Пользователь
8,0
рейтинг
23 декабря 2016 в 01:29

Не баг, а фича Вконтакте из песочницы

Вконтакте существует с 2006 года. В те времена, как и на всех других сайтах, авторизация происходила с помощью ввода почты и пароля. Но почту и пароль могут украсть злоумышленники, способов очень много, в основном используют фишинговые сайты.

image
Ввел пароль на левом сайте, а через час «ты» уже будешь просить друзей вконтакте закинуть 1000 руб на модем.

Улучшение безопасности


Когда взломов стало слишком много, а это случилось 11 февраля 2011, Вконтакте улучшили безопасность в социальной сети: каждый раз, когда под аккаунтом пользователя пытаются неожиданно зайти из новой страны, попытка входа блокируется сообщением, в котором предлагается ввести цифры номера телефона, на который зарегистрирована страница.

image

Конечно, это не предотвратило взломы, но злоумышленникам стало сложнее, ведь перед каждым входом, надо было смотреть из какой страны жертва и настраивать свой прокси или VPN на конкретную страну.

Авторизация: «email и пароль» или «номер и пароль»


Время шло, и Вконтакте столкнулся с огромным количеством ботов и фейков. Решение проблемы оказалось простым, достать новый номер сложнее, чем новую почту, поэтому с 21 ноября 2012 всех пользователей Вконтакте принудительно заставили привязать номер мобильного телефона.

image

И раз у каждого пользователя привязан мобильный телефон, то давайте откроем вход с помощью мобильного телефона? Вконтакте делает все для удобства пользователей.

image

Проблема


Ничего странного не замечаете? Если пользователь на фишинговом сайте ввел свой телефон и пароль, а не почту и пароль, то проверка ввода цифр телефона становится бессмысленной.

Текущее положение дел


На сайтах, где продают аккаунты, цены на «почта: пароль» и «номер: пароль» сильно различаются. Это говорит нам о том, что злоумышленники предпочитают «номер: пароль», так как не любят возиться с VPN и прокси.

image

Решение проблемы


Как видим, проверка цифр телефона сейчас является неэффективной.
В связи с этим стоит изменить проверку пользователя, который входит с ip другой страны.
Например так:

  • Если с ip другой страны вводят почту и пароль, то спрашивать цифры телефона.
    Если вводят номер телефона и пароль, то спрашивать часть почты.
  • Спрашивать имя или фамилию, а не цифры телефона

P.S
Используйте двухфакторную аутентификацию, она позволяет полностью исключить взлом аккаунта с помощью фишинга.

Если вдруг вы решите ввести свои данные на фишинговом сайте, то вводите почту, а не номер телефона.
Роман @kucev
карма
6,0
рейтинг 8,0
Пользователь

Самое читаемое

Комментарии (108)

  • +3
    2-хфакторная авторизация тоже не панацея, пример — недавний скандал с Телеграмм. Но соглашусь, «угнать» аккаунт таким образом сложнее, да и Ваши предложения тоже вполне достойны. К слову о авторизации по e-mail адресу, не представляю как можно было додуматься до той схемы что сейчас реализована в процессе входа в учётную запись Microsoft.com/Outlook.com — вводишь почту, затем пароль, и на следующем шаге для верификации твоей личности ты должен снова ввести свою почту…
    • +1
      Двухфакторая авторизация через usb token.
    • 0

      Замечу, что двухфакторная авторизация ВК возможна через пароль+TOTP, когда как в телеграмме только телефон+пароль

    • +1
      А есть знающие про Google Authenticator? VK его поддерживает в том числе. Выглядит как неплохое решение проблемы со взломом, правда я не знаю как оно устроено внутри.
      • 0

        У него есть огромный недостаток: если продинамил ключ, то все — это с концами, придется восстанавливать доступ через техподдержку. Работает он весьма просто: там есть ключ, по которому и сервер и клиент могут генерировать последовательности байт, последовательность зависит от временных промежутков и если время на клиенте и сервере примерно совпадают, то будут сгенерированы одинаковые последовательности, которые уже и сравниваются. Только у владельца ключа получится сгенерировать правильную последовательность и соответственно залогинится. Как становится из этого понятно, потеря ключа равносильна потери возможности логинится.

