چگونه با استفاده از احراز هویت دو مرحله ای از حساب VKontakte خود محافظت کنید. احراز هویت دوگانه Vkontakte - جنسیت یا تقلید

قبلاً در مورد هک صفحه VKontakte صحبت کرده ایم (نگاه کنید به). مهاجمان می توانند ورود شما را پیدا کنند و رمز عبور شما را حدس بزنند (نگاه کنید به). و سپس آنها می توانند از صفحه شما بازدید کنند.

برای جلوگیری از این اتفاق، VKontakte یک اقدام امنیتی اضافی - مجوز دوگانه (دو عاملی) را معرفی کرد. معنی این تابع این است که پس از معرفی، باید کد مخفی دریافت شده از طریق پیامک یا غیره را نیز مشخص کنید. بنابراین احتمال هک شدن به میزان قابل توجهی کاهش می یابد. حتی اگر مهاجمان اعتبار شما را بدانند، کد ورود به صفحه را نخواهند داشت.

حالا من به شما نشان خواهم داد نحوه فعال کردن مجوز دوگانه در VKontakte و راه اندازی برنامه ای برای تولید کدها.

چگونه احراز هویت دو مرحله ای VKontakte را فعال کنیم؟

ما به صفحه خود می رویم و به بخش "تنظیمات" می رویم.

برگه "امنیت" را باز کنید. اینجا در بخش "تایید ورود"، دکمه "اتصال" را فشار دهید.

یک فرم باز می شود - روی دکمه کلیک کنید "شروع راه اندازی".

از شما خواسته می شود که رمز عبور صفحه را دوباره وارد کنید (نگاه کنید به). این کار را انجام دهید و روی دکمه "تأیید" کلیک کنید.

کد را روی گوشی خود دریافت کرده و در فرم وارد کنید. سپس روی دکمه ارسال کد کلیک کنید.

راه اندازی برنامه برای تولید کدها

مرحله بعدی راه اندازی اپلیکیشن برای تولید کد است. از شما خواسته می شود برنامه ای را نصب کنید که به شما امکان می دهد کدهای ورود را حتی بدون اتصال به شبکه تلفن همراه ایجاد کنید.

استفاده کنید Google Authenticatorبرای گوشی های هوشمند آیفون و اندروید. و احراز هویت- برای گوشی های ویندوز فون. برنامه مناسب را روی گجت خود نصب کنید.

پنجره با کد QR و کد مخفی در VK به این صورت است.

حالا اپلیکیشن نصب شده را اجرا کنید و کد مشخص شده را اسکن کنید.

حالا کد دریافتی را از اپلیکیشن پیست کرده و روی دکمه "تأیید" کلیک کنید.

برنامه تولید کد با موفقیت پیکربندی شد!

به تب Security منتقل خواهید شد. اکنون در اینجا می توانید عملیات زیر را انجام دهید.

• تغییر شماره تلفن (نگاه کنید به)؛
• نمایش لیستی از کدهای پشتیبان؛
• یک برنامه کاربردی برای تولید کدها راه اندازی کنید.
• تنظیم رمزهای عبور برنامه؛
• احراز هویت دو مرحله ای VKontakte را غیرفعال کنید.

درس ویدیویی: مجوز دو عاملی VKontakte

نتیجه

قبلاً در مورد هک صفحه VKontakte صحبت کرده ایم (به نحوه هک کردن صفحه VKontakte مراجعه کنید). مهاجمان می توانند ورود شما را پیدا کنند و رمز عبور را حدس بزنند (نگاه کنید به نحوه پیدا کردن رمز عبور با دانستن ورود VKontakte). و سپس آنها می توانند از صفحه شما بازدید کنند.

برای جلوگیری از این اتفاق، VKontakte یک اقدام امنیتی اضافی - مجوز دوگانه (دو عاملی) را معرفی کرد. منظور از این تابع این است که پس از وارد کردن لاگین و رمز عبور، باید کد مخفی دریافت شده از طریق پیامک یا غیره را نیز مشخص کنید. بنابراین احتمال هک شدن به میزان قابل توجهی کاهش می یابد. حتی اگر مهاجمان اعتبار شما را بدانند، کد ورود به صفحه را نخواهند داشت.

