Već smo razgovarali o hakiranju stranice VKontakte (vidi). Napadači mogu saznati vašu prijavu i pogoditi vašu lozinku (pogledajte). I tada će moći posjetiti vašu stranicu.
Kako bi spriječio da se to dogodi, VKontakte je uveo dodatnu sigurnosnu mjeru - dvostruku autorizaciju (dva faktora). Značenje ove funkcije je da nakon uvoda također trebate navesti tajni kod primljen putem SMS-a ili na drugi način. Stoga je vjerojatnost hakiranja znatno smanjena. Čak i ako napadači znaju vaše vjerodajnice, neće imati kod za ulazak na stranicu.
Sada ću ti pokazati kako aktivirati dvostruku autorizaciju na VKontakteu i postaviti aplikaciju za generiranje kodova.
Kako omogućiti dvofaktornu autentifikaciju VKontakte?
Idemo na našu stranicu i idemo na odjeljak "Postavke".
Otvorite karticu "Sigurnost". Ovdje u odjeljku "Potvrda prijave", pritisnite gumb "Poveži se".
Otvorit će se obrazac - kliknite na gumb "Pokreni postavljanje".
Od vas će se tražiti da ponovno unesete lozinku za stranicu (pogledajte). Učinite to i kliknite gumb "Potvrdi".
Dobijte kod na svoj telefon i unesite ga u obrazac. Zatim kliknite gumb Pošalji kod.
Postavljanje aplikacije za generiranje kodova
Sljedeći korak je postavljanje aplikacije za generiranje kodova. Od vas se traži da instalirate aplikaciju koja će vam omogućiti generiranje kodova za prijavu, čak i bez povezivanja na mobilnu mrežu.
Koristiti Google autentifikator za iphone i android pametne telefone. I Autentifikator- za telefone u sustavu Windows Phone. Instalirajte odgovarajuću aplikaciju na svoj gadget.
Ovako izgleda prozor s QR kodom i tajnim kodom u VK.
Sada pokrenite instaliranu aplikaciju i skenirajte navedeni kod.
Sada zalijepite primljeni kod iz aplikacije i kliknite gumb "Potvrdi".
Aplikacija za generiranje kodova je uspješno konfigurirana!
Bit ćete premješteni na karticu Sigurnost. Sada ovdje možete izvršiti sljedeće radnje.
- Promjena broja telefona (vidi);
- Prikaži popis pričuvnih kodova;
- Postavite aplikaciju za generiranje kodova;
- Postavite lozinke aplikacije;
- Onemogućite autentifikaciju u dva koraka VKontakte.
Video lekcija: dvofaktorska autorizacija VKontakte
Zaključak
Već smo govorili o hakiranju VKontakte stranice (pogledajte kako hakirati VKontakte stranicu). Napadači mogu saznati vašu prijavu i pogoditi lozinku (pogledajte kako saznati lozinku znajući VKontakte prijavu). I tada će moći posjetiti vašu stranicu.
Kako bi spriječio da se to dogodi, VKontakte je uveo dodatnu sigurnosnu mjeru - dvostruku autorizaciju (dva faktora). Značenje ove funkcije je da nakon unosa prijave i lozinke također trebate navesti tajni kod primljen putem SMS-a ili na drugi način. Stoga je vjerojatnost hakiranja znatno smanjena. Čak i ako napadači znaju vaše vjerodajnice, neće imati kod za ulazak na stranicu.
Sada ću vam pokazati kako aktivirati dvostruku autorizaciju na VKontakteu i postaviti aplikaciju za generiranje kodova.
Kako omogućiti dvofaktornu autentifikaciju VKontakte?
Idemo na našu stranicu i idemo na odjeljak "Postavke".
Otvorite karticu "Sigurnost". Ovdje u odjeljku "Potvrda prijave" kliknite gumb "Poveži se".
Otvorit će se obrazac - u njemu kliknite gumb "Nastavi na postavljanje".
Od vas će se tražiti da ponovno unesete lozinku za stranicu (pogledajte kako promijeniti lozinku u kontaktu). Učinite to i kliknite gumb "Potvrdi".
