Не нужен вам Мах для входа, настройте себе любое TOPT приложение. Вообще любое, оно кстати без интернета работать нормально будет.
Можно мультифактор, можно Google Authenticator, Яндекс Ключ буквально любое приложение на ваш выбор (погуглить TOPT приложения если не лень, у меня уже от для Гугла было - поэтому использую его).
Главное сделайте бэкап ключей.
Вот тут написано как настроить в пункте TOPT (дел на 2 минуты)
Все что сделано одним человеком, может быть сломано другим человеком. Сам не с России, СНГ, но с интересом наблюдаю за этим, так как уверен и нам такое внедрят, так как уже есть подвижки по созданию национального мессенджера. Просто хотел написать что привязка к устройству тоже не панацея. Банально. Например путем загрузки зловреда определить какие идентификаторы считывает Мах копировать их к себе на эмуляторы телефона далее зловред перехватывает сообщения если они будут и готово, копия телефона вашего в руках злоумышленников, делай как говорится что хочешь. И ещё навскидку несколько подобных способов которые в теории можно осуществить.
Я работал в организации, учредителем которой являлась администрация города. По распоряжению главы (тот еще гнида был) все сотрудники были обязаны зарегистрировать на госуслугах себя и еще 10 человек. Где их взять - никого не волновало. Да и регистрация тогда была тем еще квестом. Постоянные вылеты и зависания.
Не спорю, сейчас это очень удобная вещь.
Только что проверил. Никаких смс и Махов. Ввел только email, пароль и TOTP.
Я вход по нему давно подключил. Главное ключ TOTP не потерять - он хранится локально и генерирует код для подтверждения без интернета.
Наше правительство не смущает, что приложение госуслуг ставили добровольно, а не из под пинка?
Не потому ли, что оно было реально полезно без навязывания и обмана?
Немного забавно читать нагоняющие панику посты про риск взлома MAX и перехвата сообщения для входа на Госуслуги.
Беспокоиться стоит по обратной причине: из-за того, что много где для подтверждения входа или для сброса пароля используются SMS. Эта технология изначально не была предназначена для передачи защищённой информации. Нет наверное смысла пересказывать, вот пара статей для ознакомления:
Кроме того, коды для проверки, которые отправляются через SMS, обычно короткие, и вероятность их подбора нельзя посчитать незначительной. Если код из 4 цифр, то вероятность угадать его с одной попытки составляет 0.01% — не то, чтобы много, но если таких попыток может быть много, а цена вопроса — все ваши деньги, то это уже выглядит пугающе. Сейчас всё чаще можно встретить коды в SMS из 6 цифр, но этого тоже мало.
Вспомните обычные рекомендации для сложности пароля — хотя бы 8 символов (лучше больше), большие и маленькие буквы, цифры, специальные символы — и это могут требовать просто для доступа к форуму, где вы будете обмениваться мемами, а вот доступ к банковскому приложению может быть защищён гораздо слабее. Суть проблемы может быть в том, что движки для форумов пишут программисты, которые принимают технически правильные решения, а вот в случае многих коммерческих продуктов ключевые решения принимают маркетологи, для которых длинный (пусть и надёжный) код — это сложно, это сократит количество пользователей, а подтверждение по SMS — пусть потенциально небезопасно, но быстро и удобно.
И в случае с использованием MAX происходит переход от небезопасных SMS к передаче информации по защищённому каналу через доверенное приложение, то есть, это шаг вперёд в плане безопасности. Понятно, что можно придумать ещё более безопасный вариант, но по крайней мере отход от SMS для подтверждения аутентификации — это то, что нужно было сделать давно, их изначально не стоило для этого использовать. И волноваться стоит не потому, что где-то используется MAX, а потому, что где-то ещё используются SMS, хотя давно есть другие варианты — вроде OTP например.
Т.е. если у тебя уведут аккаунт Мах, яля как в Телеграмм или Ватсап, то мошенники легко получат доступ к госуслугам, кредитам и т.д.? Удобно не спорю и смс не надо диктовать.