اکنون به شما نشان خواهم داد که چگونه مجوز دوگانه را در VKontakte فعال کنید و یک برنامه برای تولید کدها راه اندازی کنید.

چگونه احراز هویت دو مرحله ای VKontakte را فعال کنیم؟

ما به صفحه خود می رویم و به بخش "تنظیمات" می رویم.

برگه "امنیت" را باز کنید. در اینجا در بخش "تایید ورود"، روی دکمه "اتصال" کلیک کنید.

یک فرم باز می شود - در آن، روی دکمه "Proceed to setup" کلیک کنید.

از شما خواسته می شود که رمز عبور صفحه را دوباره وارد کنید (به نحوه تغییر رمز عبور در مخاطب مراجعه کنید). این کار را انجام دهید و روی دکمه "تأیید" کلیک کنید.

کد را روی گوشی خود دریافت کرده و در فرم وارد کنید. سپس روی دکمه «ارسال کد» کلیک کنید.

راه اندازی برنامه برای تولید کدها

مرحله بعدی این است که برنامه را برای تولید کدها تنظیم کنید. از شما خواسته می شود برنامه ای را نصب کنید که به شما امکان می دهد کدهای ورود را حتی بدون اتصال به شبکه تلفن همراه ایجاد کنید.

از Google Authenticator برای گوشی های هوشمند آیفون و اندروید استفاده کنید. و Authenticator - برای تلفن های موجود در ویندوز فون. برنامه مناسب را روی گجت خود نصب کنید.

پنجره با کد QR و کد مخفی در VK به این صورت است.

حالا اپلیکیشن نصب شده را اجرا کنید و کد مشخص شده را اسکن کنید.

حالا کد دریافتی را از اپلیکیشن پیست کرده و روی دکمه "تأیید" کلیک کنید.

برنامه تولید کد با موفقیت پیکربندی شد!

شما به تب "امنیت" منتقل خواهید شد. اکنون در اینجا می توانید عملیات زیر را انجام دهید.

• تغییر شماره تلفن (نگاه کنید به نحوه باز کردن شماره از یک صفحه در VK)؛
• نمایش لیستی از کدهای پشتیبان؛
• یک برنامه کاربردی برای تولید کدها راه اندازی کنید.
• تنظیم رمزهای عبور برنامه؛
• احراز هویت دو مرحله ای VKontakte را غیرفعال کنید.

درس ویدیویی: مجوز دو عاملی VKontakte

در تماس با

همکلاسی ها

(1 عضو، میانگین امتیاز: 5.00 از 5) در حال بارگذاری...

vksetup.ru

تایید ورود VKontakte

بنابراین، به روز رسانی بعدی تابع "تایید ورود" بود و امروز به بررسی کامل آن خواهیم پرداخت. ما به شما خواهیم گفت که چگونه کار می کند، چگونه آن را فعال کنید، آن را پیکربندی یا غیرفعال کنید.

هر کاربر ثبت نام شده می خواهد اطلاعات شخصی خود را که در ورودی استفاده می شود حفظ کند، نمی خواهد اسناد شخصی او (عکس، مکاتبات و غیره) عمومی شود. به همین دلیل است که توسعه دهندگان شبکه اجتماعی تمام تلاش خود را می کنند تا از این اتفاق جلوگیری کنند.

تایید ورود چیست؟

تأیید ورود، سطح بیشتری از محافظت را برای صفحه VKontakte شما در برابر هک فراهم می کند. هنگام استفاده از این عملکرد برای ورود به صفحه، از مرورگرها و دستگاه های ثبت نشده، علاوه بر رمز عبور، باید یک کد امنیتی نیز وارد کنید.

کد را می توان با استفاده از تلفن لینک شده به صفحه خود دریافت کرد.

توجه! وقتی تأیید ورود فعال باشد، سرویس بازیابی رمز عبور از طریق شماره تلفن در دسترس نیست. بنابراین، اکیداً توصیه می کنیم قبل از ادامه تنظیمات، یک ایمیل معتبر را به صفحه پیوند دهید، نام و نام خانوادگی واقعی خود را وارد کنید و عکس های واقعی خود را به عنوان عکس های اصلی آپلود کنید.

نحوه اتصال تایید ورود به VK

برای فعال کردن این گزینه، باید به منوی "تنظیمات" بروید و در آنجا، در تب "عمومی"، بخش "امنیت صفحه خود" را پیدا کنید.

با کلیک بر روی دکمه "اتصال"، یک پنجره سیستم در مقابل شما باز می شود که باید روی "برو به تنظیمات" کلیک کنید. در مرحله بعد، سیستم از شما می خواهد تا با وارد کردن رمز عبور، اقدام خود را تأیید کنید:

با وارد کردن رمز عبور و کلیک بر روی دکمه "تایید"، این گزینه را اجرا می کنید. اما فراموش نکنید که پس از اتصال آن، یک شماره موبایل برای بازیابی رمز عبور کافی نخواهد بود. ارائه درخواست برای بررسی توسط ناظران ضروری است.

اگر سؤالی دارید - آنها را در فروم vk.com بپرسید و مدیران ما در اسرع وقت به شما پاسخ خواهند داد!

تایید ورود VKontakte، 4.8 از 5 بر اساس 4 رتبه بندی

socialnie-seti.info

چگونه تایید ورود را دور بزنیم؟ - در تماس با

من به یک اکانت خراب برای هرزنامه رفتم - و در آنجا کد نیاز دارد

چگونه به اطراف بروید

پروکسی و غیره غلت نزن

بابا همینطور

یا در حال حاضر است؟ مغازه بسته؟

یا در همه حساب ها نیست

تست شده 5 - از همه جا بیرون آمدم

چطوری میخوای دور بزنی؟ این دفاع توسط توسعه دهندگان توسعه داده شده است، همه چیز در آنجا ضبط می شود.

از هرزنامه استفاده کنید که از طریق API کار می کند

بله، من به قلم عادت دارم

خیلی قابل اعتماد

راه دور نیست

ارزان ترین کپچا → + فرصتی برای کسب درآمد با وارد کردن کپچا

راه دور نیست

اما من تعجب می کنم که اکنون فروشگاه های حساب ها چگونه خواهند بود)

از هرزنامه استفاده کنید که از طریق API کار می کند

آیا می توانید به من بگویید بررسی کننده حساب که از طریق API کار می کند؟

apidog.ru کمک نمی کند؟ (تبلیغ نشده)

apidog.ru کمک نمی کند؟ (تبلیغ نشده)

پومگ ممنون) لالکا را بگیر

مخصوصا برای افرادی مثل شما که امنیت بالایی را ایجاد کرده اید

پروکسی دقیقا همان کشور؟

بله، و حتی ددیک استفاده کرد

برای کار در VK و سایر شبکه های اجتماعی، فقط از پراکسی های منحصر به فرد ipv.4 از زیرشبکه های مختلف استفاده کنید. اینها را اینجا برای خودم می گیرم: لینک + کیفیت بسیار بالا (الیت)، یک دست و هزینه آن مقرون به صرفه است

آیا این نوع مبارزه با تقلبی است؟

با سرقت حساب

بد است اگر شروع به معرفی چنین موضوعی کنند ((

zismo.biz

مجوز مضاعف یا امنیت صفحه VK

در سال 2014، شبکه اجتماعی VKontakte احراز هویت دو مرحله ای را معرفی کرد. این چیه؟ این یک ابزار امنیتی اضافی است - علاوه بر مجوز با استفاده از ورود و رمز عبور، باید کدی را وارد کنید که به شماره تلفن مرتبط با حساب شما ارسال می شود. حتی اگر یک مهاجم اطلاعاتی از صفحه شما داشته باشد، نمی تواند وارد آن شود.

چگونه احراز هویت دو مرحله ای را فعال کنیم؟

روی "تنظیمات من" کلیک کنید و برگه "امنیت" را انتخاب کنید. در اینجا زیر بخش "تأیید ورود" و کتیبه را مشاهده خواهید کرد: "محافظت قابل اعتماد در برابر هک کردن را ارائه می دهد: برای ورود به صفحه، باید یک کد یک بار دریافت شده توسط پیامک یا به روش متصل دیگری وارد کنید." بر روی دکمه "اتصال" کلیک کنید.

پنجره ای ظاهر می شود که برخی از موقعیت ها را توصیف می کند. برای مثال، اگر احراز هویت دو مرحله‌ای فعال باشد، بازیابی رمز عبور بر اساس شماره غیرقابل دسترس می‌شود و دولت اکیداً توصیه می‌کند که یک آدرس ایمیل معتبر را به صفحه مرتبط کنید. اگر همه چیز برای شما مناسب است، روی دکمه "Proceed to setup" کلیک کنید.

