Новое - это хорошо забытое старое.

Итак, повторяю. Ибо прошло 9 месяцев, родились новые дети, которые ещё не читали.

Как защитить аккаунт на Госуслугах раз и навсегда

Честно говоря, достали и мошенники, и люди, которых эти мошенники обманывают, которые потом пишут истории про это. Ведь любой дурак прекрасно знает, что заболевания гораздо легче предотвратить, чем лечить.

Вот сегодня ОПЯТЬ расскажу как сделать так, чтобы вам никто никогда не звонил и не спрашивал смс-коды с Госуслуг.

Шаг №1. Устанавливаем контрольный вопрос на Госуслугах.

Как это сделать, написано вот тут.

Цитирую:

1. Перейдите в личный кабинет → Профиль → Безопасность → Вход в систему

2. В карточке «Контрольный вопрос» переведите переключатель в активное положение

3. Выберите один из предложенных контрольных вопросов

4. Напишите и запомните ответ — после включения контрольного вопроса посмотреть ответ будет невозможно. Эта информация должна быть известна только вам

5. Введите пароль от учётной записи, чтобы установить контрольный вопрос

6. Нажмите «Включить»

Мой комментарий. Раньше можно было установить любой контрольный вопрос. Но видать не у всех хватает фантазии на это. Поэтому сейчас есть некоторый список вопросов. Но те, кто раньше установил свой вопрос, так с ним и остались.

Небольшая рекомендация. Не надо устанавливать вопрос, ответ на который можно при желании найти. Например, девичью фамилию матери или марку первой машины. Выберите что-то такое, что не так просто определить. Нет, не название любимой команды. Это тоже можно легко найти, если у вас есть фото в мерче любимой команды где-то в социальной сети.

Шаг №2. Устанавливаем TOTP для входа на Госуслуги.

Если кто не знает, TOTP - это "Time-based One-time Password" (одноразовый пароль, основанный на времени). Как это сделать, можно прочесть вот тут.

Цитирую:

Одноразовый код (TOTP) будет приходить в приложение для работы с ним. При потере доступа к этому приложению войти на Госуслуги с одноразовым кодом не получится

1. В личном кабинете откройте: Профиль → Безопасность → Вход в систему

2. Выберите: Вход с подтверждением → Одноразовый код (TOTP) → Продолжить

3. Откройте на телефоне приложение для работы с одноразовым кодом. Если приложения нет, скачайте его для iOS, Android или HarmonyOS

4. В приложении отсканируйте QR-код или введите ключ — появится запись «Gosuslugi» с кодом, который будет периодически обновляться

5. Введите на Госуслугах одноразовый код из приложения

Добавлю, что сейчас очень удобно сделано у Гугла (его приложение для TOTP есть как для Android, так и для iOS): ваши TOTP синхронизируются через Гугл-аккаунт. И после замены телефона вам не придётся их переносить (но переносить их тоже очень просто, если вы вдруг не доверяете облачной синхронизации).

Вот, собственно, и всё. И теперь мошенникам надо будет очень сильно постараться, чтобы к вам пришло СМС из Госуслуг для восстановления пароля или для входа.

Но, главное, сделайте эти манипуляции для своих пап, мам, бабушек и дедушек. И объясните как использовать TOTP для входа на Госуслуги. Защитите своих близких, если есть такая возможность.

P.S. Надеюсь, что не нарушил какие-то очередные правила сайта, полностью процитировав своё же сообщение 9-ти месячной давности.

Но, если нарушил, дайте, пожалуйста, мотивированное обоснование.

P.P.S. Многие спросят: "А причём тут мессенждер Max в заголовке и тегах?". Ну, да. В сообщении про него нет. И я сделал так, чтобы его и не было у вас в смартфоне.

Правительство обновило правила федерального госнадзора в сфере электронной подписи. Для индивидуальных предпринимателей это означает больше прозрачности в процедурах и проверках, а также — понятный чек-лист, как получить токен ЭП и настроить квалифицированную подпись. Базовый документ — постановление Правительства РФ от 29.08.2025 № 1308, которое вносит правки в Положение о федеральном госконтроле (надзоре) в сфере электронной подписи (утверждено ПП РФ № 1044 от 29.06.2021).

Что именно изменилось

Постановление № 1308 уточняет полномочия должностных лиц, формат и состав контрольных (надзорных) мероприятий, а также профилактические инструменты (включая профилактические визиты) в сфере ЭП. Цель — повысить предсказуемость проверок и единообразие требований к участникам рынка, в том числе ИП, которые используют квалифицированные электронные

Почему это важно: когда регламенты контроля описаны чётко, легче планировать, где и как хранить ключи, как подтверждать статусы сертификатов и что покажет проверка при валидации вашей подписи. Положение № 1044 теперь действует с учётом новых правок от 29.08.2025.

Другие изменения в законе об электронной подписи

Весной 2025 вступили в силу изменения к 63-ФЗ «Об электронной подписи» (ФЗ № 94-ФЗ от 21.04.2025). Они, среди прочего, расширили перечень лиц и структур, для которых может выпускаться квалифицированный сертификат ключа проверки ЭП, а также определили дополнительные полномочия госорганов (в частности, Казначейства) в инфраструктуре ЭП. Для ИП это означает, что цепочка участников и процедур вокруг ЭП стала формализованное.

Как ИП получить токен ЭП в 2025 году: пошаговая схема:

1.Определитесь с типом подписи. Для юридически значимых действий нужна усиленная квалифицированная электронная подпись (УКЭП). Для ИП сертификаты УКЭП выдаёт УЦ ФНС России и его доверенные лица. Если не уверены, у нас в сблоге есть несколько статей, посвященных тому, как выбрать токен для ЭП.

2.Проверьте учётку на Госуслугах. У ИП должна быть подтверждённая запись, данные должны совпадать с документами (паспорт, ИНН, СНИЛС). (Подтверждение личности ускорит выпуск сертификата в УЦ ФНС.)

3.Подготовьте носитель: понадобится криптографический токен/смарт-карта, совместимые с УЦ ФНС и установленными криптосредствами. Покупайте у проверенных поставщиков, с поддержкой актуальных ГОСТ и драйверов под вашу ОС.  

4.Запишитесь на выпуск сертификата в УЦ ФНС. Возьмите паспорт, ИНН/СНИЛС; следуйте инструкции УЦ. Сертификат УКЭП запишут на ваш токен.

5.Установите ПО и драйверы. Поставьте криптопровайдер, плагин для проверки ЭП, обновите корневые сертификаты доверия. Проверьте тестовой подписью. (Тонкость: после изменений в надзоре от 29.08.2025 грамотная локальная проверка — must have.)

6.Настройте «долгую» проверяемость. Для документов длительного хранения используйте расширенные форматы (например, добавляйте отметку времени и сведения о статусе сертификата на момент подписания — OCSP/CRL), чтобы подпись корректно верифицировалась спустя годы. Это снизит риски при проверках в будущем. Подробнее читайте нашу статью о проверках «старых» ЭП.

Минцифры написало в своем официальном канале, что россияне смогут получать одноразовый код для входа в учетную запись на "Госуслугах" через мессенджер МAX.

"Новый способ защитить аккаунт "Госуслуг" — одноразовый код в мессенджере МAX. <...> Пока сервис доступен в тестовом режиме, но скоро подключить его смогут все пользователи "Госуслуг", — говорится в посте.

Минцифры также перечислило бонусы от такого способа получения доступа к порталу:

• Защита от мошенников: перед получением кода чат-бот задаст вопросы, которые помогут выявить злоумышленника. Если ответы вызовут подозрение, бот не выдаст код и предупредит об опасности.

• Без дополнительных приложений: новый сервис не требует установки дополнительного приложения для создания одноразовых паролей, если пользователь уже скачал мессенджер.

• Доступность: разработка позволяет получить код для входа на "Госуслуги" тем, кто не имеет возможности сделать это через смс.

  Уточняется, что речь идет только о втором факторе защиты учетной записи на портале. Для смены пароля и восстановления доступа к аккаунту по-прежнему необходимо ввести код из смс. Среди других вариантов — TOTP-код из специального приложения для создания одноразовых паролей и️ биометрия.