Не так давно мы опубликовали статью, как защитить учетную запись ВКонтакте от взлома хакеров и мошенников. К сожалению, многие пользователи социальных сетей даже не задумываются о способах защиты своих аккаунтов, пока не станут жертвами злоумышленников.
Одним из самых действенных способов усложнить взломщику чужих аккаунтов жизнь — это включить подтверждение входа ВКонтакте. После ввода логина и пароля сервис запросит специальный пароль из смс или приложения на смартфоне, который достаточно сложно заполучить хакеру.
Сегодня мы подробнее разберем, как включить двухфакторную аутентификацию ВКонтакте.
Одна из моих подруг в социальной сети, Алиса Селезнева, добавила друзей в беседу с просьбой проголосовать за нее в конкурсе по ссылке. На первый взгляд ничего необычного – многие девушки участвуют в разнообразных конкурсах, обещающих разнообразные призы и часто обращаются к своим друзьям с просьбами отдать им свой голос или заветный лайк.
Но в нашем случае взломщик, укравший личность моей подруги, слишком торопился. Он добавил всех друзей из списка контактов взломанного аккаунта в одну беседу. Как часто Вы создаете беседу со всеми-всеми своими друзьями, родственниками, коллегами и соседями?
Кстати, если в поисковой строке вставить любое другое имя, то и имя в списке конкурсантов также изменится.
При нажатии на любую ссылку открывается окно с просьбой авторизоваться в социальной сети ВКонтакте. А вот и настоящая цель злоумышленника. Ненастоящее окно авторизации говорит о том, что настоящая цель этого фишингового сайта – заполучить Ваши логины и пароли для входа.
Данный метод взлома очень и очень простой. Злоумышленник пока еще не пытается в личной беседе уговорить Вас перевести ему немного денег, не договаривается о встрече, попутно прося положить денег на счет телефона для созвона или не пытается получить Ваши личные фотографии для шантажа. Большинство действий происходит автоматически, а в результате на руках у взломщика оказывается база логинов и паролей невнимательных пользователей.
Двухфакторная авторизация или аутентификация – метод проверки личности пользователя при помощи дополнительного кода. Данный код приходит на телефон по смс, генерируется в специальном приложении или приходит на почтовый ящик. Чтобы получить данные коды, взломщик должен иметь физический доступ к телефону жертвы. Данная мера позволяет значительно обезопасить свою учетную запись и уберечь себя от взлома.
Давайте разберем, как включить двухфакторную аутентификацию ВКонтакте на примере версии для компьютеров.
Но что делать, если wifi на телефоне есть, а сеть плохо ловит и смс с кодом подтверждения не приходит? Для этого нужно включить возможность входить в социальную сеть через специальное приложение.
Вот и все – приложение настроено!
Теперь, при каждом входе в социальную сеть с незнакомого или нового устройства у Вас попросят ввести пароль, сгенерированный в приложении или пришедший по смс. Ввести несколько цифр займет меньше минуты, и это низкая цена за собственную безопасность.
Проверка безопасности в ВК, как убрать ее? Если возник подобный вопрос, то придется тщательно разобраться в ситуации. В нашей статье постараемся предложить доступные способы.
У сайта присутствует система защиты. Она применяется для предотвращения постороннего доступа к страницам. Но многие пользователи интересуются: как зайти в ВК без проверки безопасности?
Зачем потребовалась проверка? У компьютеров есть IP-адреса. Они не принадлежат устройству, одним IP может пользоваться целый квартал. Но по получаемым данным удается идентифицировать владельца страницы.
Когда срабатывает проверка? Она используется в случае, если действующий адрес не совпадает с обычным. Когда это может произойти?
На деле подобная система проста и гениальна. Посторонние люди не смогут зайти на страницу, даже если подобрали логин и пароль. Конечно, хакеры способны обойти систему проверки, но она в любом случае повышает безопасность. Поэтому функция необходима для ВК.
Но можно ли обойти проверку, если вы не обладаете специальными знаниями? Сделать это не всегда легко, поэтому стоит изучить доступные способы.
