дополнительные бессмысленные бумажки. Как вы понимаете, уровень защиты это не повышает.