Открыть список
Как стать автором
Обновить

Комментарии 31

А какой токен вы использовали?
Я использовал Protectimus Slim mini.
Вывод, который я сделал, прочитав материал, — двухфакторную аутентификацию к своей странице в VK нужно подключать дома и сразу (лучше, в полном одиночестве). Тогда бояться нечего.
Чтобы точно ничего не бояться, не снимайте подтверждение входа ни с одного браузера. А еще лучше подключите 2FA, после чего отключите и выпустите новый токен с новым секретом. Так Вы сможете быть уверенным, что никто не успел скопировать Ваш секрет до того, как Вы решили усилить безопасность аккаунта.
Насколько я понимаю, все это касается варианта с использованием приложения для генерации одноразовых паролей. А если пользоваться SMS?
Да, все правильно, я наткнулся на все эти нюансы, когда собирался подключить к аккаунту токен, правда перепрошиваемый аппаратный. Общеизвестно, что аппаратные токены надежней SMS или программных. Но в случае с Вконтактом законы логики бессильны, потому получается, что перевес действительно на стороне SMS. С другой стороны, теперь, когда вторая ошибка исправлена и при переподключении токена секретный ключ меняется, можно использовать эту “фичу” для обновления секрета. Подключаете токен, отключаете 2FA, потом опять переподключаете токен, получая при этом свеженький секрет, и спите спокойно.
С учётом недавних историй когда непонятные люди в сотнях километров от вас получали копию вашей SIM, якобы по вашим документам, SMS уже не кажется таким надёжным методом защиты.
Причем эта «услуга» уже в открытую на специализированных форумах предлагается и относительно недорого :(
Симкарты, оформленные на организации так же безпроблемно сделают?
Кто ж их знает. Теоретически, доверенность от организации нарисовать тоже никто не мешает. Даже паспорт «владельца» сим-карты не нужен.
Юрлица целиком вон уводят по поддельным документам в налоговую (вместе со всеми активами), а тут замена сим-карты какой-то всего лишь.
Я в начале этого года, просто так заполучил новую симку от своего номера (в «центральном офисе» г. Тулы, но не буду говорить какого оператора, дабы не чернить) и, по-моему, даже имя не спросили. Просто номер. Без паспорта. А Вы про поддельные документы говорите :)
Недавно пришлось менять одну старую симкарту с 3г на 4г, симкарта зарегистрирована на родственника.
Судя по диалогу и действиям в салоне оператора — никаких ограничений для того чтобы выпустить новую симку у представителей в салоне нет — достаточно иметь на руках сим-карту с номером, указанным на ней.
Каких либо подтверждений при этом не требуется, кроме подтверждения «да, приходил хозяин симкарты», даже подписи вашей никто не запрашивает, да и паспорт не берёт, все необходимые данные и так видны представителям салона.
Нужно проверить, а то моей симке уже 9 год идёт, а тот, на кого регистрировал, к сожалению умер.
Мегафон у себя отключил на сутки СМС-сообщения на свежевыпущенные сим-карты. Внезапно и без объявления войны. Зашёл в салон сменить симку — сменил без проблем. Вот только сразу отвалились все возможности онлайн-банкинга — смс ни отправить, ни принять. Фича правильная для безопасности моего счёта в банке, но очень плохо, что узнал о ней через пол дня попыток настроить работу СМС на новом смартфоне — позвонил в саппорт, отчаявшись решить трабл самостоятельно.
Должны были, конечно, предупредить. Менял симку около месяца назад и обрадовался, когда меня об этом уведомили. Правда потом понял, что не могу сбросить PIN (по СМС) для мобильного приложения оплаты парковки в самый неподходящий момент.
С учетом всех минусов, все равно считаю, что в наших реалиях блокировка услуги СМС на сутки больше добро, чем зло.
НЛО прилетело и опубликовало эту надпись здесь
к чему этот вопрос здесь?
Здесь все понятно из названия. При отключении второго фактора, достаточно ввода пароля, OTP не запрашивается.

OTP и не должен запрашиваться при его отключении.
OTP может быть утерян и для отключения данной проверки у пользователя необходимо запросить пароль и секретный ключ.
Это как раз тот случай, когда лучше утерю ОТР решать через поддержку.
ad1Dima пишет правильно, при утере токена нужно обращаться в службу поддержки. Откуда Вы узнаете свой секретный ключ, если потеряли токен? На всякий случай запишите на стикер и приклеите к монитору?
Обращаться то можно куда угодно, но эта самая служба поддержки должна запросить у вас либо секретный ключ, либо большой набор документов вместо него, дабы гарантировать что обращение пришло от реального владельца аккаунта.

На всякий случай запишите на стикер и приклеите к монитору?

Т.е. пароль вы именно там храните?
Существуют менеджеры паролей которые позволяют довольно надёжно хранить свои пароли, БД от этих менеджеров можно держать в папке которая синхронизируется с dropbox, iCloud, yaDrive и пр.
Классически эта проблема решается фиксированными одноразовыми кодами, которые сообщаются пользователю при генерации ключа токена. Посмотрите как это сделано у того же гугла.
По поводу 3:
1) С таким же успехом ваш коллега-юморист может взять ваш телефон и получить токен.
2) Как при потере телефона вы сможете отключить двухфакторную авторизацию, если вк будет просить код, который на него вышлет?
Резервные коды идут на помощь! Я обычно их печатаю на внутренней стороне своей шапочки из фольги:

1) На телефон тоже можно пароль поставить;
2) Восстановить симку и получить смс.
монжо просто не сидеть в vk :)
Вы тут двухфакторную аутентификацию для VK настраивает а надо профиль сносить в данной соц-сети ради безопастности…
/параноик_мод
На самом деле, надо было даже и не заводить. Да и вообще не оставлять данные о себе в интернете.
В VK она ещё более-менее логично реализована. Вот Facebook при входе предлагает выбрать привязанный номер телефона, причём в половине случаев отправляет SMS. Коды генерируются различные, но оба (что из приложения, что из SMS) подходят.
Не знаю нужен ли мой комментарий кому, но всё же. У меня есть фейковая страничка в вк, на которой я обкатываю всякие плюшки, которые они добавляют. Собственно его у меня дважды уводили без смены пароля. Первый раз 2факторная не была включена, а второй случай — она уже была включена. В обоих случаях я вёл долгую полемику с ТП, но результата не получил. Как первый раз его использовали не помню, но во второй раз его положили на сервер и использовали в качестве бота для накрутки лайков и прочего. Вразумительных ответов от ТП вк получить не получилось и в итоге желание докопаться до истины угасло, хотя хотел списаться с ТП фирмы владельца сервера, с которого скорее всего и осуществлялось использование моего аккаунта. Как смогли скомпрометировать мою страничку я так и не понял, но благодаря этой статье появилась пища для размышлений.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.