Как убрать проверку безопасности ВКонтакте при входе? Неясно, для чего это вообще необходимо вам? Проверка – стандартная процедура при посещении социальной сети из необычного места.
У владельца страницы не должно возникнуть проблем с подтверждением. Достаточно выполнить ряд простых действий:
Вы не являетесь владельцем страницы? Зашли в профиль другого человека? Тогда вам никак не обойти проверку. Можно не надеяться самостоятельно пройти данный этап, если не обладаете специальными знаниями.
Конечно, в интернете можно встретить ряд программ. Но как показывает практика, они полностью бесполезны. Как обойти проверку безопасности ВКонтакте с помощью софта при взломе знают исключительно хакеры.
Скачивание и установка приложений подвергает опасности ваш компьютер. Они не только не помогут обойти этот этап, пользователь получит вирусы на ПК и может потерять все личные данные, деньги с банковских карт.
К различным программам стоит относиться с недоверием. В большинстве случаев в интернете предлагают «пустышки» с троянами. Найти действительно стоящий софт для обхода непросто.
Вы не взломщик и хотите зайти на страницу друга, который сам предоставил учетные данные? Тогда достаточно уточнить у него номер телефона, привязанный к профилю. Введите цифры в форму и получите доступ к странице.
Как отключить проверку безопасности в ВК? Если вы являетесь владельцем страницы и просто хотите избавиться от этой процедуры, то существует ряд методов.
Используете Тор? Просто зайдите на страницу из обычного браузера. Сайт определит IP-адрес и предоставит доступ к профилю.
Применяете ВПН? Выключите данную функцию в браузере. При использовании ВПН происходит переправка трафика на иностранный сервер и меняется адрес.
Как зайти через Оперу? Если работает опция «Турбо», то выключите ее в настройках. При применении данной функции трафик переводится на зарубежный сайт. По принципу работы она похожа на ВПН.
Существует еще один метод – очистить файл Хост. Он находится в папке Windows\System32. После удаления всех данных удается избавиться от проверки. Но метод работает не всегда.
При проверке безопасности в ВК не приходит код? При данной процедуре сообщение не высылается на телефон. Поэтому шифр и не должен прийти на ваше устройство. Нужно указать именно недостающие цифры номера.
У некоторых пользователей все-таки высылается код. Если шифр не поступил, то нужно обращаться к своему оператору и к технической поддержке ВК.
Существует не только стандартная проверка, но и двухфакторная аутентификация. Она позволяет существенно повысить безопасность страницы. Как осуществляется процедура?
Включить двухфакторную аутентификацию можно в настройках. Потребуется подтвердить смену способа входа. Теперь для доступа к профилю необходимо пройти два этапа.
Не приходит код при двухфакторной аутентификации? Вероятные причины:
Необходимо позвонить оператору и написать сообщение в техническую поддержку ВК. В дальнейшем удается решить проблему.
Оговорюсь, что перед тем, как приступить к работе над статьей, все свои наблюдения я изложил на HackerOne. Ни один из описанных багов Вконтакте не признали. Но когда перед публикацией статьи я решил сделать подтверждающие скриншоты, оказалось, что один из багов все-таки был исправлен. То, что к моим словам прислушались, не может не радовать. Жаль только, что ребята даже “спасибо” не сказали.
Чтобы подключить к своему аккаунту приложение для генерации OTP, пользователь вводит пароль, после чего перед ним открывается страница с секретным ключом, необходимым для выпуска программного токена. Пока все правильно.
Но если по какой-либо причине пользователь не активировал программный токен сразу (например, отвлекся на важный звонок, или просто передумал и вернулся на главную страницу), то когда через некоторое время он все-таки решит получить токен, ему опять предложат тот же секретный ключ.
Усугубляет ситуацию еще и то, что в течение получаса после ввода пароля, даже если вы перешли на главную страницу или вышли из аккаунта, а потом снова вошли, перед показом QR кода с секретом повторно пароль не запрашивается.
