Как подключить 2fa Вконтакте

Как войти в ВК или восстановить доступ, если включено подтверждение входа (двойная аутентификация)

При включении подтверждения входа (2FA) ВК предупреждал, что к странице должен быть привязан не только телефон, но и адрес электронной почты. Иначе восстановить доступ можно только через заявку с подтверждением личности (для этого необходимо наличие на странице настоящих имени, фамилии, фотографий с лицом) или через пятерых друзей. Обычным способом по СМС — нельзя.

На тот случай, когда знаешь пароль, но нет доступа к телефону, на который ВК отправляет код подтверждения, ты заранее должен был выписать на бумагу резервные коды подтверждения. Об этом ВК также предупреждал.

Если помнишь пароль, но нет доступа к телефону

Нужно войти в ВК, знаю логин и пароль. Требуется ввести код подтверждения входа, отправленный в СМС на привязанный номер телефона, но у меня нет доступа к этому телефону. Что делать?

Варианты решения проблемы:

1. Ввести резервный код с бумажки, куда ты должен был их выписать, когда включал подтверждение входа. ВК предлагал это сделать.
2. Вспомнить, делал ли ты ранее какое-либо устройство доверенным (например, телефон с приложением ВК) или ставил галочку в браузере «Запомнить браузер». На этом устройстве или в этом браузере ВК не будет запрашивать код для входа. Войдя на страницу, при необходимости можно отключить подтверждение входа в настройках (VK Connect → Безопасность и вход), получить резервные коды или поменять привязанный номер.
3. Пойти к своему мобильному оператору с паспортом, восстановить сим-карту с привязанным номером и снова заказать код для входа.
4. Восстановить доступ одним из способов, которые используются при включенном подтверждении входа:
   ВКонтакте: быстрое восстановление пароля недоступно. Почему? Что делать?

Если у тебя было настроено подтверждение не через СМС, а через приложение для генерации кодов (например, Google Authenticator), но сейчас оно потеряно, то из перечисленных вариантов восстановление сим-карты отпадает.

iOS 15: Настройка генератора кодов двухфакторной аутентификации на iPhone

Для входа требуется ввести не только логин и пароль, но и код подтверждения

Что это за технология?

В обычном варианте, для входа в свой аккаунт Вам достаточно ввести комбинацию логин + пароль. А с учетом того, что в качестве логина используется email или телефон, которые люди любят указывать на своей странице в открытом доступе, злоумышленнику остается подобрать только пароль.

И здесь проблемы не заканчиваются. Несмотря на рекомендации по составлению парольной комбинации, люди не особо заморачиваются, и устанавливают их максимально короткими и простыми.

Как итог — каждый день взламывают сотни страниц.

Двухфакторная авторизация добавляет еще один обязательный пункт, без которого войти не получиться. После корректного ввода пароля, вы получаете на свой телефон уникальный код, который тоже нужно ввести в форму. Коды постоянно меняются в случайном порядке, подобрать их крайне сложно.

Как подключить Гугл Аутентификатор к странице ВК ?

Это позволяют свести вероятность взлома практически к нулю. Даже если злоумышленнику удастся узнать Ваш пароль и логин, для входа ему еще нужен будет уникальный код. Без него ничего не получиться.

Если не помнишь пароль

Восстановить доступ по одному лишь СМС в данном случае нельзя. Ведь при двухфакторной аутентификации недопустимо, чтобы можно было войти на страницу, имея только один из двух факторов (доступ к телефону).

Все способы восстановления перечислены здесь:

• ВКонтакте: быстрое восстановление пароля недоступно. Почему? Что делать?

Один из способов восстановления доступа при включенном подтверждении входа

Защищаем аккаунт с помощью приватности

У каждого пользователя ВК есть инструмент приватности. Чтобы он работал, достаточно изменить видимость вашей страницы. Для этого снова открываете пункт «Настройки», выше показали, где их найти. Далее жмите «Приватность» и обращаете внимание на раздел «Кому в Интернете видна моя страница». Эта функция находится внизу настроек.

Из списка выбираете «Только пользователям Вконтакте». Вместе с этим можно сделать закрытый тип профиля, установить какие обновления видят в новостях. Достаточно нажать на кнопку «Открытый» и установить вариант «Закрытый». После этого изменения автоматически сохраняются.

В прочих настройках вы сможете сделать дополнительные параметры приватности:

• какие видят обновления;
• кто может отправлять сообщение, например, только друзья;
• кто видит активность в играх;
• какие люди будут звонить и так далее.

Это основные функции приватного аккаунта в ВК, которые чаще используются.

Если не помнишь пароль, но есть доступ к странице

Если доступ к странице все еще есть, это дает возможность подготовить страницу для восстановления через пятерых друзей (добавить этих друзей, если не хватает) или для восстановления по заявке (указать реальное имя, фамилию, поставить четкое фото с лицом как главное).

Правда, если фото выложено непосредственно перед подачей заявки, ее могут отклонить с комментарием «Нет фотографий достаточной давности» — тогда придется ждать и снова подавать заявку.

Важные действия с аккаунтом — например, смена привязанного номера или отключение подтверждения входа — без знания пароля невозможны.

Как взламывают ВКонтакте?

Одна из моих подруг в социальной сети, Алиса Селезнева, добавила друзей в беседу с просьбой проголосовать за нее в конкурсе по ссылке. На первый взгляд ничего необычного – многие девушки участвуют в разнообразных конкурсах, обещающих разнообразные призы и часто обращаются к своим друзьям с просьбами отдать им свой голос или заветный лайк.

Но в нашем случае взломщик, укравший личность моей подруги, слишком торопился. Он добавил всех друзей из списка контактов взломанного аккаунта в одну беседу. Как часто Вы создаете беседу со всеми-всеми своими друзьями, родственниками, коллегами и соседями?

Жертва взлома репостит ссылку на документ. Группа, разместившая ссылку, явно создана наспех самим взломщиком – нечитабельное название, отсутствие аватарки просто кричит об этом.

При переходе по ссылке открывается офисный документ сервиса Word Online с еще одной ссылкой.

Данная ссылка ведет на простенький сайт, созданный всего неделю назад. На страничке бегло объявляют о розыгрыше дорогого смартфона, а среди конкурсантов Вы действительно видите имя и фамилию своей знакомой.

Кстати, если в поисковой строке вставить любое другое имя, то и имя в списке конкурсантов также изменится.

При нажатии на любую ссылку открывается окно с просьбой авторизоваться в социальной сети ВКонтакте. А вот и настоящая цель злоумышленника. Ненастоящее окно авторизации говорит о том, что настоящая цель этого фишингового сайта – заполучить Ваши логины и пароли для входа.

Данный метод взлома очень и очень простой. Злоумышленник пока еще не пытается в личной беседе уговорить Вас перевести ему немного денег, не договаривается о встрече, попутно прося положить денег на счет телефона для созвона или не пытается получить Ваши личные фотографии для шантажа. Большинство действий происходит автоматически, а в результате на руках у взломщика оказывается база логинов и паролей невнимательных пользователей.

Установите антивирусное обеспечение на пк

Для того чтобы защитить страничку не только от различного взлома и вредоносных программ, которые могут украсть ваши личные данные, установите хорошую антивирусную программу на ваш компьютер. В случае обнаружения вирусов и подозрительных программ, антивирус даст вам об этом знать, и защитить ваш пк.

В данной статье мы рассказали вам, как защитить страницу в вк от взлома. Следуйте нашим рекомендациям, создайте надежный пароль, включите двухфакторную защиту, и никогда не переходите по подозрительным ссылкам, и тогда вероятность того, что ваш профиль взломают и украдут личные данные, будет минимальной.

Как включить подтверждение входа в вк

В верхнем меню в правом углу нажимаем на кнопочку со своей миниатюркой и из выпавшего списка выбираем пункт «Настройки»:

На следующем этапе переходим во вкладку «Безопасность». В самом верху находим раздел «Подтверждение входа» и нажимаем на кнопочку «Подключить»:

Далее нам предоставляется целая петиция про подтверждение пароля с помощью мобильного телефона. Пишут, как это хорошо для вас и как плохо для злоумышленников. Также предупреждают о том, что если включить данную функцию, то восстановление пароля по номеру телефона станет недоступным, в связи с чем нам предлагают привязать актуальную почту и указать все правдивые данные на странице. Чтобы ее потом с легкостью можно было восстановить. (Как восстановить страницу вконтакте).

Мы все это читаем и нажимаем на кнопку «Приступить к настройке»

Выскакивает всплывающее окошко, в котором нам необходимо ввести пароль от странички и нажать на кнопку «Подтвердить»:

Далее нам предлагают подтвердить наши действия через телефон. Нажимаем на кнопочку «Получить код»:

Вводим код подтверждения, который должен был прийти к нам на телефон, и жмем на кнопочку «Отправить код»:

Выскакивает следующее окошко, в котором нам пишут про резервные коды и просят, чтобы мы не забыли их распечатать.

Резервные коды – список из 10 кодов доступа. Это постоянные цифры, они не меняются и могут пригодиться, если вы захотите зайти на страничку, а телефон в это время будет недоступен. Вы сможете ввести один из таких кодов и попасть на страничку. Поэтому так и важно распечатать этот список и иметь его при себе.

Жмем на кнопочку «Завершить настройку»:

Резервные коды можно посмотреть в том же разделе «Безопасность». Находим словосочетание «Резервные коды» и напротив него нажимаем на ссылку «Показать список» возле него.

Активация, настройка и отключение двухфакторной аутентификации ВКонтакте

Социальная сеть «Вконтакте» не только позволяет общаться, создавать группы по интересам и вести прямые эфиры, но и продавать товары, переводить деньги, зарабатывать на рекламе. Поэтому аккаунт должен быть защищен максимально надежно. Для этого существует двухфакторная аутентификация: сейчас мы расскажем, как её включить и настроить, а также отключить при необходимости.

Как узнать резервный пин код для активации телефона LG

Если телефон требует от пользователя ввести резервный пин код, искать его необходимо в гарантийном чеке. Если после покупки чек был утерян или вы намеренно выкинули его, восстановить такой код будет невозможно. Самым надежным методом подобной разблокировки, будет обращение к мастерам сервисного центра LG , однако есть и альтернативные методы, доступные каждому человеку.

Если у вас нет времени или желания отправлять свой смартфон в мастерскую, воспользуйтесь одним из приведенных ниже советов, однако мы не даем гарантии, что они помогут восстановить работу устройства, при этом сохранив все пользовательские настройки и файлы.

• Сброс настроек к заводским;
• Звонок с другого телефона;
• Переустановка операционной системы;

Самый популярный и рабочий метод, позволяющий снять любую блокировку телефона, это полный сброс настроек к заводским. Единственный минус такого метода в том, что при этом удаляются все файлы и папки владельца, то есть это необходимо учитывать, собираясь осуществить Hard Reset на своем гаджете.

Выключите телефон и включите его, зажав одновременно клавишу громкости и кнопку включения. Держите кнопки до тех пор, пока все активные кнопки устройства не подсветятся, после чего громкость необходимо отпустить и нажать на кнопку с изображением домика. Сразу после этого, если конечно все сделано правильно, на экране вы увидите процесс форматирования и восстановления, после чего ваш телефон будет полностью очищен, в том числе и от паролей.

Для чего нужна защита данных соцсети ВКонтакте

Несмотря на высокий уровень защищенности социальной сети, нередко у пользователей могут возникнуть проблемы в ходе использования своего аккаунта. Это может быть взлом и спамная рассылка, заморозка, блокировка доступа со стороны администрации по подозрению в несанкционированной деятельности.

Внести нужные параметры поможет меню настроек

Когда вы знаете, что стали жертвой мошенников, уже мало что можно сделать. Но лучше заблаговременно позаботиться о своей безопасности в Интернете и предпринять все меры для защиты социальной странички.

Источник: fototv24.ru

Двойная аутентификация Вконтакте — секс или имитация?

Всем привет! Недавно решил протестировать аппаратный OTP токен с возможностью перепрошивки по NFC, подключив его к своей учетке в vk.com. При этом наткнулся на недоработки в системе двухфакторной аутентификации Вконтакте, которые показались мне довольно существенными. Хочу поделиться своими наблюдениями с вами, так как в самом VK ошибок не признали. Возможно, я немного параноик?

Интересно, что скажете вы, хабровчане.

Оговорюсь, что перед тем, как приступить к работе над статьей, все свои наблюдения я изложил на HackerOne. Ни один из описанных багов Вконтакте не признали. Но когда перед публикацией статьи я решил сделать подтверждающие скриншоты, оказалось, что один из багов все-таки был исправлен. То, что к моим словам прислушались, не может не радовать. Жаль только, что ребята даже “спасибо” не сказали.

Итак, ошибка №1. Статичный секретный ключ.

Чтобы подключить к своему аккаунту приложение для генерации OTP, пользователь вводит пароль, после чего перед ним открывается страница с секретным ключом, необходимым для выпуска программного токена. Пока все правильно.

Но если по какой-либо причине пользователь не активировал программный токен сразу (например, отвлекся на важный звонок, или просто передумал и вернулся на главную страницу), то когда через некоторое время он все-таки решит получить токен, ему опять предложат тот же секретный ключ.

Усугубляет ситуацию еще и то, что в течение получаса после ввода пароля, даже если вы перешли на главную страницу или вышли из аккаунта, а потом снова вошли, перед показом QR кода с секретом повторно пароль не запрашивается.

Чем это опасно?

Токен Вконтакте, как и любой другой TOTP токен работает по достаточно простому принципу: генерирует одноразовые пароли по алгоритму на основании двух параметров — времени и секретного ключа. Как вы сами понимаете, единственное, что нужно для компрометации второго фактора аутентификации — это знать СЕКРЕТНЫЙ КЛЮЧ.

Подобная уязвимость оставляет злоумышленнику две лазейки:

1. Если пользователь отойдет от компьютера, у злоумышленника будет достаточно времени, чтобы скомпрометировать его секретный ключ.
2. Завладев паролем пользователя, злоумышленник легко может подсмотреть его секретный ключ наперед.

Решить вопрос элементарно просто. Секретный ключ должен менятся каждый раз после обновления страницы, как это происходит, например, в Facebook.

Ошибка №2. Новый токен после перевыпуска использует тот же секретный ключ.

На момент публикации статьи этот недостаток был устранен.

Ситуация, описанная выше, усугубляется тем, что при повторном выпуске токена, Вконтакте не предложит вам новый секретный ключ. По сути, к вашей странице привязывается 1 секретный ключ и сменить его вы уже не сможете.

Чем это опасно?

Если вы узнали, что ваш секретный ключ скомпрометирован (например, при первом выпуске токена, как описано в первом пункте), двойная аутентификация Вконтакте больше вам не нужна. Смело отключайте второй фактор и подберите пароль посильней. Перевыпустить токен с новым секретом не представляется возможным.

Если Вы потеряли телефон, на котором был установлен токен, можете сделать то же самое. Тот, к кому в руки попал ваш смартфон, сможет спокойно использовать его для входа в ваш аккаунт. Осталось узнать только пароль. При этом вся суть двухфакторной аутентификации теряется. Понятно, что если пользователь заметит дискредитацию своего аккаунта, он может связаться с суппортом, но на это будет потрачено драгоценное время, которого у него может не быть.

Ошибка № 3. Отключение второго фактора без запроса одноразового пароля.

Здесь все понятно из названия. При отключении второго фактора, достаточно ввода пароля, OTP не запрашивается.

Чем это опасно?

Если для отключения двойной аутентификации Вконтакте достаточно только ввода пароля, теряется сама суть двухфакторной аутентификации. А суть двухфакторной аутентификации заключается в том, что недостатки одного фактора перекрываются преимуществами другого. В vk.com это фактор знания (пароль) и фактор владения (телефон). Это было придумано для того, чтобы компрометации одного из факторов не было достаточно для получения доступа к аккаунту. Если у злоумышленника есть ваш пароль, для взлома аккаунта ему не будет хватать одноразового пароля, и наоборот, если он завладел вашим телефоном, то ему нужно будет дополнительно узнать пароль.

Здесь же получается, что достаточно узнать пароль пользователя, чтобы попросту отключить второй фактор аутентификации. По сути, это превращает двухфакторную аутентификацию Вконтакте в однофакторную.

Вконтакте предлагает своим пользователям очень удобную функцию “Снять подтверждение с текущего браузера”. Я уверен, что функция пользуется популярностью и пользователи отключают подтверждение, как минимум, дома, и на работе. Более того, у большинства пользователей пароли сохранены в браузерах, где их можно легко просмотреть и скопировать.

Представим такую ситуацию, ваш коллега решил над вами подшутить. Пока вас не было на рабочем месте, он зашел к вам на компьютер, посмотрел в браузере сохраненные пароли, вошел в VK и отключил 2FA. Теперь он сможет заходить в ваш аккаунт до тех пор, пока вы не заметите перемен, что может произойти совсем не скоро. Вы и раньше не вводили одноразовый пароль на тех устройствах, которыми чаще всего пользуетесь, значит для вас ничего не поменяется. А шутник-коллега получит полный доступ к вашему аккаунту, и никто не знает к чему это может привести.

Если бы не был исправлен баг с перевыпуском токена, когда при повторном выпуске токена секретный ключ не менялся, ситуация могла бы стать еще интересней! Ваш коллега, уже зная пароль, мог бы отключить 2FA, после чего опять подключить двухфакторную аутентификацию, увидел бы при этом секретный ключ, выпустил бы себе токен, идентичный вашему, и мог бы читать ваши сообщения до тех пор, пока жив ваш аккаунт.

Выводы

При подключении двухэтапной аутентификации к аккаунту Вконтакте, появляется памятка, которая гласит “Даже если злоумышленник узнает Ваш логин, пароль и использованный код подтверждения, он не сможет попасть на Вашу страницу со своего компьютера.»

К сожалению, выяснилось, что это не совсем правда. При определенных обстоятельствах посторонний сможет узнать чужой токен Вконтакте или даже полностью отключить второй фактор, зная ваш пароль. Жду ваших мнений.

• вконтакте
• vk
• vk.com
• аутентификация
• двухфакторная аутентификация
• двухэтапная аутентификация
• 2fa
• информационная безопасность
• иб
• защита данных
• защита персональных данных
• аутентификация пользователя
• токены
• одноразовые пароли
• otp

Источник: habr.com