Meniul
AcasăWindows 7

Autorizare dublă pe VKontakte. Confirmare de conectare VKontakte: îmbunătățirea protecției contului


« In contact cuÎți pasă întotdeauna de siguranța ta” - încă din primele zile ale existenței sale, acest motto a fost o parte integrantă a acestei rețele de socializare. retelelor. Și astăzi a fost făcut un alt pas foarte mare și semnificativ pentru a vă securiza contul!

Conectarea unei metode suplimentare de verificare

Noua funcție de confirmare a autentificării vă permite să faceți și mai multe protejați-vă contul de la vizitatorii „nedoriti”. Caracteristica a fost adăugată relativ recent și este disponibilă pentru toți utilizatorii. Să ne uităm la pașii de conectare:

Puteți activa funcția noastră accesând „ Setarile mele", deschide fila " General", subgrup de setări " Securitatea paginii dvs" Opus articolului " Confirmare autentificare"clic" a conecta».


Acum ne-am protejat pagina și am activat funcția. De acum înainte, introducerea perechii corecte de autentificare și parolă nu va fi suficientă pentru a vă accesa pagina. Va trebui să introduceți un cod special trimis prin SMS. Vă rugăm să rețineți că trebuie să bifați căsuțele corespunzătoare.


Codul trimis prin SMS este valabil o singură dată, ceea ce oferă protecție maximă împotriva selecției. Adică, chiar dacă codul este interceptat sau „adulmecat pe telefon”, nu se va mai putea autentifica. Vă rugăm să rețineți că funcția „Aplicație pentru generarea codurilor” nu îmi inspiră încredere personal și nu este deloc convenabilă. Vă sfătuiesc să o opriți. Să mergem mai departe, dragi cititori.

Utilizarea constantă a dispozitivelor dovedite

VKontakte a avut grijă de nervii oamenilor și a decis să ne salveze de la verificarea nesfârșită a dispozitivelor de încredere. Când vă autentificați, veți avea ocazia tine minte asta dispozitiv și salvați-vă de tone de mesaje SMS.


Aș dori să menționez că în orice moment veți avea ocazia să „ arunca"autorizare pe toate dispozitivele iar dacă se întâmplă ceva, când intri pe pagina ta, va trebui să introduci din nou codul (nou). Acest lucru ne va ajuta să ne protejăm la un nou nivel!


Te găsesc pe IP!
Acum veți primi o notificare instantanee că cineva a încercat să vă acceseze pagina introducând o pereche de autentificare și parolă. Notificarea corespunzătoare va fi afișată în stilul tradițional „Notificare VKontakte”.


Mai multe informatii

De ce nu îmi este disponibilă recuperarea rapidă a parolei?

Cum să vă autentificați pe site-ul web VKontakte dacă ați uitat parola și protecția de conectare este activată (confirmare autentificare)? Încercați să restabiliți accesul, dar primiți un mesaj de eroare:

Recuperarea rapidă a parolei nu este disponibilă. Pagina dvs. are activată confirmarea de conectare a telefonului mobil.

Sau asta:

Din păcate, nu vă puteți recupera parola folosind numărul de telefon specificat.

Sau alta varianta:

Eroare. Această funcție nu este posibilă pentru această pagină.

Aceasta înseamnă că o dată înainte de a activa confirmarea de conectare prin telefonul mobil, când să intri în pagină trebuie să introduci nu numai o parolă, ci și un cod trimis pe telefon:

Când este setată protecția la intrare? (autentificare cu doi factori), acest lucru crește securitatea și protejează împotriva hackingului, dar v-ați uitat parola. Ce să fac? Acum este imposibil să primești un cod de recuperare pe telefon, deoarece confirmare autentificare- atunci știi parola și ai acces la telefon. Amândoi împreună. Acesta este singurul mod de a asigura securitatea, pe care ați activat-o în mod voluntar. Nu mai este posibil să restabiliți o pagină cu doar un număr de telefon dacă nu cunoașteți parola. Site-ul web VK v-a avertizat despre toate, dar nu ați citit când ați activat protecția. Poate de aceea simți că nu ai fost avertizat.

Atenţie! Iată absolut toate modalitățile pe care le aveți în 2019. Nu are rost să cauți altceva sau să întrebi în comentarii. Numai tu poți restabili accesul. Citiți până la sfârșit și procedați așa cum este scris. Link-urile albastre te duc la alte pagini care te vor ajuta.

Cum îmi pot recupera acum parola și accesul la pagină?

1. Recuperați prin e-mail

Dacă aveți activată confirmarea de conectare suplimentară, atunci în loc de recuperarea rapidă a parolei prin SMS, se folosește recuperarea parolei prin e-mail (e-mail). Pagina ta este legată de e-mail? Dacă da, atunci puteți solicita un link pentru a vă reseta parola. (instrucțiunile se vor deschide într-o fereastră nouă). Se poate dovedi că pagina este legată de e-mail, dar nu puteți introduce e-mailul (nu aveți acces sau pur și simplu nu vă amintiți) - în acest caz, este mai bine să încercați mai întâi să restabiliți accesul la poșta, altfel veți avea o singură cale, este mai complexă și necesită mult mai mult timp - recuperare prin serviciul de asistență.

2. Restaurați prin asistență

Când confirmarea de conectare este activată, dar ați uitat parola și pagina NU este legată de un e-mail (sau nu aveți acces la e-mailul dvs. sau nu vă amintiți adresa), singura modalitate de a restabili pagina este cerere de suport tehnic. Acest link va deschide un formular de restabilire a accesului care trebuie completat. Este mai bine să faci asta de pe un computer, decât de pe telefon. Vezi instrucțiuni detaliate aici:

Dacă nu funcționează, faceți-o prin versiunea completă de pe computer.

Va trebui să demonstrezi că pagina este a ta. Dacă fotografiile dvs. reale nu sunt acolo sau numele și prenumele dvs. reale nu sunt indicate, atunci este aproape imposibil (sau foarte dificil) să restaurați pagina. La urma urmei, ai fost avertizat despre toate când ai activat protecția de conectare. Puteți vedea de ce o cerere poate fi respinsă. Desigur, există o oportunitate de a contacta asistența VK și de a încerca să demonstrezi într-un fel că pagina este a ta. Dacă văd că ești o persoană normală și că pagina este cu adevărat a ta, s-ar putea să te întâlnească la jumătatea drumului. Dacă chiar și atunci nimic nu funcționează, înregistrați o pagină nouă în VK. Aceasta este o lecție pentru viitor.

De ce nu îmi pot recupera parola prin SMS dacă este activată confirmarea de conectare?

Pentru că dvs. ați activat autentificarea în DOI Factori (DOI etape), iar acum doriți să vă resetați parola cu un singur factor (telefon). Dar nu funcționează așa. Ar fi trebuit să citească avertismentul. Am descris mai sus toate modalitățile de a reseta o parolă în această situație, există doar două dintre ele.

Am coduri de rezervă, de ce nu îmi pot recupera parola cu ele?

Pentru că codurile de rezervă pe care le-ați scris sau tipărit sunt necesare atunci când nu există acces la telefon— adică atunci când nu puteți primi un SMS pentru a vă conecta. Și nu ai parola, l-ai uitat. În acest caz, codul de rezervă nu va ajuta.

Nu mai există nicio modalitate de a-l restaura!

Nu există alte modalități de a restabili accesul. Nu are rost să le cauți. Adică, nu există nicio altă modalitate de a-l restaura deloc. Doar citiți toate căile posibile. , daca nu intelegi.

Este posibil să dezactivați confirmarea de conectare?

Sigur ca poti. Dar pentru a face acest lucru trebuie mai întâi să accesați pagina. Și dacă nu puteți face acest lucru încă, atunci nu puteți dezactiva nici confirmarea de conectare. Restabiliți accesul așa cum este scris mai sus.

Am vorbit deja despre piratarea unei pagini VKontakte (vezi). Atacatorii vă pot afla datele de conectare și vă pot ghici parola (vezi). Și apoi vor putea să vă viziteze pagina.

Pentru a preveni acest lucru, VKontakte a introdus o măsură suplimentară de securitate - autorizare dublă (cu doi factori). Semnificația acestei funcții este că, după introducerea , trebuie să indicați și codul secret primit prin SMS sau alte mijloace. Astfel, probabilitatea de hacking este redusă semnificativ. Chiar dacă atacatorii vă cunosc acreditările, nu vor avea codul pentru a vă conecta la pagină.

Acum îți voi arăta cum să activați autorizarea dublă pe VKontakte și să configurați o aplicație pentru generarea de coduri.

Cum se activează autentificarea cu doi factori pe VKontakte?

Accesați pagina dvs. și accesați secțiunea „Setări”.

Deschideți fila „Securitate”. Aici in sectiune „Confirmare autentificare”, faceți clic pe butonul „Conectați”.

Se va deschide un formular - faceți clic pe butonul din el „Începe configurarea”.

Vi se va cere să reintroduceți parola pentru pagină (vezi). Faceți acest lucru și faceți clic pe butonul „Confirmare”.

Primiți codul pe telefon și introduceți-l în formular. Apoi faceți clic pe butonul „Trimite codul”.

Configurarea unei aplicații pentru generarea codurilor

Următorul pas este configurarea aplicației pentru a genera coduri. Vi se oferă să instalați o aplicație care vă va permite să generați coduri de conectare, chiar și fără a vă conecta la o rețea celulară.

Utilizare Google Authenticator pentru smartphone-uri iPhone și Android. ȘI Autentificator— pentru telefoane în Windows Phone. Instalați aplicația corespunzătoare pe gadgetul dvs.

Așa arată o fereastră cu un cod QR și un cod secret în VK.

Acum lansați aplicația instalată și scanați codul specificat.

Acum lipiți codul primit din aplicație și faceți clic pe butonul „Confirmare”.

Aplicația de generare a codului a fost configurată cu succes!

Veți fi direcționat la fila Securitate. Acum puteți face următoarele operațiuni aici.

  • Schimbați numărul de telefon (vezi);
  • Afișează o listă de coduri de rezervă;
  • Configurați o aplicație pentru generarea codurilor;
  • Configurați parolele aplicației;
  • Dezactivați autentificarea în doi pași pe VKontakte.

Lecție video: autentificare cu doi factori pe VKontakte

Concluzie

VKontakte este cea mai mare rețea socială din țările CSI - serviciul este vizitat de peste 955 de milioane de utilizatori în fiecare lună. Conturile VKontakte sunt folosite pentru autorizare pe un număr mare de servicii și site-uri. În plus, relativ recent, utilizatorii rețelei au putut trimite bani direct prin mesaje.

Popularitatea ridicată a VKontakte îl face o platformă atractivă pentru atacatori. În aceste circumstanțe, este foarte important să asigurați securitatea maximă pentru contul dvs. Puteți obține protecție suplimentară a contului prin configurarea autentificării cu doi factori (2FA).

Cum să activați autentificarea cu doi factori pentru un cont VKontakte

  • Conectați-vă la contul dvs. și accesați pagina Setări. Apoi selectați fila Siguranță.
  • Secțiunea cea mai de sus este numită Confirmare autentificare. Faceți clic pe linkul „Conectați”.

  • Se va deschide o fereastră pop-up care vă va informa că atunci când activați autentificarea cu doi factori, numărul dvs. de telefon mobil va fi folosit pentru a vă accesa contul. Faceți clic pe butonul Începeți configurarea.
  • În fereastra următoare trebuie să vă verificați numărul de telefon sau să introduceți un număr nou, apoi să faceți clic pe butonul pentru a obține codul.
  • Un cod de confirmare va fi trimis la numărul dvs. de telefon. Introduceți acest cod în câmpul de mai jos, apoi faceți clic pe butonul A confirmaȘi Configurare completă.
  • Aceasta completează configurarea. Acum, când încercați să vă conectați la contul dvs. de pe un dispozitiv necunoscut, un mesaj SMS cu un cod de acces va fi trimis pe telefon.

In sectiune Confirmare autentificare făcând clic pe link Coduri de rezervare veți putea genera și salva coduri de urgență care pot fi folosite atunci când nu aveți acces la dispozitivul dvs. mobil.

Ca o a doua etapă de autentificare, în locul unui mesaj SMS, puteți utiliza coduri unice generate într-o aplicație de autentificare care funcționează folosind algoritmul TOTP. Pentru a activa această metodă de autentificare, mai întâi instalați o aplicație de autentificare pe dispozitivul dvs. mobil, de exemplu, Google Authenticator sau Authy, și urmați acești pași simpli:

  1. In sectiune Confirmare autentificare lângă opțiune Aplicații pentru generarea codurilor faceți clic pe linkul „Activați”.
  2. Din motive de securitate, vi se va cere parola curentă a contului. Introduceți parola corectă și „Confirmați”.
  3. Pe următorul ecran va apărea un cod QR, pe care trebuie să-l scanați folosind aplicația mobilă. Dacă imaginea dvs. nu este recunoscută de scaner, introduceți manual cheia secretă din 16 cifre în aplicație.
  4. Introduceți codul unic din 6 cifre generat în aplicație. După aceasta, autentificarea prin aplicație va fi configurată.

După finalizarea cu succes a verificării în doi factori în browser, vă puteți aminti acest browser, astfel încât să nu mai introduceți al doilea factor atunci când vă conectați la contul dvs. pe acest dispozitiv.

Dacă este necesar, puteți reseta codurile pe toate dispozitivele de încredere sau numai pe dispozitivul actual. În acest caz, în timpul următoarei încercări de autorizare, vi se va cere din nou un cod de confirmare.

Dacă cineva încearcă să se conecteze la contul dvs., veți primi un avertisment pop-up despre acest lucru.

Cum să dezactivați autentificarea cu doi factori în contul dvs. VKontakte

În orice moment, puteți dezactiva autentificarea cu doi factori pentru contul dvs. VKontakte. Totuși, rețineți că, în acest caz, pentru a vă accesa contul, un atacator va trebui doar să vă cunoască parola. Pentru a dezactiva autentificarea cu doi factori, urmați acești pași:

  1. Accesați meniul


Voi face o rezervă că, înainte de a începe lucrul la articol, am subliniat toate observațiile mele despre HackerOne. Niciunul dintre erorile descrise nu a fost recunoscut de VKontakte. Dar când, înainte de a publica articolul, am decis să fac capturi de ecran de confirmare, s-a dovedit că unul dintre erori fusese remediat. Faptul că mi-au ascultat cuvintele nu poate decât să se bucure. Este doar păcat că băieții nici măcar nu au spus „mulțumesc”.

Deci, greșeala numărul 1. Cheie secretă statică.


Pentru a conecta o aplicație de generare OTP la contul său, utilizatorul introduce o parolă, după care se deschide o pagină cu cheia secretă necesară emiterii unui token software. Până acum, bine.



Dar dacă dintr-un motiv oarecare utilizatorul nu a activat imediat jetonul software (de exemplu, a fost distras de un apel important sau pur și simplu s-a răzgândit și a revenit la pagina principală), atunci când după un timp decide să primească jetonul , i se va oferi din nou aceeași cheie secretă.


Ceea ce înrăutățește situația este că, în decurs de o jumătate de oră de la introducerea parolei, chiar dacă ați intrat pe pagina principală sau v-ați deconectat de la cont și apoi v-ați conectat din nou, parola nu este solicitată din nou înainte ca codul QR cu secretul să fie afișat. afișat.





De ce este acest lucru periculos?

Tokenul VKontakte, ca orice alt token TOTP, funcționează pe un principiu destul de simplu: generează parole unice conform unui algoritm bazat pe doi parametri - timpul și o cheie secretă. După cum înțelegeți, singurul lucru necesar pentru a compromite cel de-al doilea factor de autentificare este să cunoașteți CHEIA SECRETĂ.


O astfel de vulnerabilitate lasă două lacune pentru un atacator:

  1. Dacă utilizatorul se îndepărtează de computer, atacatorul va avea suficient timp pentru a-și compromite cheia privată.
  2. După ce a intrat în posesia parolei unui utilizator, un atacator își poate spiona cu ușurință cheia secretă în avans.

Rezolvarea problemei este pur și simplu simplă. Cheia secretă trebuie să se schimbe de fiecare dată când pagina este actualizată, așa cum se întâmplă, de exemplu, pe Facebook.

Greșeala #2. Noul jeton după reemitere folosește aceeași cheie secretă.


La momentul publicării acestui articol, acest defect a fost corectat.


Situația descrisă mai sus este agravată de faptul că atunci când jetonul este reemis, VKontakte nu vă va oferi o nouă cheie secretă. De fapt, o cheie secretă este legată de pagina ta și nu o vei mai putea schimba.

De ce este acest lucru periculos?

Dacă aflați că cheia dvs. privată a fost compromisă (de exemplu, în timpul primei eliberări a unui token, așa cum este descris în primul punct), nu mai aveți nevoie de dublă autentificare VKontakte. Simțiți-vă liber să dezactivați al doilea factor și să alegeți o parolă mai puternică. Nu este posibilă reemiterea unui token cu un nou secret.


Dacă ați pierdut telefonul pe care a fost instalat tokenul, puteți face același lucru. Oricine pune mâna pe smartphone-ul dvs. îl va putea folosi în siguranță pentru a vă conecta la contul dvs. Rămâne doar să aflați parola. În acest caz, se pierde întreaga esență a autentificării cu doi factori. Este clar că, dacă un utilizator observă că contul său este discreditat, poate contacta asistența, dar acest lucru va pierde timp prețios pe care poate nu îl are.

Greșeala #3: Dezactivarea celui de-al doilea factor fără a solicita o parolă unică.


Totul aici este clar din nume. Când al doilea factor este dezactivat, introducerea parolei este suficientă, OTP nu este solicitat.





De ce este acest lucru periculos?

Dacă trebuie doar să introduceți o parolă pentru a dezactiva autentificarea dublă pe VKontakte, însăși esența autentificării cu doi factori se pierde. Iar esența autentificării cu doi factori este că dezavantajele unui factor sunt compensate de avantajele altuia. În vk.com acesta este factorul de cunoștințe (parola) și factorul de posesie (telefon). Acesta a fost inventat pentru a se asigura că compromiterea unuia dintre factori nu ar fi suficientă pentru a obține acces la cont. Dacă un atacator deține parola dvs., nu va avea nevoie de o parolă unică pentru a vă sparge contul și invers, dacă a intrat în posesia telefonului dvs., va trebui să cunoască și parola.


Aici se dovedește că este suficient să aflați parola utilizatorului pentru a dezactiva pur și simplu al doilea factor de autentificare. În esență, acest lucru transformă autentificarea cu doi factori a VKontakte în autentificare cu un singur factor.


VKontakte oferă utilizatorilor săi o funcție foarte convenabilă „Eliminați confirmarea din browserul curent”. Sunt sigur că funcția este populară și utilizatorii dezactivează confirmarea, cel puțin acasă și la serviciu. Mai mult, majoritatea utilizatorilor au parolele stocate în browsere, unde pot fi vizualizate și copiate cu ușurință.


Să ne imaginăm această situație: colegul tău a decis să-ți facă o glumă. În timp ce nu erai la serviciu, s-a dus la computerul tău, s-a uitat la parolele salvate în browser, s-a conectat la VK și a dezactivat 2FA. Acum el se va putea conecta la contul tău până când vei observa modificări, care s-ar putea să nu se întâmple curând. Nu ați introdus până acum o parolă unică pe dispozitivele pe care le utilizați cel mai des, ceea ce înseamnă că nimic nu se va schimba pentru dvs. Și colegul tău farsator va avea acces deplin la contul tău și nimeni nu știe la ce ar putea duce acest lucru.


Dacă eroarea cu reemiterea jetonului nu ar fi fost remediată, când cheia secretă nu s-a schimbat la reemiterea jetonului, situația ar fi putut deveni și mai interesantă! Colegul tău, care știe deja parola, ar putea să dezactiveze 2FA, apoi să reactiveze autentificarea cu doi factori, să vadă cheia secretă, să-și emită un token identic cu al tău și ar putea citi mesajele tale atâta timp cât contul tău este în viață.

concluzii

Când conectați autentificarea în doi pași la contul dvs. VKontakte, apare un memento care spune „Chiar dacă un atacator află numele dvs. de utilizator, parola și codul de verificare folosit, nu va putea accesa pagina dvs. de pe computerul său”.



Din păcate, s-a dovedit că acest lucru nu este în întregime adevărat. În anumite circumstanțe, un străin va putea recunoaște simbolul VKontakte al altcuiva sau chiar va putea dezactiva complet al doilea factor cunoscându-ți parola. Astept parerile voastre.