Токен Вконтакте, как и любой другой TOTP токен работает по достаточно простому принципу: генерирует одноразовые пароли по алгоритму на основании двух параметров - времени и секретного ключа. Как вы сами понимаете, единственное, что нужно для компрометации второго фактора аутентификации - это знать СЕКРЕТНЫЙ КЛЮЧ.
Подобная уязвимость оставляет злоумышленнику две лазейки:
Решить вопрос элементарно просто. Секретный ключ должен менятся каждый раз после обновления страницы, как это происходит, например, в Facebook.
На момент публикации статьи этот недостаток был устранен.
Ситуация, описанная выше, усугубляется тем, что при повторном выпуске токена, Вконтакте не предложит вам новый секретный ключ. По сути, к вашей странице привязывается 1 секретный ключ и сменить его вы уже не сможете.
Если вы узнали, что ваш секретный ключ скомпрометирован (например, при первом выпуске токена, как описано в первом пункте), двойная аутентификация Вконтакте больше вам не нужна. Смело отключайте второй фактор и подберите пароль посильней. Перевыпустить токен с новым секретом не представляется возможным.
Если Вы потеряли телефон, на котором был установлен токен, можете сделать то же самое. Тот, к кому в руки попал ваш смартфон, сможет спокойно использовать его для входа в ваш аккаунт. Осталось узнать только пароль. При этом вся суть двухфакторной аутентификации теряется. Понятно, что если пользователь заметит дискредитацию своего аккаунта, он может связаться с суппортом, но на это будет потрачено драгоценное время, которого у него может не быть.
Здесь все понятно из названия. При отключении второго фактора, достаточно ввода пароля, OTP не запрашивается.
Если для отключения двойной аутентификации Вконтакте достаточно только ввода пароля, теряется сама суть двухфакторной аутентификации. А суть двухфакторной аутентификации заключается в том, что недостатки одного фактора перекрываются преимуществами другого. В vk.com это фактор знания (пароль) и фактор владения (телефон). Это было придумано для того, чтобы компрометации одного из факторов не было достаточно для получения доступа к аккаунту. Если у злоумышленника есть ваш пароль, для взлома аккаунта ему не будет хватать одноразового пароля, и наоборот, если он завладел вашим телефоном, то ему нужно будет дополнительно узнать пароль.
Здесь же получается, что достаточно узнать пароль пользователя, чтобы попросту отключить второй фактор аутентификации. По сути, это превращает двухфакторную аутентификацию Вконтакте в однофакторную.
Вконтакте предлагает своим пользователям очень удобную функцию “Снять подтверждение с текущего браузера”. Я уверен, что функция пользуется популярностью и пользователи отключают подтверждение, как минимум, дома, и на работе. Более того, у большинства пользователей пароли сохранены в браузерах, где их можно легко просмотреть и скопировать.
Представим такую ситуацию, ваш коллега решил над вами подшутить. Пока вас не было на рабочем месте, он зашел к вам на компьютер, посмотрел в браузере сохраненные пароли, вошел в VK и отключил 2FA. Теперь он сможет заходить в ваш аккаунт до тех пор, пока вы не заметите перемен, что может произойти совсем не скоро. Вы и раньше не вводили одноразовый пароль на тех устройствах, которыми чаще всего пользуетесь, значит для вас ничего не поменяется. А шутник-коллега получит полный доступ к вашему аккаунту, и никто не знает к чему это может привести.
Если бы не был исправлен баг с перевыпуском токена, когда при повторном выпуске токена секретный ключ не менялся, ситуация могла бы стать еще интересней! Ваш коллега, уже зная пароль, мог бы отключить 2FA, после чего опять подключить двухфакторную аутентификацию, увидел бы при этом секретный ключ, выпустил бы себе токен, идентичный вашему, и мог бы читать ваши сообщения до тех пор, пока жив ваш аккаунт.
При подключении двухэтапной аутентификации к аккаунту Вконтакте, появляется памятка, которая гласит “Даже если злоумышленник узнает Ваш логин, пароль и использованный код подтверждения, он не сможет попасть на Вашу страницу со своего компьютера."
К сожалению, выяснилось, что это не совсем правда. При определенных обстоятельствах посторонний сможет узнать чужой токен Вконтакте или даже полностью отключить второй фактор, зная ваш пароль. Жду ваших мнений.
Вконтакте – популярнейшая социальная сеть в России и странах СНГ. С каждым днем растет не только количество активных пользователей, но и количество фейковых аккаунтов. Для решения подобной проблемы руководство Вконтакте решило при создании страницы привязывать ее к конкретному телефону, что понравилось не всем пользователям. Как зарегистрироваться в ВК без номера телефона? Давайте разбираться.
Следует учесть и тот факт, что разработчики социальной сети планируют полностью отказаться от использования электронной почты для привязки профиля, чтобы повысить уровень безопасности.
При наличии стационарного телефона можно пойти по-другому пути. Для этого достаточно ввести номер в 11-ти значной форме и нажать «Получить код». Робот позвонит и скажет код активации профиля. Этот способ позволяет зарегистрировать бесчисленное количество страниц, используя один телефон.
Риск способа заключается в том, что при утрате данных от аккаунта восстановить пароль будет сложно или вообще невозможно (в случае со стационарным номером). Использовать метод «Фейкового телефона» рекомендуется только в случае, если страница не основная.
Вконтакте предоставляет только зарубежным жителям зарегистрироваться на ресурсе через Фейсбук. Но так как мы находимся в России, придется немного обмануть систему. Для этого будем использовать анонимайзеры, которых в интернете огромное множество.
В качестве примера рассмотрим один из популярных анонимайзеров «Хамелеон ». Переходим на сайт:
Вот так выглядит регистрация для жителей из России:
Замечание: Не забудьте, что для этого способа необходим аккаунт в Фейсбуке, для регистрации которого необходима только электронная почта.
Для создания виртуального номера будет использовать международный сервис pringer . com . Через него нельзя осуществлять звонки, но можно принимать смс сообщения, которые необходимы для завершения регистрации.
Если у вас имеется аккаунт в google+, Фейсбук или Twitter, то для экономии времени на сервис можно зайти через эти ресурсы.
Вы можете воспользоваться не только сервисом Pringer, а другими аналогами виртуального сотового (Room5, Kontiki, Bizo, Kendo UI).
Вконтакте - самая крупная социальная сеть в странах СНГ - ежемесячно сервис посещает более 955 миллионов пользователей. Аккаунты Вконтакте используются для авторизации на огромном количестве сервисов и сайтов. Кроме того, относительно недавно пользователи сети получили возможность отправлять денежные средства прямо с помощью сообщений.
Высокая популярность “Вконтакте” делает ее привлекательной площадкой для злоумышленников. В этих условиях очень важно обеспечить максимальную безопасность для своей учетной записи. Дополнительную защиту аккаунта можно получить, настроив двухфакторную аутентификацию (2FA).
В секции Подтверждение входа , нажав по ссылке Резервные коды вы сможете сгенерировать и сохранить аварийные коды, которые можно использовать при отсутствии доступа к мобильному устройству.
В качестве второго этапа аутентификации, вместо SMS-сообщение можно использовать одноразовые коды, сгенерированные в приложении-аутентификаторе, работающем по алгоритму TOTP. Чтобы активировать данный способ аутентификации, предварительно установите на ваше мобильное устройство приложение для аутентификации, например, Google Authenticator или Authy , и проделайте простые действия:
После успешного выполнения двухфакторной проверки в браузере, вы можете запомнить данный браузер, чтобы не больше не вводить второй фактор при входе в аккаунт на данном устройстве.
В случае необходимости, вы сможете сбросить коды на всех доверенных устройствах или только на текущем устройстве. В этом случае во время следующей попытки авторизации будет снова запрошен код подтверждения.
Если кто-либо попытается войти в ваш аккаунт, то вы получите всплывающее предупреждение об этом.
В любой момент вы можете отключить двухфакторную аутентификацию для учетной записи “Вконтакте”. Однако, помните, что в данном случае для доступа к вашему аккаунту злоумышленнику достаточно будет знать пароль. Для отключения двухфакторной аутентификации, проделайте следующие шаги: