Как защитить аккаунт Вконтакте с помощью двухфакторной аутентификации

Защита аккаунтов двухфакторной и двухэтапной аутентификацией

Как защитить аккаунт Вконтакте с помощью двухфакторной аутентификации

Блог→ Защита аккаунтов двухфакторной и двухэтапной аутентификацией

В современном мире особое внимание уделяется безопасности. Наиболее важно защищать свои персональные данные в Интернет-среде. Сегодня мы поговорим о том, для чего это необходимо и какие существуют способы защиты.

Зачем защищать?

Самой главной причиной, по которой стоит обезопасить аккаунты Интернет-сервисов, является тот факт, что данные вашей электронной почты или переписка из соц сети могут послужить поводом для вымогательств со стороны злоумышленников. Более того, взлом, например, почты позволит мошенникам получить данные и пароли от других сервисов, где регистрировался пользователь, в том числе и от банк-клиентов, что может повлечь за собой потери денежных средств.

Как защищать?

Для упрощения понимания мы приведем примеры действий, а потом дадим им определения.

• Ввод пароля к учетной записи (пользователь отдает на проверку серверу сайта имеющуюся информацию) – это аутентификация.

• Пользователь вводит пароль к учетной записи, сайт отправляет пользователю смс с одноразовым цифровым паролем – это двухэтапная аутентификация (по-английски: 2SV или Two-Step Verification). Такой вид защиты используют большинство банков, например, Сберанк.Онлайн.

• Пользователь вводит пароль на сайт, затем берет устройство (например, аппаратный ключ защиты) и вводит высветившийся на нем одноразовый сессионный пароль. Это пример двухфакторной аутентификации (которую ошибочно, но довольно часто, называют двухфакторной идентификацией). Такой вид защиты применяется при работе с корпоративными банк-клиентами.

Еще раз о разнице между двухфакторной и двухэтапной аутентификацией

На первый взгляд отличий мало: в обоих вариантах аутентификации сначала вводится постоянный пароль, а затем – временный. Вся разница заключается лишь в том, каким способом получен одноразовый код.

Если пользователь получает его через СМС и\или этот пароль создается самим сервисом, то аутентификация является двухэтапной.

При двухфакторной аутентификации сессионный пароль создается непосредственно пользователем на том уникальном физическом устройстве, которое есть только у него. При работе с корпоративными банками таким девайсом является ключ токен.

Уточним: смартфон, на который приходит СМС с временным паролем, нельзя считать уникальным устройством, так как сим-карту с номером телефона достаточно легко подделать. Именно поэтому отправленное кем-то сообщение с паролем принято считать этапом, а самостоятельная генерация временного пароля называется фактором.

Так что говорить о двухфакторной аутентификации с смс подтверждением в корне неверно! Если используются сообщения, то это – двухэтапная аутентификация.

Какие факторы существуют

Всего существует четыре фактора аутентификации:

1) Фактор наличия. Этот пример мы уже разобрали: у пользователя есть физический девайс, с которого вводится временный пароль.

2) Фактор знания. Например, это кодовое слово. После ввода постоянного пароля сайт запрашивает у пользователя код, и при верном его вводе, разрешает авторизацию.

3) Фактор нахождения. Сайт проверяет местонахождение пользователя (например, по IP-адресу компьютера или по гео-метке его смартфона), и если это местонахождение совпадает с разрешенным, то открывает ему вход в аккаунт.

4) Фактор особенности. Доступ к аккаунту открывается лишь прошедшим пред-аутентификацию клиентам: тем, кто предоставил сайту данные о конфигурации устройства, с которого возможен вход. Еще одним примером фактора особенности является проверка отпечатков пальцев при входе в аккаунты банков на смартфонах.

Примеры двухфакторной и двухэтапной аутентификации

Давайте посмотрим, как реализованы 2SV и 2FA у Mail.ru, Google и ВКонтакте.

Двухфакторная аутентификация Google

Google справедливо называют флагманом Интернета. У этой американской компании практически нет конкурентов по набору средств безопасности учетных данных. Помимо традиционной двухэтапной аутентификации Гугл предлагает вход в аккаунт с помощью специального приложения – генератора временных кодов.

Также Google впервые среди крупных пользовательских сервисов стал поддерживать токен-ключи (правда, пока только одного стандарта – FIDO UTF).

Включить двухэтапную аутентификацию (ровно как и двухфакторную) в Гугле очень просто. Достаточно перейти по ссылке https://myaccount.google.com/ и войти в меню «Проверка безопасности». Процедура настройки благодаря удобному «Помощнику» занимает буквально пару минут.

Из особенностей выделим тот факт, что устройство, с которого пользователь впервые настраивает аутентификацию, попадает в список доверенных по умолчанию и в дальнейшем с него будет разрешен вход в аккаунт без ввода вторичного пароля. В связи с этим мы не рекомендуем проходить процедуру первичной настройки аутентификации с рабочих или публичных девайсов.

Двухфакторная аутентификация mail ru

Мэйл.ру обладает достаточно обширными возможностями по отчетам безопасности. Пользователь имеет возможность посмотреть последнюю активность в почтовом ящике, а также изменить настройки доступа к ящику с параллельных сессий. Рассматриваемая в сегодняшней статье настройка безопасности находится в пункте «Пароль и безопасность».

Однако, как видно из текста на скриншоте, Мейл называет переданные коды не двухэтапной, а двухфакторной аутентификацией. Учитывая, что наши читатели уже знают разницу между ними, мы рекомендуем дополнительно ограничить доступ к почтовому ящику, выставив галочку разрешений по определенным IP-адресам.

Аутентификация ВКонтакте

социальная сеть страны также путает факторы с этапами и предлагает дополнительно к основному паролю вводить коды из СМС.

Защитить свой аккаунт ВКонтакте от перехвата вторичных паролей можно простым способом: нужно всего лишь распечатать список кодов. Сделать это можно в разделе «Безопасность» меню «Настроек»

На этом наша статья про разные виды аутентификации и способы защиты аккаунтов завершена. Надеемся, что она поможет Вам, дорогие читатели, обезопасить свои учетные данные и персональную информацию.

Как защитить страницу от взлома хакеров

Несмотря на то, что разработчики социальной сети постоянно работают над совершенствованием системы и особое внимание уделяют именно вопросам безопасности, проблема, как защитить страницу от хакеров, остается до сих пор актуальной.

Как защитить контакт от взлома: варианты и способы

К сожалению, единственного и самого надежного способа защиты аккаунта от взлома не существует. При необходимости хакеры могут взломать любой профиль, поэтому ограничиться каким-то одним правилом будет недостаточно. Максимальную защиту контакта может обеспечить только целый ряд способов, которые следует использовать в комплексе.

Эффективные способы, как защитить свою страницу :

  1. защитить аккаунт от взлома с помощью сложного пароля. Согласно общим рекомендациям пароль должен быть сложным, состоять минимум из 12 символов, включающих в себя буквенные и цифровые значения в разных регистрах, знаки препинания и т.д. Никакой шаблонности в его написании прослеживаться не должно, то есть даты рождения родственников и знакомых, номера телефонов и прочие легко вычисляемые комбинации цифр использоваться не должны. Для максимальной защиты от взломщиков пароли социальной сети ВК и электронной почты не должны быть одинаковыми и менять их нужно не реже одного раза в 3 месяца.
  2. Следующий способ, как защитить ВК (контакт) от взлома хакеров, связан с личной осторожностью. Не соглашайтесь на заманчивые предложения, скачать программу, позволяющую узнать количество друзей, посетивших страницу, или открывающую доступ к чужим аккаунтам. С особой осторожностью следует относиться к бесплатным приложениям, требующим ввод логина и пароля для выполнения каких-либо действий. Запомните, находясь у себя в профиле, никаких дополнительных логинов и паролей вводить не нужно.
  3. Не переходите по ссылкам или заранее проверяйте их на наличие вирусов или опасного кода. Это единственно правильный способ, как защитить страницу ВК () от взлома хакеров методом фишинга. Этот распространенный вид мошенничества основан на том, что хакер с помощью подставной страницы, являющейся абсолютной копией главной в ВК, выманивает у вас логин и пароль от сайта. Разницу между сайтами можно заметить лишь в адресной строке, на которую и следует обратить внимание, прежде чем вводить еще раз логин и пароль. Если же переход по ссылке все-таки совершен, незамедлительно смените логин и пароль на своей странице.
  4. Используйте актуальное антивирусное программное обеспечение, старайтесь входить в социальную сеть с безопасного устройства и регулярно проверяйте компьютер на вирусы. В том случае, если используются ненадежные каналы связи, например, бесплатные Wi-Fi, рекомендуется дополнительно защитить данные. Достаточно поставить галочку в соответствующем окошке, то есть отметить «Использовать защищенное соединение (HTTPS)» и сохранить настройки. Такое соединение будет означать, что все данные в передаются в зашифрованном виде и злоумышленники не смогут их перехватить.
  5. Последний эффективный способ того, как защитить свой аккаунт (ВК) от посторонних, заключается в усложнении авторизации. Кроме стандартного входа на сайт с помощью логина и пароля, можно настроить защитить аккаунт подтверждением действия через одноразовый код, который будет приходить на телефон. Сделать это можно в меню «Настройки» → «Безопасность» → «Подтверждение входа» → «Подключение». Теперь, если кто-то попытается войти к вам в профиль, вы получите оповещение об этом, в виде уведомления и сможете своевременно сменить пароль на сайте.

Как обезопасить аккаунт ВК от взлома

Для пользователей, которые выкладывают , много личной информации и фотографий, потеря контроля над аккаунтом может стать настоящей трагедией.

Представленные ранее способы, безусловно, помогут защитить компьютер от взлома хакерами и посторонними лицами, но полностью гарантировать этого невозможно.

Чтобы не потерять контроль над собственным профилем , необходимо знать, как обезопасить страницу :

  1. Никогда не публикуйте в личную информацию: номер своего телефона, адрес электронной почты и т.д. Этим вы только облегчаете задачу злоумышленникам и хакерам.
  2. Не заводите сомнительных знакомств в сети, не добавляйте в друзья незнакомых вам людей. Это позволит Вам обезопасить свою страницу в контакте, так как по статистике чаще всего хакеры взламывают профили с большим количеством подписчиков.
  3. Обезопасить страницу ВК, как и в других социальных сетях, можно благодаря правильному общению с посторонними. Не передавайте им паролей, не переходите по незнакомым ссылкам и не теряйте бдительность ни при каких обстоятельствах.

Двойная аутентификация — секс или имитация?

Всем привет! Недавно решил протестировать аппаратный OTP токен с возможностью перепрошивки по NFC, подключив его к своей учетке в .com.

При этом наткнулся на недоработки в системе двухфакторной аутентификации , которые показались мне довольно существенными. Хочу поделиться своими наблюдениями с вами, так как в самом ошибок не признали.

Возможно, я немного параноик? Интересно, что скажете вы, хабровчане.

Оговорюсь, что перед тем, как приступить к работе над статьей, все свои наблюдения я изложил на HackerOne. Ни один из описанных багов не признали. Но когда перед публикацией статьи я решил сделать подтверждающие скриншоты, оказалось, что один из багов все-таки был исправлен. То, что к моим словам прислушались, не может не радовать. Жаль только, что ребята даже “спасибо” не сказали.

Итак, ошибка №1. Статичный секретный ключ

Чтобы подключить к своему аккаунту приложение для генерации OTP, пользователь вводит пароль, после чего перед ним открывается страница с секретным ключом, необходимым для выпуска программного токена. Пока все правильно.

Но если по какой-либо причине пользователь не активировал программный токен сразу (например, отвлекся на важный звонок, или просто передумал и вернулся на главную страницу), то когда через некоторое время он все-таки решит получить токен, ему опять предложат тот же секретный ключ.

Усугубляет ситуацию еще и то, что в течение получаса после ввода пароля, даже если вы перешли на главную страницу или вышли из аккаунта, а потом снова вошли, перед показом QR кода с секретом повторно пароль не запрашивается.

Чем это опасно?

Токен , как и любой другой TOTP токен работает по достаточно простому принципу: генерирует одноразовые пароли по алгоритму на основании двух параметров — времени и секретного ключа. Как вы сами понимаете, единственное, что нужно для компрометации второго фактора аутентификации — это знать СЕКРЕТНЫЙ КЛЮЧ.

Подобная уязвимость оставляет злоумышленнику две лазейки:

  1. Если пользователь отойдет от компьютера, у злоумышленника будет достаточно времени, чтобы скомпрометировать его секретный ключ.
  2. Завладев паролем пользователя, злоумышленник легко может подсмотреть его секретный ключ наперед.

Решить вопрос элементарно просто. Секретный ключ должен менятся каждый раз после обновления страницы, как это происходит, например, в .

Ошибка №2. Новый токен после перевыпуска использует тот же секретный ключ

На момент публикации статьи этот недостаток был устранен.

Ситуация, описанная выше, усугубляется тем, что при повторном выпуске токена, не предложит вам новый секретный ключ. По сути, к вашей странице привязывается 1 секретный ключ и сменить его вы уже не сможете.

Ошибка № 3. Отключение второго фактора без запроса одноразового пароля

Здесь все понятно из названия. При отключении второго фактора, достаточно ввода пароля, OTP не запрашивается.

Выводы

При подключении двухэтапной аутентификации к аккаунту , появляется памятка, которая гласит “Даже если злоумышленник узнает Ваш логин, пароль и использованный код подтверждения, он не сможет попасть на Вашу страницу со своего компьютера.»

К сожалению, выяснилось, что это не совсем правда. При определенных обстоятельствах посторонний сможет узнать чужой токен или даже полностью отключить второй фактор, зная ваш пароль. Жду ваших мнений.

Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: