ВКонтакте появилась долгожданная функция двухфакторной авторизации. В настройках сайта вы можете активировать подтверждение входа, и тогда при входе на свою страницу ВКонтакте вам потребуется вводить не только логин и пароль, но и специальный код подтверждения. Естественно, рядовому пользователю эту функцию включать не обязательно, однако многим опытным юзерам (и параноикам она пригодится.
ВКонтакте предлагает на выбор три способа подтверждения входа: SMS на привязанный номер телефона, специальные резервные коды и авторизация с использованием мобильного приложения для генерации кодов. Каждый из них в достаточной степени защитит вашу страницу от взлома злоумышленниками.
Активировать новую функцию можно в меню , вкладка, группа настроек . Напротив пункта «Подтверждение входа» следует нажать кнопку «подключить» .
Подтверждение входа добавляет новый уровень проверки при авторизации на сайте. Чтобы попасть на страницу, становится недостаточно указать верные логин и пароль, необходимо также ввести специальный код подтверждения .
Вы можете получить под подтверждения с помощью бесплатного SMS на привязанный к Вашей странице мобильный номер либо настроить и использоватьспециальное приложение для смартфона. Также рекомендуется распечатать список резервных кодов , чтобы можно было воспользоваться ими, если с мобильным телефоном что-то произойдёт.
Код подтверждения действует только один раз , поэтому даже если Ваш логин, пароль и использованный код подсмотрят или перехватят, с их помощью всё равно не получится зайти на страницу.
В любой момент Вы сможете сбросить коды проверки на всех устройствах либо только на текущем. Тогда при следующей попытке авторизоваться система запросит код подтверждения повторно.
Если кто-то попытается зайти на Вашу страницу, Вы получите всплывающееоповещение об этом:
Дополнительно:
Подтверждение входа защитит
Вас также и от возможного увода страницы в случае кражи SIM-карты
. Если дополнительное подтверждение подключено, то вместо быстрого восстановления пароля по SMS будет применяться восстановление пароля на e-mail. Таким образом, чтобы получить доступ к странице, взломщику нужно будет одновременно украсть Вашу SIM-карту, а также узнать логин и пароль от личной страницы либо от почтового ящика.
Сделать эти вещи одновременно практически невозможно
.
Если Вы сами забудете пароли от страницы и почты или потеряете мобильный телефон и резервные коды, единственной возможностью вернуть доступ к странице станет . Поэтому мы настоятельно рекомендуем оформить Вашу страницу в соответствии с правилами сайта: указать на ней свои истинные имя и фамилию и загрузить настоящие фотографии в качестве главных. В противном случае администрация сайта не сможет вернуть её Вам, чтобы обеспечить запрошенный уровень безопасности.
Оговорюсь, что перед тем, как приступить к работе над статьей, все свои наблюдения я изложил на HackerOne. Ни один из описанных багов Вконтакте не признали. Но когда перед публикацией статьи я решил сделать подтверждающие скриншоты, оказалось, что один из багов все-таки был исправлен. То, что к моим словам прислушались, не может не радовать. Жаль только, что ребята даже “спасибо” не сказали.
Итак, ошибка №1. Статичный секретный ключ.
Чтобы подключить к своему аккаунту приложение для генерации OTP, пользователь вводит пароль, после чего перед ним открывается страница с секретным ключом, необходимым для выпуска программного токена. Пока все правильно.
Но если по какой-либо причине пользователь не активировал программный токен сразу (например, отвлекся на важный звонок, или просто передумал и вернулся на главную страницу), то когда через некоторое время он все-таки решит получить токен, ему опять предложат тот же секретный ключ.
Усугубляет ситуацию еще и то, что в течение получаса после ввода пароля, даже если вы перешли на главную страницу или вышли из аккаунта, а потом снова вошли, перед показом QR кода с секретом повторно пароль не запрашивается.
Чем это опасно?
Токен Вконтакте, как и любой другой TOTP токен работает по достаточно простому принципу: генерирует одноразовые пароли по алгоритму на основании двух параметров - времени и секретного ключа. Как вы сами понимаете, единственное, что нужно для компрометации второго фактора аутентификации - это знать СЕКРЕТНЫЙ КЛЮЧ.
Подобная уязвимость оставляет злоумышленнику две лазейки:
- Если пользователь отойдет от компьютера, у злоумышленника будет достаточно времени, чтобы скомпрометировать его секретный ключ.
- Завладев паролем пользователя, злоумышленник легко может подсмотреть его секретный ключ наперед.
Решить вопрос элементарно просто. Секретный ключ должен менятся каждый раз после обновления страницы, как это происходит, например, в Facebook.
Ошибка №2. Новый токен после перевыпуска использует тот же секретный ключ.
На момент публикации статьи этот недостаток был устранен.
Ситуация, описанная выше, усугубляется тем, что при повторном выпуске токена, Вконтакте не предложит вам новый секретный ключ. По сути, к вашей странице привязывается 1 секретный ключ и сменить его вы уже не сможете.
Чем это опасно?
Если вы узнали, что ваш секретный ключ скомпрометирован (например, при первом выпуске токена, как описано в первом пункте), двойная аутентификация Вконтакте больше вам не нужна. Смело отключайте второй фактор и подберите пароль посильней. Перевыпустить токен с новым секретом не представляется возможным.
Если Вы потеряли телефон, на котором был установлен токен, можете сделать то же самое. Тот, к кому в руки попал ваш смартфон, сможет спокойно использовать его для входа в ваш аккаунт. Осталось узнать только пароль. При этом вся суть двухфакторной аутентификации теряется. Понятно, что если пользователь заметит дискредитацию своего аккаунта, он может связаться с суппортом, но на это будет потрачено драгоценное время, которого у него может не быть.
Ошибка № 3. Отключение второго фактора без запроса одноразового пароля.
Здесь все понятно из названия. При отключении второго фактора, достаточно ввода пароля, OTP не запрашивается.
Чем это опасно?
Если для отключения двойной аутентификации Вконтакте достаточно только ввода пароля, теряется сама суть двухфакторной аутентификации. А суть двухфакторной аутентификации заключается в том, что недостатки одного фактора перекрываются преимуществами другого. В vk.com это фактор знания (пароль) и фактор владения (телефон). Это было придумано для того, чтобы компрометации одного из факторов не было достаточно для получения доступа к аккаунту. Если у злоумышленника есть ваш пароль, для взлома аккаунта ему не будет хватать одноразового пароля, и наоборот, если он завладел вашим телефоном, то ему нужно будет дополнительно узнать пароль.
Здесь же получается, что достаточно узнать пароль пользователя, чтобы попросту отключить второй фактор аутентификации. По сути, это превращает двухфакторную аутентификацию Вконтакте в однофакторную.
Вконтакте предлагает своим пользователям очень удобную функцию “Снять подтверждение с текущего браузера”. Я уверен, что функция пользуется популярностью и пользователи отключают подтверждение, как минимум, дома, и на работе. Более того, у большинства пользователей пароли сохранены в браузерах, где их можно легко просмотреть и скопировать.
Представим такую ситуацию, ваш коллега решил над вами подшутить. Пока вас не было на рабочем месте, он зашел к вам на компьютер, посмотрел в браузере сохраненные пароли, вошел в VK и отключил 2FA. Теперь он сможет заходить в ваш аккаунт до тех пор, пока вы не заметите перемен, что может произойти совсем не скоро. Вы и раньше не вводили одноразовый пароль на тех устройствах, которыми чаще всего пользуетесь, значит для вас ничего не поменяется. А шутник-коллега получит полный доступ к вашему аккаунту, и никто не знает к чему это может привести.
Если бы не был исправлен баг с перевыпуском токена, когда при повторном выпуске токена секретный ключ не менялся, ситуация могла бы стать еще интересней! Ваш коллега, уже зная пароль, мог бы отключить 2FA, после чего опять подключить двухфакторную аутентификацию, увидел бы при этом секретный ключ, выпустил бы себе токен, идентичный вашему, и мог бы читать ваши сообщения до тех пор, пока жив ваш аккаунт.
Выводы
При подключении двухэтапной аутентификации к аккаунту Вконтакте, появляется памятка, которая гласит “Даже если злоумышленник узнает Ваш логин, пароль и использованный код подтверждения, он не сможет попасть на Вашу страницу со своего компьютера."
К сожалению, выяснилось, что это не совсем правда. При определенных обстоятельствах посторонний сможет узнать чужой токен Вконтакте или даже полностью отключить второй фактор, зная ваш пароль. Жду ваших мнений.
Так, очередным обновлением стала функция «Подтверждение входа» и сегодня мы сделаем ее полный обзор. Расскажем, как она работает, как включить ее, настроить или отключить.
Каждый пользователь хочет сохранить свои персональные данные, которые используются при входе, не хочет, чтобы его личные документы (фото, переписки и т.д.) стали достоянием общественности. Именно по этому, разработчики соц сети делают все, чтобы этого не произошло.
Что такое подтверждение входа
Подтверждение входа обеспечивает дополнительный уровень защиты от взлома. При использовании этой функции для входа на страницу, с незарегистрированных браузеров и устройств помимо пароля необходимо будет ввести код безопасности.
Код можно получить с помощью телефона, привязанного к Вашей странице.
Внимание! Когда подтверждение входа включено, услуга восстановления пароля по номеру телефона становится недоступной. Поэтому настоятельно рекомендуем привязать к странице актуальный e-mail, указать истинные имя и фамилию и загрузить свои настоящие фотографии в качестве главных, прежде чем продолжить настройку.
Как подключить подтверждение входа в ВК
Для подключения этой опции, вам необходимо будет перейти в пункт меню «Настройки» и там, на вкладке «Общее» найти раздел «Безопасность Вашей страницы».
Нажав на кнопку «Подключить», перед вами откроется системное окно, где необходимо будет нажать «Перейти к настройке». Далее, система запросит подтвердить свое действие, введя пароль:
Введя свой пароль и кликнув на кнопку «Подтвердить», вы запустите эту опцию. Но, не стоит забывать о том, что после ее подключения, одного мобильного номера для будет мало. Необходимо будет подавать заявку на рассмотрение модераторам.
Если у вас остались вопросы — задавайте их на нашем и наши модераторы как можно скорее ответят вам!
GD Star Rating
a WordPress rating system
Приветствую!
Подтверждение входа на ВК посредством SMS кода является весьма действенным, если стоит цель обезопасить свою страницу на Вконтакте от посягательств взломщиков и прочих граждан, к примеру, друзей шутников.
Однако по тем или иным причинам некоторые пользователи ВК желают отказаться от этой возможности, т.е. отключить подтверждение входа в свой профиль на ВК через смс (другое название – двухфакторная аутентификация).
Естественно, данная возможность существует, и мы пошагово рассмотрим процесс отключения двухфакторной аутентификации на ВК.
Отключаем подтверждение входа по SMS на Вконтакте
Всё. Поставленная задача выполнена. Помните, что отключая смс подтверждение на Вконтакте, вы существенно снижаете безопасность вашей страницы. Производите отключение данной дополнительной опции защиты только при существенной необходимости.
И включайте её обратно сразу же, как только это будет возможно. О процедуре включения вы можете прочесть в статье
В 2014 году социальная сеть ВКонтакте ввела двухфакторную авторизацию. Что это? Это дополнительное средство безопасности — помимо авторизации с помощью логина и пароля, необходимо ввести код, который придет на номер телефона, привязанный к аккаунту. Даже если у злоумышленника будут данные от вашей страницы, попасть в нее он не сможет.
Как активировать двухфакторную авторизацию?
Нажимаем «Мои настройки» и выбираем вкладку «Безопасность». Здесь вы увидите подраздел «Подтверждение входа» и надпись: «Обеспечивает надёжную защиту от взлома: для входа на страницу следует ввести одноразовый код, полученный по SMS или иным подключённым способом». Нажмите на кнопку «Подключить».
Появится окно, в котором описаны некоторые ситуации. Например, если двухфакторная авторизация подключена, то восстановления пароля по номеру становится недоступным и администрация настоятельно рекомендует привязать к странице актуальный адрес электронной почты. Если вас все устраивает, нажмите на кнопку «Приступить к настройке».
Вводим пароль от страницы.
Вводим код подтверждения и нажимаем «Отправить код».
Функция подключена. Ставим галочку рядом с пунктом «Запомнить текущий браузер», что бы не вводить код на этом компьютере каждый раз, затем нажимаем на кнопку «Завершить настройку».
Как отключить двухфакторную авторизацию?
Все в том же разделе «Безопасность» нажмите на кнопку «Отключить подтверждение входа».
Введите пароль от страницы.