رمز عبور صفحه را وارد کنید.

کد تایید را وارد کنید و روی "ارسال کد" کلیک کنید.

تابع فعال است. در کنار آیتم «به یاد داشته باشید مرورگر فعلی» یک علامت بزنید تا هر بار کد را در این رایانه وارد نکنید، سپس روی دکمه «پایان تنظیمات» کلیک کنید.

چگونه احراز هویت دو مرحله ای را غیرفعال کنیم؟

همه در همان بخش "امنیت"، روی دکمه "غیرفعال کردن تایید ورود" کلیک کنید.

رمز عبور صفحه را وارد کنید.

امروز ما در مورد یکی از موثرترین روش ها برای محافظت از صفحه Vkontakte صحبت خواهیم کرد. ما مجوز را در سایت به گونه ای تنظیم می کنیم که تا زمانی که کد دریافتی از پیامک ارسال شده به شماره تلفن شما را که به حساب شما پیوند داده شده است وارد نکنید، دسترسی به صفحه شما ممکن نخواهد بود. یعنی همه چیز به همان شکلی اتفاق می افتد که شما از بانکداری اینترنتی استفاده می کنید.

بنابراین، قبل از شروع به تنظیم چیزی، مطمئن شوید که شماره فعلی به صفحه VK شما متصل است و قصد تغییر آن را ندارید. .

عملکرد بسیار مفید است، اگر برای صفحه خود می ترسید، اقدامات انجام شده گاهی اوقات امنیت آن را افزایش می دهد.
بیایید به تمرین بپردازیم

نحوه فعال کردن تایید ورود به سیستم VK

در منوی بالا در گوشه سمت راست، روی دکمه با تصویر کوچک خود کلیک کنید و مورد "تنظیمات" را از لیست کشویی انتخاب کنید:

مرحله بعدی این است که به برگه "امنیت" بروید. در بالای صفحه، بخش "تأیید ورود" را پیدا می کنیم و روی دکمه "اتصال" کلیک می کنیم:

در مرحله بعد، یک دادخواست کامل در مورد تأیید رمز عبور با استفاده از تلفن همراه به ما داده می شود. می نویسند چقدر برای شما خوب است و چقدر برای مهاجمان بد. آنها همچنین هشدار می دهند که اگر این عملکرد را فعال کنید، بازیابی رمز عبور از طریق شماره تلفن در دسترس نخواهد بود، در رابطه با آن به ما پیشنهاد می شود ایمیل فعلی را پیوند دهیم و تمام داده های واقعی را در صفحه نشان دهیم. به طوری که بعداً بتوان آن را به راحتی بازیابی کرد. ().

همه اینها را می خوانیم و روی دکمه "ادامه به تنظیمات" کلیک می کنیم.

یک پنجره پاپ آپ ظاهر می شود که در آن باید رمز عبور را از صفحه وارد کرده و روی دکمه "تأیید" کلیک کنید:

کد تاییدی را که باید به گوشی ما می آمد را وارد می کنیم و روی دکمه "ارسال کد" کلیک می کنیم:

پنجره بعدی باز می شود که در آن درباره کدهای پشتیبان برای ما می نویسند و از ما می خواهند که چاپ آنها را فراموش نکنیم.

کدهای پشتیبان - لیستی از 10 کد دسترسی. این اعداد ثابت هستند، تغییر نمی کنند و اگر بخواهید به صفحه بروید می توانند مفید باشند و گوشی در آن زمان در دسترس نخواهد بود. می توانید یکی از این کدها را وارد کرده و وارد صفحه شوید. بنابراین، چاپ این لیست و همراه داشتن آن بسیار مهم است.

بر روی دکمه "پایان تنظیمات" کلیک کنید:

کدهای پشتیبان را می توان در همان بخش "امنیت" مشاهده کرد. عبارت Backup Codes را پیدا می کنیم و در مقابل آن روی لینک Show list کنار آن کلیک می کنیم.

همه چیز، عملکرد غیرفعال است، ما کار را تکمیل کرده ایم.

و بر این اساس من این مقاله را به پایان می برم، امیدوارم دانش به دست آمده برای شما مفید بوده باشد و آن را پیاده سازی کرده باشید و از این طریق حساب Vkontakte خود را ایمن کنید.

من رزرو می کنم که قبل از شروع کار بر روی مقاله، تمام مشاهدات خود را در HackerOne ارائه کردم. هیچ یک از اشکالات توصیف شده توسط Vkontakte شناسایی نشد. اما زمانی که تصمیم گرفتم قبل از انتشار مقاله اسکرین شات های تأییدکننده بگیرم، مشخص شد که یکی از اشکالات بالاخره برطرف شده است. این واقعیت که آنها به سخنان من گوش دادند نمی تواند خوشحال شود. تنها حیف این است که بچه ها حتی "متشکرم" هم نگفتند.

بنابراین، اشتباه شماره 1. کلید مخفی استاتیک

برای اتصال یک اپلیکیشن تولید OTP به حساب کاربری خود، کاربر رمز عبور را وارد می کند و پس از آن صفحه ای با کلید مخفی در مقابل او باز می شود که برای صدور توکن نرم افزاری ضروری است. تا زمانی که همه چیز درست باشد.

اما اگر کاربر به دلایلی فورا توکن نرم افزار را فعال نکرد (مثلاً با یک تماس مهم حواسش پرت شد، یا به سادگی نظر خود را تغییر داد و به صفحه اصلی بازگشت)، پس از مدتی همچنان تصمیم به دریافت نشانه، دوباره همان کلید مخفی به او پیشنهاد می شود.

این وضعیت همچنین بدتر از این است که در عرض نیم ساعت پس از وارد کردن رمز عبور، حتی اگر به صفحه اصلی بروید یا از حساب خود خارج شده باشید و سپس دوباره وارد شوید، قبل از نمایش کد QR با رمز عبور دوباره درخواست نمی شود. راز.

چرا خطرناک است؟

توکن Vkontakte، مانند هر نشانه TOTP دیگری، طبق یک اصل نسبتا ساده کار می کند: رمزهای عبور یک بار مصرف را طبق الگوریتمی بر اساس دو پارامتر - زمان و یک کلید مخفی تولید می کند. همانطور که می دانید، تنها چیزی که برای به خطر انداختن فاکتور دوم احراز هویت نیاز است، دانستن کلید SECRET است.

چنین آسیب پذیری مهاجم را با دو حفره روبرو می کند:

1. اگر کاربر از رایانه دور شود، مهاجم زمان کافی برای به خطر انداختن کلید خصوصی خود خواهد داشت.
2. مهاجم با در اختیار داشتن رمز عبور کاربر، به راحتی می تواند از قبل کلید مخفی او را جاسوسی کند.

حل مسئله ساده است. همانطور که برای مثال در فیس بوک اتفاق می افتد، هر بار که صفحه به روز می شود، کلید مخفی باید تغییر کند.

اشتباه شماره 2 توکن جدید پس از انتشار مجدد از همان کلید مخفی استفاده می کند.

در زمان انتشار مقاله این نقص برطرف شده است.

وضعیتی که در بالا توضیح داده شد با این واقعیت تشدید می شود که وقتی توکن دوباره منتشر می شود، Vkontakte کلید مخفی جدیدی را به شما ارائه نمی دهد. در واقع، 1 کلید مخفی به صفحه شما گره خورده است و دیگر نمی توانید آن را تغییر دهید.

چرا خطرناک است؟

اگر متوجه شدید که کلید مخفی شما به خطر افتاده است (مثلاً هنگامی که برای اولین بار یک توکن صادر می کنید، همانطور که در پاراگراف اول توضیح داده شد)، دیگر نیازی به احراز هویت مضاعف در Vkontakte ندارید. با خیال راحت فاکتور دوم را غیرفعال کنید و رمز عبور قوی تری انتخاب کنید. امکان انتشار مجدد توکن با راز جدید وجود ندارد.

اگر تلفنی را که توکن روی آن نصب شده گم کرده اید، می توانید همین کار را انجام دهید. هر کسی که گوشی هوشمند شما را در دست داشته باشد می تواند با خیال راحت از آن برای ورود به حساب کاربری شما استفاده کند. باقی مانده است که فقط رمز عبور را پیدا کنید. در این حالت، کل ماهیت احراز هویت دو عاملی از بین می رود. واضح است که اگر کاربر متوجه بی اعتبار شدن حساب خود شود، می تواند با پشتیبانی تماس بگیرد، اما این باعث اتلاف وقت گرانبها می شود که ممکن است نداشته باشد.

اشتباه شماره 3. غیرفعال کردن عامل دوم بدون درخواست رمز یکبار مصرف.

در اینجا همه چیز از نام مشخص است. وقتی فاکتور دوم غیرفعال است، کافی است یک رمز عبور وارد کنید، OTP درخواست نمی شود.

چرا خطرناک است؟

اگر فقط وارد کردن رمز عبور برای غیرفعال کردن احراز هویت دوگانه در Vkontakte کافی باشد، ماهیت احراز هویت دو مرحله ای از بین می رود. و ماهیت احراز هویت دو عاملی این است که معایب یک عامل با مزایای عامل دیگر همپوشانی دارد. در vk.com فاکتور دانش (رمز عبور) و عامل مالکیت (تلفن) است. این برای اطمینان از اینکه به خطر انداختن یکی از عوامل برای دسترسی به حساب کافی نیست طراحی شده است. اگر مهاجمی رمز عبور شما را داشته باشد، رمز عبور یکبار مصرف کافی برای هک کردن حساب شما را نخواهد داشت و بالعکس، اگر گوشی شما را در اختیار گرفت، باید رمز عبور را نیز پیدا کند.

در اینجا معلوم می شود که کافی است رمز عبور کاربر را بدانید تا به سادگی فاکتور دوم احراز هویت را غیرفعال کنید. در واقع، این امر احراز هویت دو مرحله ای Vkontakte را به احراز هویت یک مرحله ای تبدیل می کند.

Vkontakte به کاربران خود عملکرد بسیار راحت "حذف تایید از مرورگر فعلی" را ارائه می دهد. من مطمئن هستم که این ویژگی محبوب است و کاربران حداقل در خانه و محل کار تأیید را خاموش می کنند. علاوه بر این، اکثر کاربران رمزهای عبور خود را در مرورگر خود ذخیره می کنند، جایی که می توان آنها را به راحتی مشاهده و کپی کرد.

این وضعیت را تصور کنید، همکارتان تصمیم گرفت با شما حقه بازی کند. هنگامی که شما از محل کار خود دور بودید، او به رایانه شما رفت، رمزهای عبور ذخیره شده در مرورگر را مشاهده کرد، به VK وارد شد و 2FA را خاموش کرد. حالا او تا زمانی که متوجه تغییری نشوید می تواند وارد حساب کاربری شما شود که ممکن است به این زودی اتفاق نیفتد. قبلاً در دستگاه هایی که اغلب استفاده می کنید رمز عبور یک بار مصرف وارد نکرده اید، بنابراین هیچ چیز برای شما تغییر نخواهد کرد. و یک جوکر همکار به حساب شما دسترسی کامل خواهد داشت و هیچ کس نمی داند که این می تواند به چه چیزی منجر شود.

اگر باگ انتشار مجدد توکن برطرف نشده بود، زمانی که کلید مخفی هنگام انتشار مجدد توکن تغییر نمی کرد، وضعیت می توانست جالب تر شود! همکار شما که از قبل رمز عبور را می‌دانست، می‌تواند 2FA را خاموش کند، سپس احراز هویت دو مرحله‌ای را دوباره روشن کند، کلید مخفی را ببیند، رمزی مشابه رمز شما صادر کند و تا زمانی که حساب شما زنده است می‌تواند پیام‌های شما را بخواند.

نتیجه گیری

وقتی احراز هویت دو مرحله‌ای را به حساب Vkontakte خود متصل می‌کنید، یادداشتی ظاهر می‌شود که می‌گوید «حتی اگر مهاجمی لاگین، رمز عبور و کد تأیید استفاده‌شده شما را پیدا کند، نمی‌تواند از رایانه‌اش به صفحه شما برسد».

متأسفانه معلوم شد که این کاملاً درست نیست. تحت شرایط خاص، یک فرد خارجی با دانستن رمز عبور شما می تواند توکن Vkontakte شخص دیگری را تشخیص دهد یا حتی عامل دوم را کاملاً غیرفعال کند. منتظر نظرات شما هستم