Dubbele verificatie VK. VKontakte-inlogbevestiging: verbeterde accountbeveiliging

In 2014 introduceerde het sociale netwerk VKontakte tweefactorauthenticatie. Wat is dit? Dit is een extra beveiligingsfunctie: naast autorisatie met een gebruikersnaam en wachtwoord moet u een code invoeren die naar het telefoonnummer wordt verzonden dat aan uw account is gekoppeld. Zelfs als een aanvaller gegevens van uw pagina heeft, zal hij er niet in kunnen komen.

Inloggen en tweestapsverificatie. Beheer waarschuwingen en authenticatiemethoden. Deze waarschuwingen geven aan op welk apparaat u heeft geprobeerd in te loggen en op welke locatie dit zich bevindt. Om waarschuwingen te ontvangen over niet-herkende logins. Zodra u waarschuwingen ontvangt over niet-herkende aanmeldingen.

Schakel aanmeldingsbevestiging via sms in op VKontakte

Mogelijk ontvangt u ook waarschuwingen wanneer iemand probeert in te loggen vanaf een computer die wij niet herkennen. Om tweestapsverificatie in te schakelen of uit te voeren. Gebruik een van de afgedrukte herstelcodes.

• Sms-codes voor mobiele telefoons.
• Beveiligingscodes van codegenerator.
• Schakel uw beveiligingssleutel uit op uw compatibele apparaat.
• Beveiligingscodes van een applicatie van derden.
• Probeer in te loggen vanaf een apparaat dat wij al herkennen.

Hoe activeer ik tweefactorauthenticatie?

Klik op “Mijn instellingen” en selecteer het tabblad “Beveiliging”. Hier ziet u de subsectie ‘Inlogbevestiging’ en de inscriptie: ‘Biedt betrouwbare bescherming tegen hacking: om de pagina te openen moet u een eenmalige code invoeren die u via sms of een andere verbonden methode ontvangt.’ Klik op de knop “Verbinden”.

Als u de computer of het mobiele apparaat dat u gebruikt niet heeft opgeslagen, wordt u gevraagd dit te doen wanneer u tweestapsverificatie inschakelt. Zo hoef je bij het opnieuw inloggen niet je beveiligingscode in te voeren. Klik niet op de knop "Deze browser opslaan" als u een openbare computer gebruikt waartoe andere mensen toegang hebben. We moeten informatie over uw computer en browser onthouden, zodat we deze kunnen herkennen de volgende keer dat u zich aanmeldt. Als u privé browsen heeft ingeschakeld of uw browser zo heeft ingesteld dat uw geschiedenis wordt gewist telkens wanneer u deze sluit, moet u waarschijnlijk elke keer dat u zich aanmeldt code schrijven. Er zijn browserfuncties die deze optie blokkeren. . Om sms-codes te activeren met uw mobiele telefoon.

Er verschijnt een venster waarin enkele situaties worden beschreven. Als tweefactorauthenticatie bijvoorbeeld is ingeschakeld, is wachtwoordherstel op nummer niet meer beschikbaar en raadt de administratie ten zeerste aan om een ​​huidig ​​e-mailadres aan de pagina te koppelen. Als u tevreden bent met alles, klikt u op de knop "Doorgaan met instellen".

Als u met succes sms-berichtcodes voor een mobiele telefoon hebt geactiveerd, verschijnt deze met een geverifieerd telefoonnummer in het gedeelte Sms-berichten. Beveiligingscodes voor sms-berichten die worden gebruikt voor tweestapsverificatie bestaan ​​altijd uit zes cijfers. U kunt de beveiligingscodes voor sms-berichten uitschakelen door op 'Uitschakelen' te klikken naast het telefoonnummer dat u niet meer wilt gebruiken. Als u geen andere authenticatiemethode heeft, moet u tweestapsverificatie uitschakelen voordat u dit kunt doen. U kunt de sms-codes van uw mobiele telefoon opnieuw activeren door op de knop "Activeren" te klikken naast het telefoonnummer dat u wilt activeren. Probeer het opnieuw. Als u de beveiligingscodes voor sms-berichten wilt uitschakelen en een andere authenticatiemethode wilt gebruiken, heeft u een codegenerator en een geactiveerde beveiligingssleutel nodig. Zie meer informatie over het beheren van instellingen voor de authenticatiemethode. Houd er echter rekening mee dat de standaardtarieven van uw provider voor het verzenden en ontvangen van berichten van toepassing zijn.

Voer het wachtwoord voor de pagina in.

Vul de bevestigingscode in en klik op “Code versturen”.

Als u dit inschakelt, wordt er een speciale beveiligingscode op uw telefoon gegenereerd die u kunt gebruiken om uw inlogpoging vanaf een andere computer of mobiel apparaat te verifiëren. De codegenerator werkt op mobiele apparaten, zelfs als er geen toegang is tot sms-berichten of een internetverbinding. U kunt het ook gebruiken als u ooit uw wachtwoord moet wijzigen.

Waarom is snel wachtwoordherstel niet beschikbaar voor mij?

Een codegenerator opzetten. Op dit moment kunt u de codegenerator alleen vanaf uw computer configureren. Om een ​​codegenerator op te zetten. Om de code op uw mobiele apparaat te ontvangen. Wanneer u zich aanmeldt met uw wachtwoord en verificatiecode, is uw account veiliger. Als u deze extra beveiligingslaag verwijdert, wordt u om een ​​wachtwoord gevraagd om in te loggen, waardoor het voor een gebruiker gemakkelijker wordt om zonder toestemming op uw account in te loggen.

De functie is ingeschakeld. Plaats een vinkje naast “Onthoud huidige browser” om de code niet elke keer op deze computer in te voeren en klik vervolgens op de knop “Installatie voltooien”.

Wachtwoorden opnieuw instellen voor apps die u niet meer gebruikt

Selecteer tweestapsverificatie in het gedeelte 'Inloggen en beveiliging' van mijn account. Wanneer u hierom wordt gevraagd, logt u in op uw account met uw gebruikersnaam, wachtwoord en verificatiecode. Er verschijnt een pop-upvenster waarin wordt bevestigd dat u tweestapsverificatie wilt uitschakelen. Selecteer Tweestapsverificatie uitschakelen. . We raden u aan wachtwoorden in plaats van applicatiewachtwoorden opnieuw te gebruiken om toegang te krijgen tot applicaties.

Mogelijk moet u uw wachtwoord opnieuw invoeren. . U moet elke app waarvan u het app-wachtwoord heeft ingetrokken opnieuw autoriseren door uw gebruikersnaam en wachtwoord in te voeren, net zoals u deed voordat u tweestapsverificatie inschakelde. De volgende keer dat u de toepassing gebruikt, kunt u deze informatie mogelijk niet verkrijgen, omdat het bij sommige toepassingen langer duurt om te detecteren dat het toepassingswachtwoord is ingetrokken. Bovendien moet u niet vergeten alle beveiligingscodes te vernietigen die u hebt gebruikt om het eigendom van dat account te verifiëren.

Hoe schakel ik tweefactorauthenticatie uit?

Nog steeds in hetzelfde gedeelte 'Beveiliging' klikt u op de knop 'Inlogbevestiging uitschakelen'.

De eerste keer dat u zich aanmeldt bij een nieuw apparaat, moet u twee gegevens opgeven: een wachtwoord en een zescijferige verificatiecode die automatisch op uw vertrouwde apparaten verschijnt. Zorg er bij het invoeren van de code voor dat u het nieuwe apparaat vertrouwt. Zodra u zich aanmeldt, wordt u niet meer gevraagd een verificatiecode op dat apparaat in te voeren, tenzij u zich volledig afmeldt, het apparaat verwijdert of om veiligheidsredenen uw wachtwoord wijzigt. Wanneer u zich online aanmeldt, kunt u uw browser aanwijzen als vertrouwde browser, zodat u de volgende keer dat u zich aanmeldt bij die computer, niet om een ​​verificatiecode wordt gevraagd.

Voer het wachtwoord voor de pagina in.

Hallo! In het vorige artikel hebben we gekeken en zoals beloofd zal ik je vandaag vertellen over het ingebouwde VK-beveiligingssysteem met twee niveaus, waarmee je bijna 100% kunt voorkomen dat ongeautoriseerde gebruikers je wachtwoord stelen en inloggen vanaf je pagina.

Vertrouwde telefoonnummers

Een vertrouwd telefoonnummer is een nummer dat u kunt gebruiken om verificatiecodes te ontvangen via sms of telefoontje. U moet ten minste één vertrouwd telefoonnummer verifiëren om u te registreren voor tweefactorauthenticatie.

Een set back-upcodes maken en bekijken

Overweeg ook om andere telefoonnummers te controleren waartoe u mogelijk toegang heeft, zoals uw privénummer of dat van een familielid of goede vriend. Deze nummers kunnen worden gebruikt als u tijdelijk toegang heeft tot uw apparaten.

