Комментарии 31
А какой токен вы использовали?
Вывод, который я сделал, прочитав материал, — двухфакторную аутентификацию к своей странице в VK нужно подключать дома и сразу (лучше, в полном одиночестве). Тогда бояться нечего.
Чтобы точно ничего не бояться, не снимайте подтверждение входа ни с одного браузера. А еще лучше подключите 2FA, после чего отключите и выпустите новый токен с новым секретом. Так Вы сможете быть уверенным, что никто не успел скопировать Ваш секрет до того, как Вы решили усилить безопасность аккаунта.
Насколько я понимаю, все это касается варианта с использованием приложения для генерации одноразовых паролей. А если пользоваться SMS?
Да, все правильно, я наткнулся на все эти нюансы, когда собирался подключить к аккаунту токен, правда перепрошиваемый аппаратный. Общеизвестно, что аппаратные токены надежней SMS или программных. Но в случае с Вконтактом законы логики бессильны, потому получается, что перевес действительно на стороне SMS. С другой стороны, теперь, когда вторая ошибка исправлена и при переподключении токена секретный ключ меняется, можно использовать эту “фичу” для обновления секрета. Подключаете токен, отключаете 2FA, потом опять переподключаете токен, получая при этом свеженький секрет, и спите спокойно.
С учётом недавних историй когда непонятные люди в сотнях километров от вас получали копию вашей SIM, якобы по вашим документам, SMS уже не кажется таким надёжным методом защиты.
Причем эта «услуга» уже в открытую на специализированных форумах предлагается и относительно недорого :(
Я в начале этого года, просто так заполучил новую симку от своего номера (в «центральном офисе» г. Тулы, но не буду говорить какого оператора, дабы не чернить) и, по-моему, даже имя не спросили. Просто номер. Без паспорта. А Вы про поддельные документы говорите :)
Недавно пришлось менять одну старую симкарту с 3г на 4г, симкарта зарегистрирована на родственника.
Судя по диалогу и действиям в салоне оператора — никаких ограничений для того чтобы выпустить новую симку у представителей в салоне нет — достаточно иметь на руках сим-карту с номером, указанным на ней.
Каких либо подтверждений при этом не требуется, кроме подтверждения «да, приходил хозяин симкарты», даже подписи вашей никто не запрашивает, да и паспорт не берёт, все необходимые данные и так видны представителям салона.
Судя по диалогу и действиям в салоне оператора — никаких ограничений для того чтобы выпустить новую симку у представителей в салоне нет — достаточно иметь на руках сим-карту с номером, указанным на ней.
Каких либо подтверждений при этом не требуется, кроме подтверждения «да, приходил хозяин симкарты», даже подписи вашей никто не запрашивает, да и паспорт не берёт, все необходимые данные и так видны представителям салона.
Мегафон у себя отключил на сутки СМС-сообщения на свежевыпущенные сим-карты. Внезапно и без объявления войны. Зашёл в салон сменить симку — сменил без проблем. Вот только сразу отвалились все возможности онлайн-банкинга — смс ни отправить, ни принять. Фича правильная для безопасности моего счёта в банке, но очень плохо, что узнал о ней через пол дня попыток настроить работу СМС на новом смартфоне — позвонил в саппорт, отчаявшись решить трабл самостоятельно.
Должны были, конечно, предупредить. Менял симку около месяца назад и обрадовался, когда меня об этом уведомили. Правда потом понял, что не могу сбросить PIN (по СМС) для мобильного приложения оплаты парковки в самый неподходящий момент.
С учетом всех минусов, все равно считаю, что в наших реалиях блокировка услуги СМС на сутки больше добро, чем зло.
С учетом всех минусов, все равно считаю, что в наших реалиях блокировка услуги СМС на сутки больше добро, чем зло.
НЛО прилетело и опубликовало эту надпись здесь
Здесь все понятно из названия. При отключении второго фактора, достаточно ввода пароля, OTP не запрашивается.
OTP и не должен запрашиваться при его отключении.
OTP может быть утерян и для отключения данной проверки у пользователя необходимо запросить пароль и секретный ключ.
Это как раз тот случай, когда лучше утерю ОТР решать через поддержку.
ad1Dima пишет правильно, при утере токена нужно обращаться в службу поддержки. Откуда Вы узнаете свой секретный ключ, если потеряли токен? На всякий случай запишите на стикер и приклеите к монитору?
Обращаться то можно куда угодно, но эта самая служба поддержки должна запросить у вас либо секретный ключ, либо большой набор документов вместо него, дабы гарантировать что обращение пришло от реального владельца аккаунта.
Т.е. пароль вы именно там храните?
Существуют менеджеры паролей которые позволяют довольно надёжно хранить свои пароли, БД от этих менеджеров можно держать в папке которая синхронизируется с dropbox, iCloud, yaDrive и пр.
На всякий случай запишите на стикер и приклеите к монитору?
Т.е. пароль вы именно там храните?
Существуют менеджеры паролей которые позволяют довольно надёжно хранить свои пароли, БД от этих менеджеров можно держать в папке которая синхронизируется с dropbox, iCloud, yaDrive и пр.
Классически эта проблема решается фиксированными одноразовыми кодами, которые сообщаются пользователю при генерации ключа токена. Посмотрите как это сделано у того же гугла.
По поводу 3:
1) С таким же успехом ваш коллега-юморист может взять ваш телефон и получить токен.
2) Как при потере телефона вы сможете отключить двухфакторную авторизацию, если вк будет просить код, который на него вышлет?
1) С таким же успехом ваш коллега-юморист может взять ваш телефон и получить токен.
2) Как при потере телефона вы сможете отключить двухфакторную авторизацию, если вк будет просить код, который на него вышлет?
монжо просто не сидеть в vk :)
Вы тут двухфакторную аутентификацию для VK настраивает а надо профиль сносить в данной соц-сети ради безопастности…
В VK она ещё более-менее логично реализована. Вот Facebook при входе предлагает выбрать привязанный номер телефона, причём в половине случаев отправляет SMS. Коды генерируются различные, но оба (что из приложения, что из SMS) подходят.
Не знаю нужен ли мой комментарий кому, но всё же. У меня есть фейковая страничка в вк, на которой я обкатываю всякие плюшки, которые они добавляют. Собственно его у меня дважды уводили без смены пароля. Первый раз 2факторная не была включена, а второй случай — она уже была включена. В обоих случаях я вёл долгую полемику с ТП, но результата не получил. Как первый раз его использовали не помню, но во второй раз его положили на сервер и использовали в качестве бота для накрутки лайков и прочего. Вразумительных ответов от ТП вк получить не получилось и в итоге желание докопаться до истины угасло, хотя хотел списаться с ТП фирмы владельца сервера, с которого скорее всего и осуществлялось использование моего аккаунта. Как смогли скомпрометировать мою страничку я так и не понял, но благодаря этой статье появилась пища для размышлений.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Двойная аутентификация Вконтакте — секс или имитация?