Хэш 2фа вк что это
Двухфакторная аутентификация ВК — опция, позволяющая усилить защиту учетной записи. Ее суть состоит в необходимости ввода дополнительного кода (к примеру, который приходит на мобильный телефон) после указания логина и пароля. В таком случае злоумышленник даже при наличии первичных данных для авторизации не сможет войти в профиль без доступа к смартфону владельца. Ниже рассмотрим, что такое 2-факторная аутентификация, для чего она нужна, как ее установить. Отдельно разберем тонкости восстановления доступа в случаи утери пароля.
Что такое двухфакторная аутентификация и для чего она нужна
Для начала разберемся с функцией подтверждения входа ВКонтакте, что это и как работает. Двухфакторная авторизация ВК — популярная функция, подразумевающая прохождение человеком двух этапов для получения доступа к своему аккаунту. Кроме ввода логина и пароля, система требует указания специального кода. Последний поступает на смартфон или берется из других источников (об этом ниже).
Получается, что учетная запись защищена двумя замками: пароль и код. Восстановить доступ к профилю в таком случае сложнее, ведь необходимо иметь возможность войти в почту и держать перед собой привязанный телефон. Двухфакторная защита ВКонтакте снижает вероятность взлома учетной записи другим пользователем. Даже если человек найдет логин и пароль, без телефона он не получится доступ к аккаунту.
Как восстановить доступ, если забыл пароль при включенной двойной аутентификации
Много вопросов касается того, как восстановить ВК с двухфакторной аутентификацией, если вы забыли пароль. Во избежание проблем в таких ситуациях нужно учесть следующие моменты:
- Всегда привязывайте к профилю актуальный телефон и почтовый ящик.
- Загружайте только настоящие фото. Если этих данных нет, идентифицировать владельца страницы будет сложно.
При этом убедитесь в следующем:
- учетная запись не заблокирована;
- вы имеете доступ к привязанному телефонному номеру;
- имеется информация о привязанной фамилии;
- есть пять друзей в профиле, которых можно указать в качестве доверенных.
При соблюдении этих условий на экране появляется предложение открыть доступ к аккаунту с двухфакторной аутентификацией через друзей. После получения согласия этим людям приходит код из шести символов. При этом каждую комбинацию нужно вводить в произвольно.
Зная, где находится функция подтверждения входа ВК, и как работает двухфакторная аутентификация, вы сможете в любой момент дополнительно защитить аккаунт. В комментариях расскажите, пользуетесь ли вы такой функцией, и как к ней относитесь.
Надёжно защитить ваш профиль от взлома поможет функция подтверждения входа или, как её еще называют, двухфакторная аутентификация (2FA). Это очень серьёзная защита, поэтому пользоваться ею нужно вдумчиво. Делимся рекомендациями, как не потерять аккаунт, пытаясь обезопасить его от злоумышленников.
Почему она называется двухфакторной?
Потому что добавляется дополнительный уровень защиты: при входе, помимо логина и пароля, нужно ввести специальный код, полученный на привязанное мобильное устройство. Таким образом, страница оказывается защищённой двумя замками: паролем и специальным кодом. Восстановление профиля с подключённым подтверждением входа тоже становится сложнее: понадобится доступ к привязанной почте и телефону.
Если кто-то украдёт ваш пароль, попасть в аккаунт он всё равно не сможет — для этого нужно будет добраться ещё и до телефона. Чтобы сделать задачу взломщика невыполнимой, убедитесь в том, что пароли от профиля ВКонтакте и почты разные, а ваш телефон защищён паролем. Взломать аккаунт с таким уровнем защиты практически невозможно.
Для сообщества
При желании можно сделать подтверждение входа в группе ВК для руководителей. Для этого нужно на ПК / ноутбуке сделать следующее:
- Войдите в раздел «Управление сообщества».
- Зайдите в раздел «Участники».
- Поставьте отметку возле пункта «Подтверждение входа».
- Сохраните изменения, чтобы модераторы получили соответствующее уведомление.
После выполнения указанных шагов активируется функция подтверждения входа ВКонтакте для сообщества. При этом руководители без подтверждения не смогут добавлять записи, создавать публикации, делиться новостями, оставлять комментарии и т. д. Двухфакторная аутентификация обязательна для всех руководителей верифицированных групп и отключить эту опцию не получится.