Allereerst moet u naar uw pagina op de VK.COM-website gaan en in het linkermenu “mijn instellingen” selecteren. Helemaal bovenaan moet u het tweede tabblad “beveiliging” selecteren:

Laten we eerst de AANMELDINGSBEVESTIGING instellen. De aanmeldingsbevestiging biedt betrouwbare bescherming tegen hacking: om de pagina te openen, moet u een eenmalige code invoeren die u via sms of een andere verbonden methode ontvangt.

Schakel tweefactorauthenticatie in de instellingen in

Voer het telefoonnummer in dat u wilt gebruiken om verificatiecodes te ontvangen wanneer u zich aanmeldt. Je kunt zelf kiezen of je codes via sms of telefoontje wilt ontvangen. Voer de verificatiecode in om uw telefoonnummer te verifiëren en tweefactorauthenticatie in te schakelen.

In dit geval zult u merken dat tweefactorauthenticatie al is ingeschakeld. Als u al tweestapsverificatie gebruikt en wilt upgraden. Als uw account niet in aanmerking komt voor tweefactorauthenticatie, kunt u deze gebruiken om uw gegevens te beschermen.

Om te activeren, moet u op de knop "verbinden" klikken. U wordt doorgestuurd naar een pop-upvenster met een informatiebrochure. Bevestiging van inloggen met uw telefoon. Inlogbevestiging biedt een extra beschermingsniveau voor uw VKontakte-pagina. U kunt uw pagina beveiligen met uw mobiele telefoon.
Let op: wanneer de aanmeldingsbevestiging is ingeschakeld, is de wachtwoordherstelservice per telefoonnummer niet meer beschikbaar. Daarom raden we u ten zeerste aan een actuele e-mail aan de pagina toe te voegen, uw echte voor- en achternaam op te geven en uw echte foto's als de belangrijkste te uploaden voordat u doorgaat met de installatie.

Dingen om te onthouden bij het gebruik van tweefactorauthenticatie

Eenmaal geactiveerd, vereist inloggen op uw account zowel een wachtwoord als toegang tot vertrouwde apparaten of telefoonnummers. Om maximale accountbeveiliging te garanderen en ervoor te zorgen dat u nooit de toegang verliest, moet u deze eenvoudige richtlijnen volgen.

Telefoonnummers bijwerken

U kunt telefoonnummers en vertrouwde apparaten beheren, evenals andere accountgegevens. Om tweefactorauthenticatie te gebruiken, moet u minimaal één vertrouwd telefoonnummer registreren waarop u verificatiecodes kunt ontvangen. Volg deze stappen om vertrouwde telefoonnummers bij te werken:

Om te autoriseren, moet u een speciale code gebruiken die u op een van de volgende manieren heeft ontvangen: sms, mobiele applicatie, voorgedrukte lijst.

Verificatie zal u niet vermoeien: om toegang te krijgen tot uw account vanaf een nieuwe browser of nieuw apparaat, hoeft u de verificatiecode slechts één keer in te voeren.

Zelfs als een aanvaller uw gebruikersnaam, wachtwoord en de gebruikte verificatiecode achterhaalt, heeft hij geen toegang tot uw pagina vanaf zijn computer.

Ga naar het gedeelte 'Beveiliging' en klik op 'Bewerken'. . Als u een telefoonnummer wilt toevoegen, klikt u op Een vertrouwd telefoonnummer toevoegen en voert u het in. Als u een vertrouwd telefoonnummer wilt verwijderen, klikt u op naast het telefoonnummer dat u wilt verwijderen.

Volg deze stappen om een ​​wachtwoord voor de applicatie te maken. Nadat u een wachtwoord voor de app heeft aangemaakt, voert u dit in of plakt u het zoals gebruikelijk in het app-wachtwoordveld. Gebruik verschillende methoden om vertrouwde apparaten aan te wijzen en verificatiecodes te verzenden; Bovendien biedt het een verbeterde gebruikersinterface. Tweefactorauthenticatie is vereist om bepaalde functies te gebruiken waarbij verbeterde beveiliging vereist is.

Het enige dat u hoeft te doen, is op de knop ‘Doorgaan met instellen’ in de rechter benedenhoek van het scherm klikken. Er verschijnt een ander venster waarin u wordt gevraagd uw huidige wachtwoord voor de VKontakte-pagina in te voeren.

Bevestiging van actie. Om de actie te bevestigen, moet u het wachtwoord voor uw pagina opnieuw invoeren.

Een applicatie opzetten voor het genereren van codes

Als u zich wilt aanmelden en geen vertrouwd apparaat bij de hand heeft dat verificatiecodes kan weergeven, kunt u via sms of telefoontje een code aanvragen die naar een vertrouwd telefoonnummer wordt verzonden. Klik in het inlogscherm op ‘Ik heb geen code ontvangen’ en kies de optie om de code naar een vertrouwd telefoonnummer te sturen.

Is er een beveiligingsvraag die ik ook moet onthouden?

Accountherstel is een automatisch proces dat is ontworpen om u snel toegang te geven tot uw account terwijl u de toegang ontzegt aan iedereen die u mogelijk vertegenwoordigt. Dit kan enkele dagen of langer duren, afhankelijk van het specifieke account dat u opgeeft om uw identiteit te verifiëren. Dankzij tweefactorauthenticatie hoeft u geen beveiligingsvragen te selecteren of te onthouden. Uw identiteit wordt alleen geverifieerd met uw wachtwoorden en verificatiecodes, die naar uw apparaten en vertrouwde telefoonnummers worden verzonden.

Voer uw wachtwoord in het daarvoor bestemde veld in en klik op de knop “Bevestigen”. Als u het correct heeft ingevoerd, verschijnt er een nieuw venster waarin u wordt gevraagd een BEVESTIGINGSCODE te ontvangen op het mobiele nummer dat aan de VK-pagina is gekoppeld.

Wanneer u zich aanmeldt voor tweefactorauthenticatie, bewaren we uw eerdere beveiligingsvragen twee weken voor het geval u de eerdere beveiligingsinstellingen van uw account wilt resetten. Na deze periode worden de vragen verwijderd.

Hoe u de aanmeldingsbevestiging via de telefoon kunt uitschakelen

Wanneer u zich aanmeldt bij een nieuw apparaat, ontvangt u een melding over andere vertrouwde apparaten, waaronder een kaart met de geschatte locatie van het nieuwe apparaat. De weergegeven locatie weerspiegelt mogelijk het netwerk waarmee u bent verbonden en niet uw fysieke locatie.

Bevestiging van actie. Ter bevestiging van de actie sturen wij een gratis sms-bericht met een code naar uw mobiele telefoon.

Als het verkeerde nummer is opgegeven, klikt u op de knop "wijzigen" en bindt u een nieuw nummer. Als alles in orde is, klikt u op de knop “code ophalen”. Binnen 5 seconden ontvangt u een digitale code van 5 cijfers van de VKcom-ontvanger op uw telefoon.
VK 56732 - code om bevestiging van toegang tot de pagina te activeren.

Voer het in het speciale veld in en klik op de knop “code verzenden”:

Zodra de vereiste code wordt ingevoerd, wordt de login-bevestigingsinstelling geactiveerd.

Bevestiging van inloggen. De controle op de aanmeldingsbevestiging is succesvol geactiveerd.

Vergeet niet uw back-upcodes af te drukken. Hiermee kunt u de aanmelding bevestigen als u geen toegang heeft tot uw telefoon, bijvoorbeeld als u op reis bent.

Als u wilt, kunt u het vakje ‘huidige browser onthouden’ aanvinken. Dit biedt extra bescherming tegen ongeoorloofde toegang.

Klik vervolgens op “Installatie voltooien”.

Nu moet je verder gaan met subtielere instellingen. Alles is aanwezig, op het tabblad "beveiliging" moet u back-upcodes verkrijgen en deze afdrukken of op een veilige plaats opslaan.

Back-upcodes voor aanmeldingsbevestiging. Je hebt nog 10 codes, elke code kan slechts één keer worden gebruikt. Print ze uit, bewaar ze op een veilige plaats en gebruik ze wanneer je de codes nodig hebt om je invoer te verifiëren.
1. 0562 0104
2. 6747 5654
3. 3004 5587
4. 5521 8277
5. 1491 1308
6. 6061 3403
7. 2282 4633
8. 7984 0853
9. 4645 4558
10. 2779 8441
U kunt nieuwe codes krijgen als deze op zijn. Alleen de meest recent aangemaakte back-upcodes zijn geldig.

U kunt op de knop "codes afdrukken" klikken. Er wordt onmiddellijk een pagina gegenereerd die kan worden verzonden om af te drukken.

