22 апреля 2010 г.

Портал госуслуг. S01E04. «Безопасность». P02. Активация в картинках

Логически активация учетной записи на «портале» тоже относится к тест-драйву, но я решил, что более уместным будет рассмотреть этот процесс в рамках эпизода «Безопасность».

Начну с физического получения письма с кодом активации. Как и все, я получал его на почте и думаю, что у большинства получавших, как и у меня, почтовый работник не проверил паспортные данные и не удостоверил мою личность. Я заполнил извещение, подал его в окошко и положил закрытый паспорт на стойку. Дама, выдававшая мне письмо, лишь бросила рассеянный взгляд на лежащий паспорт и отдала конверт – сработал классический прием социальной инженерии. И, соответственно, не сработал единственный реальный механизм, когда можно и нужно было сопоставить реальную и виртуальную личности.

Полученный в «письме счастья» код активации представляет 16-разрядную цифровую последовательность – 4 группы по 4 цифры. Не буду высказывать далеко идущих предположений, но первое, что пришло мне в голову при взгляде на этот ряд цифр – номер пластиковой карты.
Для ввода кода активации вызывается форма, в которую нужно также ввести СНИЛС и каптчу (кстати, похоже, что каптчу починили – теперь она срабатывает с первого раза):


Следом на экран была выведена форма подтверждения адреса электронной почты:


После ввода адреса электронной почты появилось сообщение:


На самом деле, в полученном письме не было никакой инструкции – была динамическая ссылка, использовавшаяся для верификации адреса почты (хотя текст на ссылке был «Активировать аккаунт». Кстати, опять вопрос терминологии – почему «аккаунт», а не «учетная запись»?):


После нажатия на ссылку получаю поздравлялку (кстати еще раз про термины – активировал я «аккаунт», а поздравляют меня с активацией «учетной записи» :) ):


Форма авторизации уже хорошо всем знакома – она появляется при нажатии на ссылку «Личный кабинет». Привожу только ее левую часть, т.к. правую (и основную) часть экрана занимает текст о том, что надо иметь, чтобы быть здоровым и богатым пройти первичную процедуру регистрации:


Естественно, я не мог пройти мимо ссылки «Забыли пароль?» - надо же было проверить и эту логическую ветвь. При нажатии на ссылку появилась форма напоминания пароля:


Здесь я решил проверить систему на «вшивость» - ввел в форму не тот адрес электронной почты, который указывал раньше при регистрации, а другой. Система на провокацию не поддалась:


Пришлось вводить зарегистрированный адрес. Система его приняла и сообщила мне, что отправлено письмо с инструкциями по смене пароля. Письмо было достаточно информативным:



Из текста видно, что помимо динамической ссылки, содержащейся в письме, нужно использовать код подтверждения, присланный в СМС на мобильный номер, указанный при регистрации. Код подтверждения пришлось ждать минут пять, но он таки дошел. Вот, кстати, начала выявляться роль мобильного телефона в общении с порталом. И похоже, что чем дальше, тем более необходимым будет становиться телефон – на это уже был намеки в обсуждении в ЖЖ-шном блоге «портала».

Возвращаюсь к паролю. Хотя я прекрасно помнил пароль, указанный при регистрации, тест нужно было доводить до конца. Так что, я пошел по ссылке, ввел код из телефона и новый пароль:


Смена пароля прошла успешно. И вот здесь я вспомнил еще один момент – а где же тот контрольный вопрос, который я выбирал при регистрации, и ответ на который должен подтвердить, что я – это таки я? Похоже, что логика подсистемы безопасности «портала» все еще находится в развитии. Мне вот интересно – а сейчас при регистрации тоже нужно выбирать контрольный вопрос и задавать эталонный ответ на него? Тупиковая ветвь логики получается…

И напоследок: каптча при авторизации – это явное излишество. Или разработчики считают, что вводить СНИЛС и пароль способны не только люди, но и боты? Хотелось бы понять, как они (разработчики) представляют себе этот гипотетический use case? Зачем боту ходить на «портал госуслуг»?

2 комментария:

  1. Опять же сообщу что мне письмо просто кинули в почтовый ящик

    ОтветитьУдалить
  2. Да, мы уже обсуждали эту ситуацию с _falkon_ в моем ЖЖ-блоге, куда я пощу большинство своих здешних постов.

    ОтветитьУдалить