Как поставить двухфакторную защиту
Для получения таких возможностей нужно знать, как включить двухфакторную аутентификацию в ВК с телефона или ПК / ноутбука. Сразу отметим, что активация такой опции возможна через официальный сайт. Для этого сделайте следующее:
- Войдите в учетную запись ВК под своим логином и паролем.
- Жмите на стрелку возле картинки своего аккаунта и перейдите в настройки.
- Почитайте инструкцию и жмите «Приступить к настройке».
- Проверьте номер телефона или укажите новые данные.
- Жмите на кнопку «Получить код».
- Дождитесь кода подтверждения, который придет на мобильное устройство.
- Введите его в специальное поле.
- Кликните на кнопку «Подтвердить» и «Завершить настройку».
Зная, как включить функцию подтверждения входа в ВК, вы в любой момент сможете дополнительно защитить профиль.
При этом активацию двухфакторной аутентификации проще всего делать с ПК / ноутбука, но можно и через официальный сайт на смартфоне. В мобильном приложении включение опции не предусмотрено из соображений безопасности.
Как только удалось подключить двухфакторную аутентификацию в ВК, в меню появляется строчка «Резервные коды». Здесь можно найти одноразовые пароли, который подходят для авторизации в случае разряда аккумулятора смартфона и невозможности получения на него ключа. Для надежности рекомендуется сохранить эти данные, распечатать и держать в безопасном месте.
Я потерял пароль от профиля, а фотографий нет. Что делать?
Если вы потеряли доступ к аккаунту с 2FA, то попробовать вернуть его можно с помощью ваших друзей. Для этого понадобится заполнить специальную форму, но сперва убедитесь, что в вашей ситуации соблюдены несколько условий:
- нужный аккаунт не заблокирован;
- вам доступен привязанный к нему номер телефона;
- вы помните фамилию, которая там была указана;
- у профиля есть 5 друзей, которых можно выбрать в качестве доверенных.
Если всё так, на экране появится предложение вернуть доступ через друзей. После вашего согласия выбранные пользователи получат коды из 6 символов. Каждую комбинацию нужно будет ввести в произвольном порядке в специальное поле. Во время заполнения заявки вы увидите, сколько кодов уже ввели и сколько ещё осталось ввести.
Подтверждение входа — это дополнительная ступень защиты вашего профиля. Когда оно включено, войти в аккаунт с нового устройства получится, только если ввести дополнительный код подтверждения.
Если ваш логин и пароль каким-то образом попадёт в руки злоумышленника, у него всё равно ничего не выйдет: войти ему не позволит запрошенный код, который можете получить только вы.
Нет, одноразовый код требуется только при входе с нового устройства или браузера. После этого устройство автоматически запоминается, а браузер можно «запомнить» вручную — для этого при входе поставьте галочку в поле Запомнить браузер.
Мы рекомендуем подключать 2FA всем руководителям. Так вы обезопасите и себя, и подписчиков своего сообщества.
При этом крупные сообщества, где больше 10 000 участников, особенно привлекательны для мошенников. Поэтому в них мы ввели обязательное подтверждение входа для руководителей.
Мы верим, что вы трепетно относитесь к безопасности личных данных, но ситуации случаются разные. Опыт говорит о том, что не все пользователи достаточно осторожны.
Подтверждение входа помогает защитить профили руководителей сообщества, чтобы посторонним было сложнее получить доступ к ним и сообществам.
В худшем случае, если вашу страницу взломают из-за отсутствия 2FA, можете пострадать не только вы, но и подписчики вашего сообщества. Злоумышленник может воспользоваться их доверием и разослать вредоносные ссылки или просьбы о деньгах.
Если вы руководите крупным (больше 10 000 подписчиков) или верифицированным сообществом, без подключённого подтверждения входа вы не сможете управлять им: например, публиковать записи, оставлять комментарии от лица сообщества, изменять настройки.