Dobijte kod na svoj telefon i unesite ga u obrazac. Zatim kliknite gumb "Pošalji kod".
Postavljanje aplikacije za generiranje kodova
Sljedeći korak je postavljanje aplikacije za generiranje kodova. Od vas se traži da instalirate aplikaciju koja će vam omogućiti generiranje kodova za prijavu, čak i bez povezivanja na mobilnu mrežu.
Koristite Google Authenticator za Iphone i Android pametne telefone. I Autentifikator - za telefone u sustavu Windows Phone. Instalirajte odgovarajuću aplikaciju na svoj gadget.
Ovako izgleda prozor s QR kodom i tajnim kodom u VK.
Sada pokrenite instaliranu aplikaciju i skenirajte navedeni kod.
Sada zalijepite primljeni kod iz aplikacije i kliknite gumb "Potvrdi".
Aplikacija za generiranje kodova je uspješno konfigurirana!
Bit ćete premješteni na karticu "Sigurnost". Sada ovdje možete izvršiti sljedeće radnje.
- Promijenite telefonski broj (pogledajte kako odvezati broj sa stranice u VK);
- Prikaži popis pričuvnih kodova;
- Postavite aplikaciju za generiranje kodova;
- Postavite lozinke aplikacije;
- Onemogućite autentifikaciju u dva koraka VKontakte.
Video lekcija: dvofaktorska autorizacija VKontakte
U kontaktu s
Kolege
(1 članova, prosječna ocjena: 5,00 od 5) Loading...
vksetup.ru
Potvrda prijave VKontakte
Dakle, sljedeće ažuriranje je bila funkcija "Potvrda prijave", a danas ćemo napraviti njen puni pregled. Reći ćemo vam kako radi, kako ga omogućiti, konfigurirati ili onemogućiti.
Svaki registrirani korisnik želi zadržati svoje osobne podatke koji se koriste pri ulazu, ne želi da njegovi osobni dokumenti (fotografije, korespondencija i sl.) dođu u javnost. Zato programeri društvene mreže čine sve da se to ne dogodi.
Što je potvrda prijave
Potvrda prijave pruža dodatnu razinu zaštite za vašu VKontakte stranicu od hakiranja. Prilikom korištenja ove funkcije za ulazak na stranicu, s neregistriranih preglednika i uređaja, osim lozinke, morat ćete unijeti i sigurnosni kod.
Kod možete dobiti na telefon koji je povezan s vašom stranicom.
Pažnja! Kada je potvrda prijave omogućena, usluga oporavka zaporke putem telefonskog broja postaje nedostupna. Stoga toplo preporučamo da na stranicu povežete važeći e-mail, unesete svoje pravo ime i prezime i postavite svoje prave fotografije kao glavne prije nastavka postavljanja.
Kako spojiti VK potvrdu prijave
Da biste omogućili ovu opciju, morat ćete otići na stavku izbornika "Postavke" i tamo, na kartici "Općenito", pronaći odjeljak "Sigurnost vaše stranice".
Klikom na gumb "Poveži" pred vama će se otvoriti prozor sustava u kojem ćete morati kliknuti "Idi na postavke". Zatim će sustav od vas tražiti da potvrdite svoju radnju unosom lozinke:
Unosom lozinke i klikom na gumb "Potvrdi" pokrenut ćete ovu opciju. Ali ne zaboravite da nakon povezivanja jedan mobilni broj za oporavak lozinke neće biti dovoljan. Bit će potrebno podnijeti prijavu na razmatranje moderatorima.
Ako imate bilo kakvih pitanja - postavite ih na našem forumu vk.com i naši moderatori će vam odgovoriti što je prije moguće!
Potvrda prijave VKontakte, 4,8 od 5 na temelju 4 ocjene
socialnie-seti.info
Kako zaobići potvrdu prijave? - U kontaktu s
Otišao sam na pokvareni račun za spam - i tamo kod zahtijeva
kako se kretati
proxy, itd. nemoj kotrljati
tata isto
ili je već? zatvorena trgovina?
ili nije na svim računima
testirano 5 - izašao posvuda
Kako ćeš se kretati? Ovu obranu razvili su programeri, tamo je sve snimljeno.
koristite spamera koji radi preko API-ja
Da, navikao sam na olovke
tako pouzdan
nikako okolo
Najjeftiniji captcha → + Mogućnost zarade unosom captcha
nikako okolo
ali pitam se kako će sada biti pohranjivanje računa)
koristite spamera koji radi preko API-ja
Možete li mi reći alat za provjeru računa koji radi putem API-ja?
apidog.ru ne pomaže? (nije reklamirano)
apidog.ru ne pomaže? (nije reklamirano)
pomg hvala) uhvati lalku
Pogotovo za ljude poput vas napravio vrhunsku sigurnost
proxy upravo te zemlje?
Da, i Dedik je čak koristio
Za rad u VK i drugim društvenim mrežama koristite samo EKSKLUZIVNE pojedinačne ipv.4 proxyje iz različitih podmreža. Ovdje uzimam ove za sebe: Link + vrlo kvalitetna (elita), u jednu ruku i cijena je pristupačna
je li ovo tip za borbu protiv krivotvorina?
s krađom računa
Loše ako počnu uvoditi takvu temu ((
zismo.biz
Dvostruka autorizacija ili sigurnost VK stranice
Društvena mreža VKontakte uvela je 2014. dvofaktornu autentifikaciju. Što je to? Ovo je dodatni sigurnosni alat - osim autorizacije pomoću prijave i lozinke, morate unijeti kod koji će biti poslan na telefonski broj povezan s vašim računom. Čak i ako napadač ima podatke s vaše stranice, neće moći ući u nju.
Kako aktivirati dvofaktornu autentifikaciju?
Pritisnite "Moje postavke" i odaberite karticu "Sigurnost". Ovdje ćete vidjeti pododjeljak "Potvrda prijave" i natpis: "Pruža pouzdanu zaštitu od hakiranja: za ulazak na stranicu morate unijeti jednokratni kod primljen SMS-om ili na drugi povezani način." Kliknite na gumb "Poveži se".
Pojavit će se prozor koji opisuje neke situacije. Na primjer, ako je omogućena dvofaktorska provjera autentičnosti, tada oporavak lozinke prema broju postaje nedostupan i administracija snažno preporučuje povezivanje važeće adrese e-pošte sa stranicom. Ako vam sve odgovara, kliknite na gumb "Nastavi na postavljanje".
Unesite lozinku za stranicu.
Unesite kod za potvrdu i kliknite na "Pošalji kod".
Funkcija je omogućena. Stavite kvačicu pokraj stavke "Zapamti trenutni preglednik" kako ne biste svaki put unosili kod na ovom računalu, a zatim kliknite na gumb "Završi postavljanje".
Kako onemogućiti dvofaktornu autentifikaciju?
Sve u istom odjeljku "Sigurnost" kliknite na gumb "Onemogući potvrdu prijave".
Unesite lozinku za stranicu.
Danas ćemo govoriti o jednoj od najučinkovitijih metoda za zaštitu vaše Vkontakte stranice. Postavit ćemo autorizaciju na stranici na takav način da će biti nemoguće pristupiti vašoj stranici dok ne unesete kod primljen iz SMS-a koji će biti poslan na vaš telefonski broj povezan s vašim računom. Odnosno, sve će se odvijati na isti način kao što koristite Internet bankarstvo.
Stoga, prije nego što počnete nešto postavljati, provjerite je li trenutni broj priložen vašoj VK stranici i da ga nećete mijenjati. .
Funkcija je vrlo korisna, ako se bojite za svoju stranicu, tada će poduzete radnje povremeno povećati njezinu sigurnost.
Bacimo se na vježbu
Kako omogućiti potvrdu prijave u VK
U gornjem izborniku u desnom kutu kliknite gumb sa svojom minijaturom i s padajućeg popisa odaberite stavku "Postavke":
Sljedeći korak je odlazak na karticu "Sigurnost". Na samom vrhu nalazimo odjeljak "Potvrda prijave" i kliknite na gumb "Poveži se":
Zatim nam se daje cijela peticija o potvrdi lozinke putem mobilnog telefona. Pišu kako je vama dobro, a napadačima loše. Također upozoravaju da će, ako omogućite ovu funkciju, oporavak zaporke putem telefonskog broja postati nedostupan, u vezi s čime nam se nudi povezivanje trenutne pošte i navođenje svih istinitih podataka na stranici. Tako da se kasnije može lako obnoviti. ().
Čitamo sve ovo i kliknemo na gumb "Nastavi na postavljanje"
Pojavljuje se skočni prozor u koji trebamo unijeti lozinku sa stranice i kliknuti na gumb "Potvrdi":
Upisujemo kod za potvrdu koji je trebao doći na naš telefon i kliknemo na gumb "Pošalji kod":
Iskače sljedeći prozor u kojem nam pišu o rezervnim kodovima i mole da ih ne zaboravimo ispisati.
Pričuvni kodovi - popis od 10 pristupnih kodova. Ovo su stalni brojevi, ne mijenjaju se i mogu biti od koristi ako želite otići na stranicu, a telefon u tom trenutku neće biti dostupan. Možete unijeti jedan od ovih kodova i doći do stranice. Stoga je važno ispisati ovaj popis i imati ga sa sobom.
Kliknite gumb "Završi postavljanje":
Pričuvni kodovi mogu se vidjeti u istom odjeljku "Sigurnost". Pronalazimo frazu "Rezervni kodovi" i nasuprot njoj kliknite vezu "Prikaži popis" pored nje.
Sve, funkcija je onemogućena, izvršili smo zadatak.
I s ovim ću završiti ovaj članak, nadam se da vam je stečeno znanje bilo korisno i da ste ga implementirali, čime ste osigurali svoj Vkontakte račun.
Napravit ću rezervaciju da sam prije početka rada na članku iznio sva svoja zapažanja na HackerOne. Vkontakte nije prepoznao niti jednu od opisanih grešaka. Ali kad sam prije objave članka odlučio napraviti potvrdne snimke zaslona, pokazalo se da je jedan od bugova ipak ispravljen. Činjenica da su poslušali moje riječi ne može a da ne raduje. Jedina šteta je što dečki nisu rekli ni “hvala”.
Dakle, greška broj 1. Statički tajni ključ.
Za povezivanje aplikacije za generiranje OTP-a sa svojim računom, korisnik upisuje lozinku, nakon čega se pred njim otvara stranica s tajnim ključem potrebnim za izdavanje softverskog tokena. Sve dok je sve točno.
Ali ako iz nekog razloga korisnik nije odmah aktivirao softverski token (na primjer, bio je ometen važnim pozivom ili se jednostavno predomislio i vratio na glavnu stranicu), onda kada nakon nekog vremena ipak odluči primiti token, opet će mu biti ponuđen isti tajni ključ.
Situaciju otežava i činjenica da unutar pola sata nakon unosa lozinke, čak i ako ste otišli na glavnu stranicu ili se odjavili sa svog računa, a zatim se ponovno prijavili, lozinka se ne traži ponovno prije nego što se pokaže QR kod s tajnom.
Zašto je opasno?
Vkontakte token, kao i svaki drugi TOTP token, radi prema prilično jednostavnom principu: generira jednokratne lozinke prema algoritmu koji se temelji na dva parametra - vremenu i tajnom ključu. Kao što razumijete, jedino što je potrebno za kompromitiranje drugog faktora provjere autentičnosti je znati TAJNI KLJUČ.
Takva ranjivost napadaču ostavlja dvije rupe u zakonu:
- Ako se korisnik udalji od računala, napadač će imati dovoljno vremena kompromitirati njegov privatni ključ.
- Nakon što je preuzeo korisničku lozinku, napadač može lako špijunirati njegov tajni ključ unaprijed.
Rješavanje problema je jednostavno. Tajni ključ se mora promijeniti svaki put kada se stranica osvježi, kao što se događa, na primjer, na Facebooku.
Pogreška #2. Novi token nakon ponovnog izdavanja koristi isti tajni ključ.
U trenutku objave članka ovaj je nedostatak otklonjen.
Gore opisanu situaciju pogoršava činjenica da kada se token ponovno izda, Vkontakte vam neće ponuditi novi tajni ključ. Zapravo, 1 tajni ključ vezan je za vašu stranicu i više ga ne možete promijeniti.
Zašto je opasno?
Ako otkrijete da je vaš tajni ključ ugrožen (na primjer, kada prvi put izdate token, kao što je opisano u prvom odlomku), više vam nije potrebna dvostruka provjera autentičnosti na Vkontakteu. Slobodno onemogućite drugi faktor i odaberite jaču lozinku. Nije moguće ponovno izdati token s novom tajnom.
Ako ste izgubili telefon na kojem je token bio instaliran, možete učiniti isto. Svatko tko ima vaš pametni telefon u rukama moći će ga sigurno koristiti za ulazak u vaš račun. Ostaje saznati samo lozinku. U ovom slučaju gubi se cijela bit dvofaktorske autentifikacije. Jasno je da ako korisnik primijeti da mu je račun diskreditiran, može kontaktirati podršku, ali će time izgubiti dragocjeno vrijeme koje možda nema.
Pogreška br. 3. Onemogućavanje drugog faktora bez traženja jednokratne lozinke.
Ovdje je sve jasno iz imena. Kada je drugi faktor onemogućen, dovoljno je unijeti lozinku, OTP se ne traži.
Zašto je opasno?
Ako je samo unos lozinke dovoljan za onemogućavanje dvostruke autentifikacije na Vkontakteu, gubi se sama bit dvofaktorske autentifikacije. A bit dvofaktorske autentifikacije je da se nedostaci jednog faktora preklapaju s prednostima drugog. U vk.com to je faktor znanja (lozinka) i faktor vlasništva (telefon). Ovo je osmišljeno kako bi se osiguralo da kompromitiranje jednog od čimbenika nije dovoljno za dobivanje pristupa računu. Ako napadač ima vašu lozinku, neće mu biti dovoljna jednokratna lozinka za hakiranje vašeg računa, i obrnuto, ako se dočepa vašeg telefona, morat će dodatno saznati lozinku.
Ovdje se ispostavlja da je dovoljno znati korisničku lozinku da jednostavno onemogućite drugi faktor autentifikacije. Zapravo, ovo Vkontakteovu dvofaktorsku autentifikaciju pretvara u jednofaktorsku autentifikaciju.
Vkontakte svojim korisnicima nudi vrlo praktičnu funkciju "Ukloni potvrdu iz trenutnog preglednika". Siguran sam da je značajka popularna i da korisnici isključuju potvrdu barem kod kuće i na poslu. Štoviše, većina korisnika ima svoje lozinke spremljene u svojim preglednicima, gdje ih je moguće jednostavno pregledati i kopirati.
Zamislite ovu situaciju, kolega vas je odlučio našaliti. Dok vas nije bilo na radnom mjestu, otišao je do vašeg računala, pogledao spremljene lozinke u pregledniku, ušao u VK i isključio 2FA. Sada će se moći prijaviti na vaš račun dok ne primijetite promjenu, što se možda neće dogoditi uskoro. Niste prethodno unijeli jednokratnu lozinku na onim uređajima koje najčešće koristite, tako da se za vas ništa neće promijeniti. I kolega šaljivdžija će dobiti puni pristup vašem računu, a nitko ne zna do čega to može dovesti.
Da nije ispravljena greška ponovnog izdavanja tokena, kada se tajni ključ nije promijenio prilikom ponovnog izdavanja tokena, situacija bi mogla postati još zanimljivija! Vaš kolega, koji već zna lozinku, može isključiti 2FA, zatim ponovno uključiti dvofaktorsku autentifikaciju, vidjeti tajni ključ, izdati si token identičan vašem i moći čitati vaše poruke sve dok je vaš račun aktivan.
zaključke
Kada povežete autentifikaciju u dva koraka sa svojim Vkontakte računom, pojavljuje se dopis koji kaže: "Čak i ako napadač sazna vašu prijavu, lozinku i korišteni kod za potvrdu, neće moći doći do vaše stranice sa svog računala."
Nažalost, pokazalo se da to nije sasvim točno. Pod određenim okolnostima, autsajder će moći prepoznati tuđi Vkontakte token ili čak potpuno onemogućiti drugi faktor, znajući vašu lozinku. Radujem se vašim mišljenjima.