Bewaar de codes op een veilige plaats en gebruik ze
loginbevestiging als u uw telefoon niet bij u heeft.
Elke code kan slechts één keer worden gebruikt.
U kunt altijd nieuwe back-upcodes verkrijgen op
instellingen op uw VKontakte-pagina.

Zo ziet de afgedrukte codepagina eruit:

Laten we nu teruggaan naar het tabblad VEILIGHEID en praten over toepassingen voor het genereren van codes. Deze functie is handig te gebruiken op mobiele telefoons en tablets. Klik op de knop “Toepassing voor het genereren van code (inschakelen)”.

Er wordt een instellingenvenster geopend.

Een applicatie opzetten voor het genereren van codes. Met toepassingen voor het genereren van tweestapsverificatiecodes kunt u codes ontvangen, zelfs zonder netwerkverbinding of mobiele service.
Gebruik elke applicatie om tweestapsverificatiecodes te genereren. Bijvoorbeeld Google Authenticator voor iPhone, Android, Authenticator voor Windows Phone.

Scan de QR-code in de app of voer hieronder de geheime sleutel in. Om te bevestigen dat de app correct is ingesteld, voert u vervolgens de verificatiecode van de app in.

We keren weer terug naar het tabblad "BEVEILIGING" en klikken op de link "Applicatiewachtwoorden instellen".

Applicatiewachtwoorden.

U heeft nog geen applicatiewachtwoorden.

Voer nu gewoon de naam in het Latijn in en klik op "wachtwoord aanmaken". Er wordt een venster geopend met uw wachtwoord voor de applicatie.

Applicatiewachtwoorden.

Uw wachtwoord voor de SMMis-applicatie:
10yj emew ekyc ydul

Voer het wachtwoord dat u zojuist hebt aangemaakt in de applicatie in in plaats van uw wachtwoord.
U hoeft dit wachtwoord niet te onthouden. Je hoeft het maar één keer in te voeren.

De installatie is voltooid. Klik op de knop “SLUITEN”.

Applicatiewachtwoorden.

Sommige apps ondersteunen nog geen inlogverificatie. Als de applicatie een foutmelding geeft met betrekking tot het wachtwoord, moet u er een speciaal wachtwoord voor maken en dit invoeren in plaats van het normale wachtwoord voor de pagina. Voor elke toepassing dient u uw eigen aparte wachtwoord te genereren. Applicatiewachtwoorden worden slechts één keer ingevoerd; u hoeft ze niet te onthouden.

Indien gewenst kunt u een nieuwe aanmaken en de oude verwijderen.

Laten we het nu hebben over browserverificatie. U kunt de bevestiging verwijderen:
- vanuit de huidige browser
- op andere apparaten

De huidige browser is degene waarmee het sociale netwerk is geopend. VKontakte-netwerk op het moment dat de aanmeldingsbevestiging is ingeschakeld.

Nadat u uw browser uit de aangevinkte browsers heeft verwijderd, moet u de volgende keer dat u deze gebruikt een nieuwe bevestigingscode invoeren.

Als u wilt verwijderen, klikt u op de knop ‘Verwijderen uit gecontroleerd’. Het bericht “De geverifieerde status van deze browser is verwijderd” verschijnt.

Als we het over andere apparaten hebben, is het algoritme vergelijkbaar.

Verificatiecodes op andere apparaten

Nadat u alle geverifieerde apparaten opnieuw heeft ingesteld, moet u op alle apparaten en browsers opnieuw verificatiecodes invoeren, behalve op de huidige.

Door de reset worden ook actieve sessies beëindigd en app-wachtwoorden verwijderd.

Klik op de knop “resetten” als u ze wilt resetten. Het bericht “Codes op andere apparaten zijn gereset” verschijnt.

Om aanmeldingsbevestigingen uit te schakelen, moet u op de overeenkomstige knop op het tabblad Beveiliging klikken.

U moet het huidige wachtwoord voor uw VK-pagina invoeren. Als u een fout maakt bij het invoeren, verschijnt de melding “Ongeldig wachtwoord opgegeven.” Je kunt altijd een nieuwe instellen. Zodra u het juiste wachtwoord invoert, wordt de aanmeldingsbevestigingsfunctie uitgeschakeld.

Laten we het nu hebben over de activiteitengeschiedenis. Activiteitengeschiedenis toont informatie over vanaf welke apparaten en op welk tijdstip u de site heeft bezocht. Als u vermoedt dat iemand toegang heeft gekregen tot uw profiel, kunt u deze activiteit op elk gewenst moment stopzetten.

Als u dus vermoedt dat u bent vergeten uit te loggen bij VKontakte bij een vriend thuis of dat iemand anders uw pagina gebruikt, kunt u dit eenvoudig controleren en met één klik uitloggen van alle pagina's behalve de pagina die in uw browser is geopend.

Klik op de knop “activiteitsgeschiedenis weergeven” en als u logins van andere browsers en IP’s ziet, klikt u op de knop “alle sessies beëindigen” en wijzigt u het wachtwoord voor de pagina:

En de laatste verdedigingslinie is de bescherming van verzonden gegevens:

Als u zich op een openbaar Wi-Fi-netwerk bevindt of niet zeker bent van de betrouwbaarheid van de verbinding, vinkt u eenvoudigweg het vakje 'Gebruik altijd een beveiligde verbinding (HTTPS)' aan en klikt u op de knop 'Opslaan'.

Een verbinding via een beveiligd protocol betekent dat al uw gegevens versleuteld worden overgedragen, zodat aanvallers deze niet kunnen onderscheppen. Bij gebruik van onbetrouwbare communicatiekanalen, zoals gratis of openbare WiFi-netwerken, moet een beveiligde verbinding ingeschakeld zijn. Een beveiligde verbinding kan de site vertragen, dus deze mag alleen worden gebruikt op onbeveiligde netwerken.

Dit zijn in principe alle beveiligingsinstellingen die VKontakte ons biedt. Als je vragen hebt, stel ze dan in de reacties.

Ik reserveer dat ik, voordat ik aan het artikel begin, al mijn observaties op HackerOne heb uiteengezet. Geen van de beschreven bugs werd door VKontakte herkend. Maar toen ik, voordat ik het artikel publiceerde, besloot om bevestigende schermafbeeldingen te maken, bleek dat een van de bugs was opgelost. Het feit dat ze naar mijn woorden hebben geluisterd, kan niet anders dan blij zijn. Het is alleen jammer dat de jongens niet eens 'bedankt' zeiden.

Dus fout nummer 1. Statische geheime sleutel.

Om een ​​OTP-generatieapplicatie aan zijn account te koppelen, voert de gebruiker een wachtwoord in, waarna een pagina wordt geopend met de geheime sleutel die nodig is om een ​​softwaretoken uit te geven. Tot nu toe gaat het goed.

Maar als de gebruiker om de een of andere reden het softwaretoken niet onmiddellijk heeft geactiveerd (hij werd bijvoorbeeld afgeleid door een belangrijke oproep, of veranderde eenvoudigweg van gedachten en keerde terug naar de hoofdpagina), dan besluit hij na enige tijd het token te ontvangen , krijgt hij opnieuw dezelfde geheime sleutel aangeboden.

Wat de situatie nog erger maakt, is dat binnen een half uur na het invoeren van uw wachtwoord, zelfs als u naar de hoofdpagina bent gegaan of bent uitgelogd bij uw account en vervolgens opnieuw hebt ingelogd, er niet opnieuw om het wachtwoord wordt gevraagd voordat de QR-code met het geheim is weergegeven.

Waarom is dit gevaarlijk?

Het VKontakte-token werkt, net als elk ander TOTP-token, volgens een vrij eenvoudig principe: het genereert eenmalige wachtwoorden volgens een algoritme dat is gebaseerd op twee parameters: tijd en een geheime sleutel. Zoals u zelf begrijpt, is het enige dat nodig is om de tweede factor van authenticatie in gevaar te brengen, het kennen van de GEHEIME SLEUTEL.

Een dergelijke kwetsbaarheid laat twee mazen achter voor een aanvaller:

1. Als de gebruiker wegloopt van de computer, heeft de aanvaller voldoende tijd om zijn privésleutel in gevaar te brengen.
2. Nadat een aanvaller het wachtwoord van een gebruiker in bezit heeft genomen, kan hij zijn geheime sleutel gemakkelijk vooraf bespioneren.

Het probleem oplossen is eenvoudigweg eenvoudig. De geheime sleutel moet elke keer dat de pagina wordt bijgewerkt veranderen, zoals bijvoorbeeld op Facebook gebeurt.

Fout #2. Het nieuwe token na heruitgave gebruikt dezelfde geheime sleutel.

Op het moment van publicatie van dit artikel was deze fout gecorrigeerd.

De hierboven beschreven situatie wordt verergerd door het feit dat VKontakte u bij het opnieuw uitgeven van het token geen nieuwe geheime sleutel zal aanbieden. Er is feitelijk 1 geheime sleutel aan uw pagina gekoppeld en u kunt deze niet meer wijzigen.

Waarom is dit gevaarlijk?

Als u erachter komt dat uw privésleutel is aangetast (bijvoorbeeld tijdens de eerste uitgifte van een token, zoals beschreven in het eerste punt), heeft u geen dubbele VKontakte-authenticatie meer nodig. Schakel gerust de tweede factor uit en kies een sterker wachtwoord. Het is niet mogelijk om een ​​token met een nieuw geheim opnieuw uit te geven.

Als u de telefoon bent kwijtgeraakt waarop het token is geïnstalleerd, kunt u hetzelfde doen. Iedereen die uw smartphone in handen krijgt, kan deze veilig gebruiken om in te loggen op uw account. Het enige dat overblijft is het wachtwoord achterhalen. In dit geval gaat de hele essentie van tweefactorauthenticatie verloren. Het is duidelijk dat als een gebruiker merkt dat zijn account in diskrediet is gebracht, hij contact kan opnemen met de ondersteuning, maar dit zal kostbare tijd verspillen die hij misschien niet heeft.

Fout #3: De tweede factor uitschakelen zonder om een ​​eenmalig wachtwoord te vragen.

Alles hier blijkt duidelijk uit de titel. Wanneer de tweede factor is uitgeschakeld, is het invoeren van het wachtwoord voldoende, er wordt niet om OTP gevraagd.

Waarom is dit gevaarlijk?

Als u alleen een wachtwoord hoeft in te voeren om dubbele authenticatie op VKontakte uit te schakelen, gaat de essentie van tweefactorauthenticatie verloren. En de essentie van tweefactorauthenticatie is dat de nadelen van de ene factor worden gecompenseerd door de voordelen van een andere. Bij vk.com is dit de kennisfactor (wachtwoord) en de bezitsfactor (telefoon). Dit is bedacht om ervoor te zorgen dat het compromitteren van een van de factoren niet voldoende zou zijn om toegang te krijgen tot het account. Als een aanvaller uw wachtwoord heeft, heeft hij geen eenmalig wachtwoord nodig om uw account te hacken, en omgekeerd: als hij bezit heeft genomen van uw telefoon, moet hij bovendien het wachtwoord weten.

Hier blijkt dat het voldoende is om het wachtwoord van de gebruiker te achterhalen om eenvoudigweg de tweede authenticatiefactor uit te schakelen. In wezen verandert dit de tweefactorauthenticatie van VKontakte in eenfactorauthenticatie.

VKontakte biedt zijn gebruikers een zeer handige functie "Bevestiging verwijderen uit huidige browser". Ik ben er zeker van dat de functie populair is en dat gebruikers de bevestiging uitschakelen, tenminste thuis en op het werk. Bovendien hebben de meeste gebruikers hun wachtwoorden opgeslagen in hun browser, waar ze gemakkelijk kunnen worden bekeken en gekopieerd.

Laten we ons deze situatie voorstellen: uw collega besloot een grap met u uit te halen. Terwijl je niet aan het werk was, ging hij naar je computer, bekeek de opgeslagen wachtwoorden in de browser, logde in op VK en schakelde 2FA uit. Nu kan hij inloggen op uw account totdat u wijzigingen opmerkt, wat misschien niet snel zal gebeuren. U heeft nog niet eerder een eenmalig wachtwoord ingevoerd op de apparaten die u het vaakst gebruikt, wat betekent dat er voor u niets verandert. En je grappenmaker-collega krijgt volledige toegang tot je account, en niemand weet waar dit toe kan leiden.

Als de bug met de heruitgave van het token niet was opgelost en de geheime sleutel niet veranderde toen het token opnieuw werd uitgegeven, had de situatie nog interessanter kunnen worden! Uw collega, die het wachtwoord al kent, kan 2FA uitschakelen en vervolgens tweefactorauthenticatie opnieuw inschakelen, de geheime sleutel bekijken, zichzelf een token uitgeven dat identiek is aan het uwe, en uw berichten lezen zolang uw account actief is.

Conclusies

Wanneer u tweestapsverificatie koppelt aan uw VKontakte-account, verschijnt er een herinnering met de tekst: “Zelfs als een aanvaller uw gebruikersnaam, wachtwoord en de gebruikte verificatiecode ontdekt, heeft hij geen toegang tot uw pagina vanaf zijn computer.”

Helaas bleek dat dit niet helemaal waar is. Onder bepaalde omstandigheden kan een buitenstaander het VKontakte-token van iemand anders herkennen of zelfs de tweede factor volledig uitschakelen door uw wachtwoord te kennen. Ik wacht op uw mening.

Vandaag zullen we het hebben over een van de meest effectieve methoden om uw VKontakte-pagina te beschermen. We zullen de autorisatie op de site zo instellen dat het onmogelijk is om toegang te krijgen tot uw pagina totdat u de code invoert die u ontvangt via de sms die wordt verzonden naar uw telefoonnummer dat aan uw account is gekoppeld. Dat wil zeggen dat alles op dezelfde manier gebeurt als u internetbankieren gebruikt.

Zorg er daarom, voordat u iets gaat instellen, voor dat het huidige nummer aan uw VK-pagina is gekoppeld en dat u dit niet gaat wijzigen. .

De functie is best handig; als u bang bent voor uw pagina, zullen de genomen stappen de veiligheid ervan aanzienlijk verhogen.
Laten we gaan oefenen

Hoe loginbevestiging op VK in te schakelen

Klik in het bovenste menu in de rechterhoek op de knop met uw miniatuur en selecteer “Instellingen” in de vervolgkeuzelijst:

Ga in de volgende fase naar het tabblad ‘Beveiliging’. Helemaal bovenaan vinden we het gedeelte ‘Inlogbevestiging’ en klikken op de knop ‘Verbinden’:

Vervolgens krijgen we een hele petitie over het bevestigen van je wachtwoord via een mobiele telefoon. Ze schrijven hoe goed het voor je is en hoe slecht het is voor aanvallers. Ze waarschuwen ook dat als u deze functie inschakelt, wachtwoordherstel per telefoonnummer niet meer beschikbaar zal zijn, en daarom worden we gevraagd om de huidige e-mail te koppelen en alle juiste gegevens op de pagina aan te geven. Zodat het later gemakkelijk kan worden hersteld. ().

We lezen dit allemaal en klikken op de knop "Doorgaan met instellen".

Er verschijnt een pop-upvenster waarin we het wachtwoord voor de pagina moeten invoeren en op de knop "Bevestigen" moeten klikken:

We voeren de bevestigingscode in die op onze telefoon zou moeten zijn aangekomen en klikken op de knop ‘Code verzenden’:

Het volgende venster verschijnt waarin ze ons schrijven over back-upcodes en ons vragen deze niet te vergeten af ​​te drukken.

Reservecodes – een lijst met 10 toegangscodes. Dit zijn constante nummers, deze veranderen niet en kunnen handig zijn als u naar de pagina wilt gaan en uw telefoon op dat moment niet beschikbaar is. U kunt een van deze codes invoeren en naar de pagina gaan. Daarom is het belangrijk om deze lijst af te drukken en bij u te hebben.

Klik op de knop “Installatie voltooien”:

Back-upcodes kunnen worden bekeken in hetzelfde gedeelte 'Beveiliging'. Zoek de zinsnede “Back-upcodes” en klik ernaast op de link “Lijst weergeven” ernaast.

Dat is alles, de functie is uitgeschakeld, we hebben de taak voltooid.

En hiermee rond ik dit artikel af, ik hoop dat de opgedane kennis nuttig voor je was en dat je het hebt geïmplementeerd, waardoor je VKontakte-account is beveiligd.

« VKontakte geeft altijd om uw veiligheid” - vanaf de allereerste dagen van zijn bestaan ​​is dit motto een integraal onderdeel van dit sociale netwerk geweest. netwerken. En vandaag is er weer een hele grote en belangrijke stap gezet om uw account te beveiligen!

Een extra verificatiemethode aansluiten

Met de nieuwe functie voor aanmeldingsbevestiging kunt u nog meer doen bescherm uw account van ‘ongewenste’ bezoekers. De functie is relatief recent toegevoegd en is beschikbaar voor alle gebruikers. Laten we eens kijken naar de verbindingsstappen:

U kunt onze functie activeren door naar “ Mijn instellingen", open het tabblad " Algemeen", instellingen subgroep " Beveiliging van uw pagina" Tegenover het artikel " Bevestiging van inloggen"klik" verbinden».

Voortdurend gebruik van beproefde apparaten

VKontakte zorgde voor de zenuwen van mensen en besloot ons te behoeden voor eindeloze controles op vertrouwde apparaten. Wanneer u inlogt, krijgt u de mogelijkheid onthoud dit apparaat en bespaar jezelf de talloze sms-berichten.