Если к профилю не привязаны актуальные номер телефона и почта, а вы забудете пароль, то вернуть доступ получится только через подтверждение личности. Для этого в профиле обязательно должны быть указаны настоящие имя и фамилия, а также размещены ваши фотографии. Если данных для подтверждения личности недостаточно, мы не сможем понять, кому принадлежит профиль, и восстановить доступ.
Подключить двухфакторную аутентификацию можно в настройках профиля.
В версии для компьютера нажмите на свой аватар в правом верхнем углу, выберите Настройки → Безопасность → Подтверждение входа.
В мобильном приложении нажмите на свой аватар в левом верхнем углу, выберите Управление VK ID → Безопасность и вход → Подтверждение входа.
Что делать, если у меня не включено подтверждение входа и теперь я не могу управлять своим сообществом?
Достаточно подключить двухфакторную аутентификацию — доступ к управлению сообществом вернётся автоматически.
Как это сделать:
• в мобильном приложении: Настройки → Управление VK ID → Безопасность и вход → Подтверждение входа;
• в версии для компьютера: Настройки → Безопасность → Подтверждение входа.
Как это работает?
Теперь после ввода логина и пароля система будет запрашивать код подтверждения, который можно получить:
Если получить код ни одним из этих способов невозможно, введите заранее сохранённый резервный код подтверждения.
Код подтверждения действует только один раз, поэтому даже если ваш логин, пароль и использованный код подсмотрят или перехватят, с их помощью всё равно не получится зайти в аккаунт снова.
После того как вы введёте код подтверждения, система запомнит ваш браузер. Это значит, что вводить в нём комбинацию в следующий раз не понадобится. Если это не ваше устройство, то перед авторизацией нужно снять галочку с пункта «Запомнить браузер».
Вы можете в любое время снять подтверждение на всех устройствах либо только на текущем. Тогда при следующей попытке авторизоваться система запросит код подтверждения повторно.
Если кто-то попытается зайти в ваш профиль, вы получите об этом оповещение:
Что важно знать перед подключением 2FA?
- К вашему профилю должны быть привязаны актуальный email и телефон, а также загружены настоящие фотографии.
- Если на странице нет ваших фотографий, на которых хорошо видно лицо, мы не сможем идентифицировать вас как владельца аккаунта и помочь вернуть доступ, если что-то из первого пункта пойдёт не так.
- Если нет желания выкладывать фотографии в открытый доступ, вы всегда можете разместить их в скрытых альбомах (режим редактирования альбома: «Кто может просматривать этот альбом?» — «Только я»). Стоит также дать альбому соответствующее название, например «Это я».
Работает только если на странице всегда были указаны настоящая фамилия и имя.
Пример правильно оформленного профиля:
Пример неправильно оформленного профиля:
При соблюдении этих простых мер (актуальный email и телефон + наличие настоящих фотографий), двухфакторная аутентификация станет надёжным щитом, оберегающим ваши данные от взлома.
Настройка двухфакторной аутентификации в VK
Если вы пользуетесь любым интернет-банком, то вы в курсе что такое двухфакторная аутентификация, даже если впервые читаете это название. Это процесс, когда после ввода имени пользователя и пароля вас просят ввести одноразовый код, который приходит по СМС или в специальном приложении для смартфона. Для простоты обозначим этот термин 2FA .
Вконтакте, как и в любой другой соцсети, так же можно настроить 2FA. Обязательно настройте это в разы снизит вероятность взлома! Для этого идем в настройки.
Затем переходим в раздел "Безопасность"
Нажимаем на кнопку подключить в разделе "Подтверждение входа"
Откроется диалоговое окно настроек двухфакторной аутентификации. По окончании защита ВК от взлома значительно улучшится! Кликните по кнопке "Приступить к настройке"
Следующим шагом вам понадобится ваш сотовый телефон. На этот номер будет совершен звонок. Вам не обязательно отвечать на него, понадобится только запомнить 4 последних цифры номера телефона с которого поступит звонок. Кликните по кнопке "Позвонить".
Подтверждение входа включено! Кликните по кнопке "Завершить настройку".
Теперь при каждом новом входе с неизвестного устройства вконтакте будет спрашивать ваш логин, пароль, а затем проверочный код, который пришлет по СМС. Но кроме СМС существует второй способ ввода проверочного кода - это приложение Google Authenticator. Оно бесплатное и работает без интернета. Рекомендую поставить его на ваш смартфон.
Настраивается оно очень просто. Вконтакте показывает вам вот такой QR-код, который вы сканируете приложением Authenticator, получаете код подтверждения на экране смартфона и вводите этот код в соответствующее поле на сайте ВК. Код подтверждения - это 6 цифр разделенных пробелом. Вводить их нужно без пробела.
Вот как выглядит интерфейс программы Google Authentificator.
Теперь вам нет необходимости ждать СМС от вконтакте при входе с неизвестного устройства. Вам необходимо открыть Google Authentificator , и ввести проверочный код вашей учетной записи. Коды меняются каждые 30 секунд, поэтому угадать их невозможно. Даже если взломщик украдет ваш пароль он не сможет войти с ним не имея физического доступа к вашему смартфону.
Конечно это не панацея и хакеры не сидят на месте, находят обходные пути, но 2FA по прежнему является самой надежной защитой, которую вы можете себе позволить для защиты вашего аккаунта в вк. Хотя это не избавляет вас от необходимости соблюдать и другие меры по защите ваших данных. Купите хороший антивирус, повышайте свою грамотность!
Обратите внимание, что вы можете использовать Google Authentificator и для защиты других своих аккаунтов. Непременно сделайте это!
Как входить в профиль при включенной двойной идентификацией
Разобравшись, как поставить двухфакторную аутентификацию в ВК, необходимо понимать и особенности входа в учетную запись. Здесь алгоритм действий будет следующим:
- Войдите на сайт и авторизуйтесь.
- Получите код и введите его в специальное поле.
Дополнительный пароль может приходить одним из следующих путей:
Если ни один из этих способов не сработал, а у вас включена двухфакторная идентификация ВКонтакте, можно использовать сохраненный ранее резервный код.
Здесь нужно учесть ряд моментов:
- Любой дополнительный код для входа является одноразовым. Следовательно, если кто-то первый раз и перехватит эти сведения, зайти снова с его использованием не выйдет.
- После ввода пароля подтверждения система запоминает браузер. Поэтому разобравшись, как настроить двухфакторную аутентификацию в ВК, можно не переживать о необходимости постоянного подтверждения. Веб-проводник запоминает пользователя, поэтому вход будет осуществляться автоматически.
- Человек может в любой момент снять подтверждение на всех или только на текущем девайсе. В таком случае при новой авторизации придется вводить данные повторно.
Для его настойки сделайте следующие шаги:
- В разделе «Подтверждение входа» активируйте опцию «Приложения для генерации входа».
- Сканируйте QR-код с помощью мобильного приложения или вручную введите 16 символов ключа.
- Укажите 6-значный одноразовый пароль, которые сгенерировало приложение.
Защита от спама в ВК
Идем в раздел приватность в настройках и максимально ограничиваем возможности для посторонних на вашей странице. Для примера вот как это сделано у меня.
Раздел "Моя страница". Чем меньше посторонние узнают о вас с вашей страницы тем лучше!
Заинтересовался темой расшифровки хэша, который Контакт использует для противодействия CSRF-атакам
Если посмотреть POST-запросы, то легко увидеть параметр hash, состоящий из 18 символов.
Какие у меня догадки на этот счет
Хэш скорее всего md5 (32 символа), который потом еще раз шифруется и обрезается до 18 символов.
Несколько лет назад Контакт использовал такую схему.
1) Генерировался 25 символьный хэш (скорее всего из 32 символьного md5-хэша). Этот хэш был виден в коде html-страницы.
2) При отправке запроса он прогонялся через javascript-функцию
Данная функция просто режет хэш на части и переставляет местами символы. В итоге хэш урезается до 18 символов.
Вот так это выглядит на php
На сервере md5-хэш тоже приводится к виду 18 символов (через функцию выше) и сравнивается с хэшем, который пришел в запросе.
Не понятно зачем так было сделано. Потому что md5-хэш тоже защищал от атак. К тому же Контакт выложил в открытый доступ алгоритм повторного шифрования (javascript-функция).
Напомню, что это было в 2010 году. Сейчас хэш 18 символов формируется сразу на сервере и он же отправляется в запросе. Но я уверен, что изначально генерируется 32 символьный md5-хэш, который еще раз шифруется до 18 символов (а возможно даже 2 раза шифруется).
Как формируется md5-хэш?
Скорее всего через параметры запроса. Если открыть документацию по API, то там будет такая штука.
То логично предположить (если брать за образец код API), что md5-хэш формируется примерно так
md5('12345act=enteral=1gid=11111'); // для вступления в группу
md5('12345act=leaveal=1gid=11111'); // для выхода из группы
md5('mid=12345&act=enter&al=1&gid=11111'); // для вступления в группу
md5('mid=12345&act=leave&al=1&gid=11111'); // для выхода из группы
или так
md5('12345method=groups.entergid=11111') // для вступления в группу
md5('12345method=groups.leavegid=11111'); // для выхода из группы
12345 — id пользователя
11111 — id группы
Но в реальности, хэш для вступления и для выхода одинаковый! Значит параметр act (enter || leave) не используется в формировании хэша. Более того, хэш для «рассказать друзьям о группе» совпадает с хэшем для вступления и хэшем для выхода.
Понятно, что параметры id пользователя и id группы используются в формировании хэша, но что еще там используется это не известно. Скорее всего еще используется какой-то ключ для «подсолки» хэша. В документации по API можно увидеть ключ приложения.
Но даже, если мы узнаем как формируется md5-хэш, то не ясно каким алгоритмом он потом урезается до 18 символов. Хотя если бы точно знать md5, то перебором можно было бы попробовать найти этот алгоритм. Скорее всего используется обычная перестановка символов в линейном порядке (см. выше).
Я вообще думаю, что 32-символьный хэш урезается по старому алгоритму 2 раза (см. выше php-функция decodehash). При каждом прогоне строка уменьшается на 7 символов (32->25->18).
Типа decodehash(decodehash(md5('mid=12345gid=11111')))
Почему по старому алгоритму? Потому что все программисты жуткие раздолбаи и скорее всего алгоритм не изменился.
Почему я решил, что всё берется из 32-символьного md5, а не из sha или другого метода шифрования? Во-первых, md5 — это латиница плюс цифры, что совпадает с символами хэшей. Во-вторых, Контакт изначально использовал md5 для шифрования паролей в куках. В-третьих, md5 используется в API Контакта.
Короче, всю ночь ломал голову и в итоге оставил это занятие. Но если у кого есть рабочие идеи по расшифровке, то готов заплатить хорошие деньги:)
Насчет расшифровки лучше и не пытаться т.к. этот md5 100% подсоленный секретным "ключом", который хранится на сервере.
По поводу "Не понятно зачем так было сделано. Потому что md5-хэш тоже защищал от атак. К тому же Контакт выложил в открытый доступ алгоритм повторного шифрования (javascript-функция)." это очень интересная тема. Это одна из защит от спамеров - если ты пишешь спам-бота, то тебе придется либо разбирать обфусцированный JS код вручную, либо встраивать JS интерпретатор в бота. Как сейчас не знаю, но раньше этот JS код менялся время от времени.
Значит, бл*, идея такая! Правда, один момент - памяти на компе дохренища получится. Возможно что не хватит её, что наиболее вероятно. Итак, значит: 1) создать генератор простых паролей (Я, например, смог на PERL перебрать все комбинации от 2 до 6 символов. На 7 у меня не хватает места.). 2) Создать скрипт, который использует список паролей из словаря и переделывает в md5-хэш; а затем после обработки данных программа создает словарь (как базу данных) и в каждой строке прописываются значения:
pass: пароль pass_md5: пароль_мд5.
Ну, а если контакт использует подсолку на md5, то лучше всего во втором скрипте на perl - создать скрипт, который был бы идентичен js скрипту. И база данных, записывалась бы так:
pass: пароль pass_md5: пароль_мд5 pass_md5sol: пароль мд5соль.
use strict;
use Digest::MD5 qw(md5_hex);
my $correct_pass = "bb456cfc65785beda9ec0c034e2a54ae";
print "Введите пароль:\n";
Читайте также: