Как установить двойную аутентификацию в вк. PIN-код ВКонтакте — второе подтверждение входа
«ВКонтакте
всегда заботится о Вашей безопасности» - с самых первых дней существования этот девиз был неотъемлемой частью этой соц. сети. И уже сегодня был сделан еще одни очень большой и значительный шаг для безопасности вашего аккаунта!
Подключение дополнительного способа проверки
Новая функция подтверждения входа позволит вам ещё больше защитить ваш аккаунт от "нежелательных" посетителей. Функция была добавлена относительно недавно и доступна всем пользователям. Давайте рассмотрим этапы подключения:
Активировать нашу функцию можно перейдя в «Мои Настройки
», открываем вкладку «Общее
», подгруппа настроек «Безопасность Вашей страницы
». Напротив пункта «Подтверждение входа
» клацаем «подключить
».
Теперь мы защитили нашу страницу и активировали функцию. Отныне, правильного ввода пары логин&пароль будет не достаточно, чтобы зайти на вашу страницу. Будет необходимо ввести специальный код присланный вам с помощью СМС. Обратите внимание, что вам необходимо поставить галочки на соответствующих пунктах.
Присланный с помощью СМС сообщения код действительный лишь один раз, что обеспечивает максимальную защиту от подбора. То есть, даже если код перехватят или же «подсмотрят в телефоне» зайти уже будет невозможно. Обратите внимание на то, что функция «Приложение для генерации кодов» лично у меня не внушает доверия и вовсе является не удобной. Советую её отключить. Двигаемся дальше, уважаемые читатели.
Постоянное пользование проверенными устройствами
ВКонтакте позаботились о нервах людей и решили избавить нас от бесконечной проверки на доверенных устройствах. При авторизации у вас будет возможность запомнить данное
устройство и избавить себя от тонны СМС"ок.
Хочу заметить, что в любое время у вас будет возможность "скинуть " авторизацию на всех устройствах и в случае чего зайдя на вашу страницу нужно будет ввести снова (новый) код. Это поможет нам обезопасить себя на новом уровне!
Я тебя по IP вычислю!
Теперь вы будете получать моментальное уведомление о том, что кто-либо пытался зайти на вашу страницу с помощью ввода пары логин&пароль. Соответствующее уведомление будет высвечиваться в традиционном стиле «уведомления ВКонтакте»
Больше информации
Двухфакторная аутентификация предусматривает два этапа входа в аккаунт. Один из них традиционный - ввод логина и пароля.
Второй этап пользователь сможет включить и выбрать по своему усмотрению из трёх вариантов. Первый - уникальный код по SMS, второй - список резервных кодов, каждый из которых действует один раз.
Третий метод заключается в использовании специальных мобильных приложений для генерации кодов, к примеру, Google Authentificator . Чтобы настроить его, нужно просканировать QR-код, указанный в настройках «ВКонтакте», и ввести специальный код подтверждения.
В пресс-релизе «ВКонтакте» отмечается, что для большинства пользователей соцсети двухфакторная аутентификация будет излишней, но аккаунты некоторых категорий - администраторов крупных сообществ и владельцев приложений - становятся мишенями для «охоты».
С новыми мерами безопасности аккаунт пользователя будет защищён от злоумышленников, даже если им удастся завладеть его SIM-картой: для восстановления пароля к странице с включённой двухфакторной аутентификацией понадобится получить доступ к привязанной электронной почте.
Кроме того, пользователи будут видеть всплывающие уведомления обо всех попытках входа. Подробно о двухфакторной аутентификации рассказывается на специальной
Добрый день уважаемые читатели блога сайт, сегодня хочу рассказать, как включить двухфакторную аутентификацию аккаунта ВКонтакте. Это руководство пригодится тем, кто хочет обезопасить свой аккаунт ВКонтакте от несанкционированного доступа.
Двухэтапная аутентификация является одним из самых надежных способов защитить свою учетную запись от взлома, так как для доступа к вашему аккаунту одного пароля будет уже не достаточно, потребуется еще и специальный одноразовый код, который будет высылаться вам на телефонный номер или формироваться при помощи специального приложения на мобильном устройстве.
Потеряв контроль над своей учетной записью ВКонтакте, вы потеряете доступ к своим сообщениям, к альбомам, в которых могут храниться ваши личные фотографии, потеряете доступ к своим видео и аудио записям, а также и другим многочисленным и во многом жизненно необходимым сервисам социальной сети ВКонтакте. Кроме того, злоумышленник сможет рассылать разного рода сообщения от вашего имени
сли вы дорожите своими данными, которые привязаны к вашей учетной записи, то вы должны немедленно включить двухфакторную аутентификацию аккаунта ВКонтакте. Заходим на сайт http://vk.com/ и указываем учетные данные от аккаунта ВКонтакте. Нажимаем на кнопку “Войти”.
Читаем важную информацию о двухфакторной аутентификации и нажимаем на кнопку “Приступить к настройке”.
Указываем пароль от учетной записи ВКонтакте. Нажимаем на кнопку “Подтвердить”.
Для того чтобы убедиться, что именно вы хотите включить двухфакторную аутентификацию аккаунта ВКонтакте, на указанный при регистрации учетной записи телефонный номер будет выслан код подтверждения.
Теперь нужно ввести код подтверждения, полученный на ваш телефонный номер. Нажимаем на кнопку “Отправить код”.
Двухэтапная аутентификация аккаунта ВКонтакте успешно включена. Ставим галочку на пункте “Запомнить текущий браузер” и нажимаем на кнопку “Завершить настройку”.
Вот так вот просто включить двух факторную аутентификацию аккаунта ВКонтакте. Надеюсь статья была для вас полезной, до новых встреч.
Покажу как обезопасить ваш аккаунт вконтакте. Заходим в настройки Вконтакте, далее во вкладку безопасность и включаем двухэтапную аутентификацию вконтакте. Чтобы никто не мог взломать вашу страницу ВКонтакте.
Если у вас еще не подключена двухэтапная аутентификация ВКонтакте, то тут будет предложено включить Подтверждение входа. Обеспечивает надежную защиту от взлома: для входа на страницу следует ввести одноразовый код, полученный по SMS или иным подключенным способом.
Нажимаем Подключить.
Подтверждение входа обеспечивает дополнительный уровень защиты Вашей страницы ВКонтакте. Вы можете защитить свою страницу с помощью мобильного телефона.
Внимание: когда подтверждение входа включено, услуга восстановления пароля по номеру телефона становится недоступной. Поэтому настоятельно рекомендуем привязать к странице актуальный e-mail, указать истинные имя и фамилию и загрузить свои настоящие фотографии в качестве главных, прежде чем продолжить настройку.
Проверка Вас не утомит: для получения доступа к своему аккаунту с нового браузера или устройства достаточно ввести код подтверждения всего один раз.
Даже если злоумышленник узнает Ваш логин, пароль и использованный код подтверждения, он не сможет попасть на Вашу страницу со своего компьютера.
Нажимаем Приступить к настройке.
Для подтверждения действия вам необходимо заново ввести пароль от вашей страницы. Также можете в будущем , чтобы у вас был уникальный адрес страницы.
Вводим свой пароль от вконтакте и нажимаем подтвердить.
Подтверждения действия. Для подтверждения мы вышлем на ваш мобильный телефон бесплатное SMS-сообщение с кодом.
Нажимаем получить код.
Спустя пару секунд на ваш номер на который зарегистрирована ваша страница Вкотнакте придёт код активации.
Вводим то число которое нам пришло в SMS-сообщении и нажимаем отправить код.
Проверка подтверждение входа успешно активирована. Не забудьте распечатать резервные коды. Они позволят вам подтверждать вход, когда у вас нет доступа к телефону, например, в путешествии.
Нажимаем завершить настройку.
В это время на ваш email придет письмо с уведомлением о том, что включена функция подтверждения входа.
Пароли приложений.
К сожалению, некоторые приложения пока не работают с кодами подтверждения. Например, мобильные клиенты iPhone, iPad и Windows Phone.
Для таких приложений необходимо создать специальные пароли. Такой пароль вводится всего один раз для каждого приложения, вам не нужно запоминать его.
Нажимаем справа сверху Закрыть.
Слева сверху в интернет браузере нажимаем Обновить, чтобы обновить страницу.
Теперь нажимаем Показать историю активности.
История активности показывает информацию о том, с каикх устройств и в какое время вы входили на сайт. Если вы подозрреваете, что кто-то получил доступ к вашему профилю, вы можете в любой момент прекратить эту активность.
Здесь отображена вся недавняя активность вашей страницы ВКонтакте и все устройства через которые вы (или не вы) входили в ваш аккаунт вконтакте.
Нажимаем слева снизу Завершить все сеансы, чтобы выйти со всех устройств кроме интернет браузера, в котором мы сейчас.
Все сеансы, кроме текущего, завершены.
Нажимаем Закрыть.
Если вы пользуетесь мобильным приложение Вкотакте на iPhone, iPad или Windows Phone, то вам надо будет вновь войти в него. А если хотите, то можете вообще или .
Вводим ваш email или телефон на который зарегистрирована страница вконтакте и пароль от страницы и нажимаем Go.
В этом время на вашей странице в интернет браузере появится уведомление о том, что произведена попытка входа в ваш аккаунт с такого-то iP.
Это вы вошли с мобильного приложения.
Мобильное приложение ВКонтакте переадресует вас на мобильный интернет браузер и откроет страницу проверка безопасности.
Чтобы подтвердить, что вы действительно являетесь владельцем страницы, пожалуйста, введите код подтверждения из SMS, отправленного на номер +7 и тут ваш номер.
Вводим код подтверждение пришедший нам по SMS и нажимаем отправить код.
Чтобы войти в приложение, используйте для входа специальный пароль.
Запоминать этот пароль не нужно. Скопируйте его и введите вместо своего основного пароля при входе в приложение. Ввести его потребуется только один раз.
Копируем этот одноразовый пароль для входа ВКонтакт.
Нажимаем Вернуться в приложение.
Вводим одноразовый пароль в мобильное приложение ВКонтакте и нажимаем Go.
Выйдя из Вконтакте и набрав свой логин и пароль от страницы вас попросят подтвердить, что вы действительно являетесь владельцем страницы. На ваш номер придёт смс сообщение с кодом, который надо будет ввести.
Другие уроки на сайте по теме ВКонтакте:
Оговорюсь, что перед тем, как приступить к работе над статьей, все свои наблюдения я изложил на HackerOne. Ни один из описанных багов Вконтакте не признали. Но когда перед публикацией статьи я решил сделать подтверждающие скриншоты, оказалось, что один из багов все-таки был исправлен. То, что к моим словам прислушались, не может не радовать. Жаль только, что ребята даже “спасибо” не сказали.
Итак, ошибка №1. Статичный секретный ключ.
Чтобы подключить к своему аккаунту приложение для генерации OTP, пользователь вводит пароль, после чего перед ним открывается страница с секретным ключом, необходимым для выпуска программного токена. Пока все правильно.
Но если по какой-либо причине пользователь не активировал программный токен сразу (например, отвлекся на важный звонок, или просто передумал и вернулся на главную страницу), то когда через некоторое время он все-таки решит получить токен, ему опять предложат тот же секретный ключ.
Усугубляет ситуацию еще и то, что в течение получаса после ввода пароля, даже если вы перешли на главную страницу или вышли из аккаунта, а потом снова вошли, перед показом QR кода с секретом повторно пароль не запрашивается.
Чем это опасно?
Токен Вконтакте, как и любой другой TOTP токен работает по достаточно простому принципу: генерирует одноразовые пароли по алгоритму на основании двух параметров - времени и секретного ключа. Как вы сами понимаете, единственное, что нужно для компрометации второго фактора аутентификации - это знать СЕКРЕТНЫЙ КЛЮЧ.
Подобная уязвимость оставляет злоумышленнику две лазейки:
- Если пользователь отойдет от компьютера, у злоумышленника будет достаточно времени, чтобы скомпрометировать его секретный ключ.
- Завладев паролем пользователя, злоумышленник легко может подсмотреть его секретный ключ наперед.
Решить вопрос элементарно просто. Секретный ключ должен менятся каждый раз после обновления страницы, как это происходит, например, в Facebook.
Ошибка №2. Новый токен после перевыпуска использует тот же секретный ключ.
На момент публикации статьи этот недостаток был устранен.
Ситуация, описанная выше, усугубляется тем, что при повторном выпуске токена, Вконтакте не предложит вам новый секретный ключ. По сути, к вашей странице привязывается 1 секретный ключ и сменить его вы уже не сможете.
Чем это опасно?
Если вы узнали, что ваш секретный ключ скомпрометирован (например, при первом выпуске токена, как описано в первом пункте), двойная аутентификация Вконтакте больше вам не нужна. Смело отключайте второй фактор и подберите пароль посильней. Перевыпустить токен с новым секретом не представляется возможным.
Если Вы потеряли телефон, на котором был установлен токен, можете сделать то же самое. Тот, к кому в руки попал ваш смартфон, сможет спокойно использовать его для входа в ваш аккаунт. Осталось узнать только пароль. При этом вся суть двухфакторной аутентификации теряется. Понятно, что если пользователь заметит дискредитацию своего аккаунта, он может связаться с суппортом, но на это будет потрачено драгоценное время, которого у него может не быть.
Ошибка № 3. Отключение второго фактора без запроса одноразового пароля.
Здесь все понятно из названия. При отключении второго фактора, достаточно ввода пароля, OTP не запрашивается.
Чем это опасно?
Если для отключения двойной аутентификации Вконтакте достаточно только ввода пароля, теряется сама суть двухфакторной аутентификации. А суть двухфакторной аутентификации заключается в том, что недостатки одного фактора перекрываются преимуществами другого. В vk.com это фактор знания (пароль) и фактор владения (телефон). Это было придумано для того, чтобы компрометации одного из факторов не было достаточно для получения доступа к аккаунту. Если у злоумышленника есть ваш пароль, для взлома аккаунта ему не будет хватать одноразового пароля, и наоборот, если он завладел вашим телефоном, то ему нужно будет дополнительно узнать пароль.
Здесь же получается, что достаточно узнать пароль пользователя, чтобы попросту отключить второй фактор аутентификации. По сути, это превращает двухфакторную аутентификацию Вконтакте в однофакторную.
Вконтакте предлагает своим пользователям очень удобную функцию “Снять подтверждение с текущего браузера”. Я уверен, что функция пользуется популярностью и пользователи отключают подтверждение, как минимум, дома, и на работе. Более того, у большинства пользователей пароли сохранены в браузерах, где их можно легко просмотреть и скопировать.
Представим такую ситуацию, ваш коллега решил над вами подшутить. Пока вас не было на рабочем месте, он зашел к вам на компьютер, посмотрел в браузере сохраненные пароли, вошел в VK и отключил 2FA. Теперь он сможет заходить в ваш аккаунт до тех пор, пока вы не заметите перемен, что может произойти совсем не скоро. Вы и раньше не вводили одноразовый пароль на тех устройствах, которыми чаще всего пользуетесь, значит для вас ничего не поменяется. А шутник-коллега получит полный доступ к вашему аккаунту, и никто не знает к чему это может привести.
Если бы не был исправлен баг с перевыпуском токена, когда при повторном выпуске токена секретный ключ не менялся, ситуация могла бы стать еще интересней! Ваш коллега, уже зная пароль, мог бы отключить 2FA, после чего опять подключить двухфакторную аутентификацию, увидел бы при этом секретный ключ, выпустил бы себе токен, идентичный вашему, и мог бы читать ваши сообщения до тех пор, пока жив ваш аккаунт.
Выводы
При подключении двухэтапной аутентификации к аккаунту Вконтакте, появляется памятка, которая гласит “Даже если злоумышленник узнает Ваш логин, пароль и использованный код подтверждения, он не сможет попасть на Вашу страницу со своего компьютера."
К сожалению, выяснилось, что это не совсем правда. При определенных обстоятельствах посторонний сможет узнать чужой токен Вконтакте или даже полностью отключить второй фактор, зная ваш пароль. Жду ваших мнений.