        • 0
          > потеря ключа равносильна потере возможности логиниться.

          Это не так. Потеря ключа означает потерю возможности ЛОГИНИТЬСЯ С НОВЫХ УСТРОЙСТВ И БРАУЗЕРОВ. Со старых устройств/браузеров заходите и отключаете/меняете GA.
          • 0
            Только если устройство добавлено в список доверенных (или если еще живы куки).
        • 0
          Так подождите. Обычно кроме TOTP-токена, полученного из приложения, у пользователя есть минимум два пути — возможность получить TOTP-токен по смс и перманентный ключ для отключения TOTP этапа.
          Все это взять и сразу потерять надо умудриться. Тем более, что сим-карту можно достаточно легко восстановить.
        • 0
          Потеря возможности подтверждать вход через Google Authenticator? Ну это не проблема. И у VK и у Google можно воспользоваться резервными кодами или получить код по SMS.
  • +4
    Не пользуюсь Телеграм и аналогичными из-за авторизации по СМС. Хотел бы пользоваться, но при каждом входе вводить СМС… Это приемлемо для личного смартфона, но вот для рабочего компа, например, крайне неудобно… Асечка форэвер.

    Очень понравилось последнее предложение постскриптума.)
    • 0
      вы хотите и рыбку съесть и на люстре покататься, тут или безопасность или скорость входа, в телеграче не смс приходит а сообщение в уже авторизированный клиент и ввести несколько цифр не составляет труда
      • +1
        Пардон, я пытался его запустить только дважды (в виндоус) и дважды приходило СМС. Когда разлогиневаешься, клиент ведь перестаёт быть авторизованным?
        Например, в Стим, когда выглядишь подозрительно, тебе приходит код доступа на привязанную почту. Для меня идеальным вариантом было бы СМС, которое запрашивают только при «подозрительном» входе. Например, при изменении ip, страны или новом МАС адресе. Я не параноик, меня и авторизация с почтой вполне устраивает. Разлогиневаюсь только потому, что в моё отсутствие коллеги компьютером могут воспользоваться.
        • 0
          … или новом МАС адресе

          Если авторизационный сервер телеграмма каким-то образом сможет узнать MAC-адрес вашей сетевой карты, то это будет реальный повод для паранойи.

          В остальном — скажите, а зачем вы вообще разлогиниваетесь? В этом есть какой-то высший смысл?
          • 0
            Про МАС адрес загнул я, конечно.Клиент может его хэшировать и отправлять на сервер хэш, например.

            Зачем? Перечитайте последнее предложение.
            • +2
              Клиент может его хэшировать и отправлять на сервер хэш, например.

              Если вы закладываетесь на что-то, что отправляет клиент, то лучше этим «что-то» будет случайный ключ.

              Перечитайте последнее предложение.

              Перечитал. Это решается не выходом из Телеграмма и других сервисов с авторизацией, а раздельными аккаунтами на машине. Если уж совсем нельзя раздельные аккаунты, то это может быть том VeraCrypt, на котором и будет, собственно, лежать телеграмм со всей своей историей.
              • 0
                Зависит от организации и требований безопасности. У меня на одном из компьютеров даже UAC отключен, так что говорить о раздельных аккаунтах не приходится. Не говоря о том, что раздельные аккаунты это жутко неудобно (Очень ИМХО, свою точку зрения не навязываю, но держать с десяток аккаунтов на одной машине...). Лично меня на 99% устраивает аська с авторизацией через почту-пароль. Не 100%, потому что при слове «аська» на меня удивлённо выпучивают глаза…
                • +1
                  (Очень ИМХО, свою точку зрения не навязываю, но держать с десяток аккаунтов на одной машине...)


                  А что в этом такого? Наоборот, сейчас мейнстрим контейнерный подход, где целый chroot, не то, что какого-то юзера, выделяют всего на одно приложение!
                  Так что сотни юзеров на машину, особенно если их скрыть с экрана приветствия, ИМХО, самое то :)
                  • 0
                    В Виндоувсь chroot нету. Кажется.(
                • 0
                  Поставьте портабл клиент на флешку… и не надо будет выходить…
                • 0
                  у вас небось еще и сеть без контроллера домена? а что мешает поставить телеграч на телефон и в него будет приходить код авторизации для настольной версии?
                  • 0
                    А зачем сложности-то? И речь же не только о Телеграмм, это уже повсеместная практика.
                    Должен быть выбор между безопасностью и удобством (мне удобнее логин-пароль).
        • 0
          Пардон, я пытался его запустить только дважды (в виндоус) и дважды приходило СМС.


          В Linux я решаю это с помощью скрипта, думаю, в Windows, с помощью powershell, можно сделать что-то подобное:

          Скрытый текст
          cat /usr/local/bin/new_tg
          
          #!/bin/sh
          USER=$1
                  xhost +LOCAL:
                  exec sudo -H -u $USER /usr/local/bin/new_tg.sh $USER
          
          ====Второй скрипт:====
          
          cat /usr/local/bin/new_tg.sh
          #!/bin/sh
          
          [ -z "$DISPLAY" ] && DISPLAY=:0.0
          export DISPLAY
          
          /opt/Telegram/Telegram
          
          




          Первоначально это делала с помощью docker контейнера на каждый инстанс телеграмма, но потом поняла, что можно сделать гораздо проще.
          Решение требует по служебному системному юзеру на каждый инстанс телеграмма. В Убунте — у меня центос на десктопе — может не заработать искоропки из-за прав на доступ к X-сокету (это решаемо, кому интересно, подскажу в личке).

          Когда разлогиневаешься, клиент ведь перестаёт быть авторизованным?


          Да, а зачем разлогиниваться?

          Например, при изменении ip, страны или новом МАС адресе. Я не параноик, меня и авторизация с почтой вполне устраивает.


          Про MAC адрес звучит всё же как паранойя…

          Разлогиневаюсь только потому, что в моё отсутствие коллеги компьютером могут воспользоваться.


          Нужно завести для коллег другого системного пользователя, и не разлогиниваться из телеграмма, но разлогиниваться из системы. Windows поддерживает нескольких пользователей, и их придумали именно с этой целью.
          • 0
            А теперь сравните bash/docker/VM, отдельный аккаунт с авторизацией по логину паролю?
            Я не говорю, что двухфакторная авторизация не нужна, я горю, что она не нужна всегда. Должен быть выбор. Пусть по умолчанию будет двухфакторная с подтверждением по СМС, но с возможностью выбора менее безопасного способа. На мой страх и риск.
            Вспомнил ещё одну проблему. У меня всего один телефон. И у меня нет желания покупать вторую симку только ради второго аккаунта в телеграм или аналогичных.
            • 0
              А теперь сравните bash/docker/VM, отдельный аккаунт с авторизацией по логину паролю?


              Сравнила, и не поняла к чему Вы ведёте. Если к сложностям в логине в операционную систему (нужны лишние действия), то никто не мешает убрать пароль, либо сделать авторизацию, через, например, bluetooth и тот же фитнес-браслет или смартвотч.

              Я не говорю, что двухфакторная авторизация не нужна, я горю, что она не нужна всегда. Должен быть выбор. Пусть по умолчанию будет двухфакторная с подтверждением по СМС, но с возможностью выбора менее безопасного способа.


              Вам не нужна в телеграмме двухфакторная авторизация всегда. Просто не разлогинивайтесь из клиента, и у Вас клиент не будет спрашивать ничего.

              Вспомнил ещё одну проблему. У меня всего один телефон. И у меня нет желания покупать вторую симку только ради второго аккаунта в телеграм или аналогичных.


              Я использую для получения SMS SaaS сервис (просьба не считать за рекламу, просто привожу его в спойлере как пример)
              Скрытый текст
              • 0
                Я правильно понял, что можно на стороннем сайте получить «виртуальный» номер, к которому привязать аккаунт телеграмма и получать СМС через этот сайт? Вот лично по мне, лучше я создам персонально телеграмский почтовый ящик с длиннющим паролем, чем буду данные авторизации через «левый» сайт проводить. Не знаю, насколько они безопасны, использовал подобный сервис только для одноразовой авторизации на каком-то сайте.
                • 0
                  Я правильно понял, что можно на стороннем сайте получить «виртуальный» номер, к которому привязать аккаунт телеграмма и получать СМС через этот сайт?


                  Не только телеграмм. Я для всех сервисов в интернете, включая, например, гугл, делаю разовые аккаунты таким образом.
                  • 0
                    Для разовых никаких вопросов. В Bing и ещё где-то именно так и создавал аккаунты. Но мессенджер же не на один раз ставится. А так вы добровольно лишаетесь «последнего шанса» вернуть украденный аккаунт, потому что СМС если и придёт, то не вам…
                    Ну и лезть на сайт для получения СМС для залогинивания в мессенджере каждое утро — то ещё приключение.)
                    • 0
                      А так вы добровольно лишаетесь «последнего шанса» вернуть украденный аккаунт, потому что СМС если и придёт, то не вам…


                      Двухфакторная авторизация же. Аккаунт менее важен, чем информация в переписке. Вотсапп и телеграмм устроены таким образом, что используют Вашу телефонную адресную книгу на смартфоне(большинство именно так его и используют, на телефоне, но некоторые так же ставят мессенджер и на компьютер), так что если основной Ваш круг общения люди, с кем Вы общаетесь IRL, то Вы не потеряетесь при смене телефонного номера и даже телеграмм аккаунта.

                      А вот то, что кто-то будет читать Вашу переписку, получив тот же самый номер телефона (например, если Вы не использовали сим-карту), это очень неприятно.

                      Ну и лезть на сайт для получения СМС для залогинивания в мессенджере каждое утро — то ещё приключение.)


                      Нужно, ИМХО, просто перестать делать нестадартное — перестать использовать десятком человек одного системного юзера. У Вас наверняка из-за этого куча других подводных камней всплыла, только Вы их может быть не замечаете.
                      • 0
                        Не знаю, может ещё какие-то проблемы и есть, но никто не жалуется.)
                        Проблемы безопасности не в счёт, разумеется. Нарочное вредительство иными методами пресекается, вирусня пониженными привилегиями и антивирусом (насколько это вообще может защитить). Так что вопрос только в том, что коллеги могут прочитать то, что им не предназначено.
                        • 0
                          Вот, например, веб-серфинг — это же удобно иметь для каждого человека свой набор «избранного», да даже я не знаю, иконок на рабочем столе, и файлов :(

                          То, что Вы делаете — это грабли, ИМХО.

                          IT устроено таким образом, что если у Вас нет особенных причин, самый правильный способ это самый стандартный. Именно он позволит избежать прикопанных граблей.
                          • 0
                            Я выше описал конкретный вариант использования одного компьютера несколькими сотрудниками. Буквально одна конкретная программа, которая работает только в этом конкретном окружении на конкретном оборудовании (Из последних радостей — апдэйт программы, из-за которого не работают некоторые из нужных модулей, при этом другие нужные модули работают только с этим апдэйтом. Спасает только то, что одновременно этими модулями пользоваться не обязательно и можно на разных машинах посидеть. ). Никаких своих обоев, расположения иконок и тем более, веб-сёрфинга.
                            • 0
                              А как насчёт run as?
                              • 0
                                А как на счёт авторизации по логину-паролю?
                                Создать разные учётные записи и раздать всем от них пароли для ранаса. Смысл?
                                • 0
                                  Создать разные учётные записи и раздать всем от них пароли для ранаса. Смысл?


                                  Смотрите, пользователь — вовсе не обязательно что-то живое. Системный аккаунт под каждый новый демон это хорошая идея ещё с 80-х годов.

                                  Вот у Вас есть софт, он требует какую-то среду, настроенную под отдельную учётку, для работы с оборудованием, так? Тоже самое, как я не знаю, банальный Nginx, тоже запускается под своим юзером.

                                  Отдельный юзер под приложение — это хорошо. Это усечённый вариант той идеалогии, что предлагается Docker.

                                  . Буквально одна конкретная программа, которая работает только в этом конкретном окружении на конкретном оборудовании


                                  Вот пусть Ваш софт и работает под настроенной учёткой, и пользователи делают run as для его запуска. Выглядит более элегантно, безопасно (хотя бы меньше возможностей юзерам сломать какие-то настройки среды, особенно если запускать софт скриптом!)
              • 0
                Что значит «не разлогинивайтесь»???
                Я ухожу, комп рабочий. Доступ к нему может получить куча народу.
                Двухфакторка на нем не нужна, потому что вероятность что на работе заведется мошенник, который захочет похозяйничать — мала. Но оставлять залогиненный месенджер — это ерунда. Тут даже не в мошенниках дело.

                Кстати, норм реализация у Steam в этом плане. Комп добавляется в доверенные и больше не требует двухфакторки. При этом логин/пароль требует все равно, при смене пользователя.
                • 0
                  Я ухожу, комп рабочий. Доступ к нему может получить куча народу.


                  Кстати, норм реализация у Steam в этом плане. Комп добавляется в доверенные и больше не требует двухфакторки. При этом логин/пароль требует все равно, при смене пользователя.


                  Мне кажется, всё дело в нестандартном подходе. Steam на работе и один системный пользователь на всех в офисе — это нестандартный подход, так никто не делает, кроме Вашей компании. Если Вы делаете что-то странным образом, то как правило, получаете какие-то грабли…
                  • 0
                    Steam на рабочих компах есть во всех компаниях, которые геймдевом занимаются, например.
                    Это я к тому, что если вы чего то не видите у себя в компании — это не значит что этого нет, или это не норма.

                    Норма — разлогиниваться, и иметь возможность удобно это делать.
                    В офисе разлогиниваться, или где-то еще — не принципиальный вопрос.
                    • 0
                      Steam на рабочих компах есть во всех компаниях, которые геймдевом занимаются, например.


                      Окей, тут Вы правы. А зачем один системный пользователь на всех всё же не ясно. Это выглядит очень странно. Почему бы не использовать механизм, имплементированный создателем ОС специально для таких случаев?
                      • 0
                        Я не видел ни одной компании, где бы home шифровались.
                        А без шифровки отдельные пользователи — это условность.
                    • 0
                      Steam на рабочих компах есть во всех компаниях, которые геймдевом занимаются, например.

                      Есть геймдев под веб, есть геймдев для мобильных устройств. Стим там не нужен.

                      Норма — разлогиниваться, и иметь возможность удобно это делать.

                      Пользоваться личным, а не рабочим IM в офисе — не норма.
                      Делить свой рабочий компьютер с другими коллегами — не норма.
                • 0
                  В настройках «Turn on local passcode»
                  скрин
                  image
                • 0
                  В телеграме есть локальный пароль (и в мобильном клиенте, и в десктопном, с разницей — в мобильном 4 цифры, на ПК любой пароль), плюс таймаут блокировки (жалко, не настраивается гибко — фиксированные 1м / 5м / 1ч / 5ч). Локальный пароль индивидуален для каждой сессии. На работе стоит таймаут блокировки одна минута — чаще всего можно не блокировать вручную.
                • 0
                  Что значит «не разлогинивайтесь»???
                  Я ухожу, комп рабочий. Доступ к нему может получить куча народу.
                  Двухфакторка на нем не нужна, потому что вероятность что на работе заведется мошенник, который захочет похозяйничать — мала. Но оставлять залогиненный месенджер — это ерунда.

                  В десктопном клиенте есть возможность поставить локальный пароль. Все просто же. Ушел — залочил. Да или оно само залочится через установленный интервал неактивности клиента.
              • 0
                На компьютере нет блютус. Покупать смартвотч ради авторизации в мессенджере — немного глупо, на мой взгляд.
                И ещё одно, я не вдавался в подробности, но меня заинтересовало, что делать, если потеряешь телефон? Аккаунт привязан к номеру, номера больше нет. Как жить после этого?
                • 0
                  Покупать смартвотч ради авторизации в мессенджере — немного глупо, на мой взгляд.


                  Ради авторизации в операционной системе.

                  На компьютере нет блютус.


                  $1 доллар или что-то вроде того на Амазоне за USB-брелок

                  И ещё одно, я не вдавался в подробности, но меня заинтересовало, что делать, если потеряешь телефон? Аккаунт привязан к номеру, номера больше нет. Как жить после этого?


                  Если номер оформлен на Ваше имя, то оператор делает вам новую сим-карту с тем же номером. Если же, например, переезжаете в новую страну, и хотите сменить номер телефона, то в телеграмме можно сменить телефон.

                  Тут гораздо более опасный вопрос другой — если забить на использование симкарты, то оператор может отдать телефонный номер другому человеку, и… он увидит всю вашу переписку в не-секретных чатах, когда залогинится в телеграмм. Это причина, почему двухфакторная авторизация телеграмма всё же хорошая идея.
        • 0
          В Стиме уже поправили неудобство с подтверждением по электронной почте — теперь приходит push-уведомление в Стим на смартфоне (в эту программу встроен генератор ключей).

          По почте код подтверждения приходит только в том случае, если Стим на смартфоне не установлен.
          • 0
            А для чего Стим на смартфоне?
            • 0

              А без него, например, на Маркете сейчас нельзя торговать (вначале шмотки на неделю ловились). Да и просто передавать вещи чтобы без недельной задержки нужен мобильный клиент.

    • 0
      Local passcode спасет отца русской демократии.
      • 0
        Стыдно признаться, но не знаю, что это. На первой странице гугла ничего внятного не выдаёт.
        • 0
          В Telegram открываете Settings -> раздел Privacy and Security -> Turn on local passcode
          По сути — установка пароля на запуск приложения, есть удобная блокировка (например, если надо отойти от рабочего места, хотя и тут Win+L является хорошим тоном), а также автоблокировка по таймеру.
          • 0
            Спасибо! Это можно будет авторизовываться без СМС?
            • 0
              Авторизация в приложении останется как есть, но получить доступ к функциям и переписке можно будет только после ввода локального пасскода.
            • 0
              Один раз (первый) всё же придётся воспользоваться SMS или другой активной сессией в Telegram.
        • 0
          Это та самая двухфакторная авторизация, о которой я Вам писала, но названная «просто, молодежно».
          Меня всегда удивляет, что есть такое множество людей, которые не хотят ни во что вникать не на форуме домохозяек, а на сайте гиктаймс. Ведь это сайт, где собираются люди, ставящие Linux на чайники :( Что Вы тут делаете?
          • 0
            Я не обязан разбираться во всех мессенджерах, только потому, что это круто. Я не обязан разбираться в мессенджерах, которые мне неудобны и я не обязан выискивать все их специальные возможности, просто чтобы делать банальные вещи.
            localpasscode это не то, что мне нужно, т.к. хотя бы раз надо ввести номер телефона.
            В следующий раз я обязательно Вас спрошу, можно ли мне читать сайт… любой сайт.)
            • +2
              Я не обязан разбираться во всех мессенджерах, только потому, что это круто.


              Зато Вы, по всей видимости, работаете в IT, принимая странные решения вроде шаринга одного системного аккаунта на десяток реальных человек. Не всегда то, что «просто, молодёжно», и позволяет «не парится», и не читать/не юзучать технологии, с которыми Вы работаете, оказывается действительно простым решением при эксплуатации.

              Правильные и простые решения часто требуют определенных знаний и какой-то архитектуры, которая не кажется простой тому, кто не вникал в вопрос из-за недостатка знаний(а на самом деле для тех, кто в теме, она элегантна и проста). Правильное решение для новичка — это сделать так, как делают все.
              Сделали бы вы разных пользователей на каждого реального человека, пользующегося рабочей станцией, как это делают всегда, у Вас бы ни с этим, ни с чем другим проблем не было
              • 0
                Вместо этого я просто пользуюсь icq, который предоставляет сервис так, как мне нужно, не предъявляя ненужных мне требований и не навязывая двухфакторнуюю идентификацию и прочее.
  • 0
    Если вдруг вы решите ввести свои данные на фишинговом сайте...
    Улыбнуло.)
    • +1
      У меня всегда возникало желание на фишинговые странички нагенерить тонны мусора, пущай потом разбирают. Но лень всегда побеждала.
      • +1
        некоторые фишинговые страницы умеют проверять валидность
  • +1
    > Если вдруг вы решите ввести свои данные на фишинговом сайте
    А зачем мне это делать? Лучше залогиниться под собой в настоящем vk.com, а сайт попросит разрешения на использование данных учётки. Ни на каких других сайтах вообще нельзя вводить свои данные для входа.
  • 0
    Лет пять назад вконтакте принудил привязать аккаунт к симкарте. С тех пор симкарта давно протухла. Неделю назад вероятно новый покупатель симкарты угнал аккаунт. Имея доступ к почте восстановить аккаунт невозможно.
    Зарегал новый аккаунт на разовую симку.
    • +1
      Ну вы сам себе злобный буратино. Вероятно надо было регать аккаунт на постоянную SIM.
    • 0
      Через ТП это делается на раз, при подаче заявки самостоятельно могут отшить, но если предварительно напишет человек который состоял в друзьях, то тогда проблемную запись восстанавливают, единственное нужно будет фото с паспортом и при успехе заменят имя с фейкового на настоящее (либо удалят учетную запись окончательно если не хочется что бы настоящие ФИО засветились).
  • –2
    По скриншоту наоборот, более дешевый и популярный как ран майл/пароль.
    • 0
      Почему «наоборот»? Более дешёвый — да, потому что им сложнее воспользоваться, как пишет автор статьи. Более популярный среди покупателей скорее номер телефона / пароль, их меньше осталось
      • 0
        Их меньше предлагают и цена выше = их тяжелей получить.
        По факту нужна статистика, а у нас с вами сейчас словоблудие.
        • 0
          Господи, покупателю всё равно, тяжело их получить или не тяжело! Ему важны только потребительские свойства — легко воспользоваться или сложно.
          • 0
            Отлично. Вы привели картинку от текущего предложения на одной из нелегальных бирж.

            Что я вижу — одного товара сейчас больше и цена на него ниже.
            Другого меньше, цена на него выше. И ВСЁ.

            Никакой динамики эта картина не дает. Ни о каких предпочтениях не говорит. Это всего лишь предложение в один момент времени, не более.

            Если VK сделает пресс-релиз по взломам — это будет статистика. Если биржа будет выставлять оборот по каждой услуге, то аналогично. Но на данный момент, все что есть — предложение на один момент времени.

            Тут даже трэйдер форекса гадать не начнет.
          • 0
            Каждый покупатель преследует свои цели. И узнать их можно только спросив его.
  • 0
    В связи с этим стоит изменить проверку пользователя, который входит с ip другой страны.
    Например так:

    Если с ip другой страны вводят почту и пароль, то спрашивать цифры телефона.
    Если вводят номер телефона и пароль, то спрашивать часть почты.
    Спрашивать имя или фамилию, а не цифры телефона

    А если там есть только номер телефона и пароль? То есть не было указано ни какой почты?
    Последний раз я вводил там пароль почти год назад — после переустановки системы. И всё это время авторизация сохраняется, и даже при смене страны в настройках vpn он всего лишь просит ввести номер без двух последних цифр!
  • +2
    Мне вообще непонятна возможность регистрации только при наличии телефона. Иметь телефон (номер телефона) — это право, а не обязанность.
    • 0
      Продавать вам сервис это право, а не обязанность ;)
    • 0
      Регистрация ВКонтакте — это тоже право, а не обязанность. Таким образом, у вас есть право зарегистрироваться ВКонтакте, если вы воспользуетесь правом владения сотовым телефоном. Да, права бывают связаны. А так вас никто ни к чему не принуждает.
  • +1
    Картинка с ценами на взлом противоречит написанному в статье.
    номер: пароль 90 предложений по 7.95 р
    почта: пароль 1430 предложений по 5.95 р

    Так-что, судя по всему, переход на номер — увеличил степень защиты.

    А так — стандартный парадокс.
    Сделали удобно — авторизация через социальный сети.
    А теперь каждый раз думай, они заключили с ними соглашение или просто собирают ваши учетный данные…
    Удобство и безопасность, часто вступают в противоречие…

    • 0
      Количество предложений тем меньше, чем больше уже купили. А что спрашивать на фишинговом сайте — телефон или почту, это каждый преступник сам решает, степень защиты одинаково определяется только сознательностью пользователя
      • 0
        «Количество предложений тем меньше, чем больше уже купили.» — откуда взято это умозаключение?
        • 0
          Из предположения, что сложность добычи обоих типов аутентификационной информации одинаковая. А ещё можно в супермаркете увидеть на полках с однотипными товарами пустые секции, где недавно были и почти закончились товары с высоким соотношением потребительские_свойства/цена
          • 0
            Или их не смог завезти поставщик. Или реклама была. Или просто в розничный магазин зашел оптовик. Миллион причин может быть. Нужна статистика и динамика, что бы вывод сделать.
    • 0
      Сделали удобно — авторизация через социальный сети.
      А теперь каждый раз думай, они заключили с ними соглашение или просто собирают ваши учетный данные…

      Надо не думать, а смотреть на адресную строку в браузере. А еще лучше — зайти во вконтакт, после чего не выходя из него попытаться зайти на другой сайт через vk.

  • +1
    Не стал привязывать аккаунт vk к симке.
    За это сайт требует ввода капч на любой «чих».
    К этому уже привык, но их клиент глючит:
    когда перемещаешься по городу и во время разбора капчи — переключаешься на другую БСку (видимо это как-то влияет на сессию) — после ввода капчи выводится сообщение «Время сессии истекло» или что-то вроде такого и клиента вообще переклинивает: до полного вычищения программы из памяти не отправить сообщения, не прокомментировать ничего — переходишь в режим readonly.
  • +3
    Итак, что имеем (в случае с ВК особенно):
    1. для регистрации требуется указать реальный номер телефона
    2. требуется указывать реальные ФИО (если модераторы сочтут фейковыми, у вас не получится зарегистрироваться\сменить их), реальное фото на аватаре.
    3. для доступа требуется залогиниться, либо уже залогинены, статус мессенжера выставляется онлайн, без возможности выставить его на невидимку.

    таким образом,
    1. вместо более надежной двуфакторной авторизации (причем опциональной) имеем кучу проблем при отсутствии\утере телефона
    2. полная деанонимизация нормального аккаунта при 0 защите от фейков (левая симка, фоточка из инета и похожие на настоящие ФИО). таким образом, невозможность составить «виртуальную личность» и приходится прибегать к указанным «грязным» методам
    3. невозможность без тех же выкрутасов зарегить два акка
    4. любая активность информирует всех контактов, как минимум, что мы в сети.

    и вишенка на торте:
    что хуже для пользователя, попавшемуся на фишинг: утечка email+пароль+парочка картинок или утечка телефон+пароль+ФИО+фото(+другие реальные данные+тот же email)?
    • 0

      Регистрировал около трех аккаунтов: Surname Namе, без фотографии. Можно вступать в группы, переписываться.

  • +3
    Имею три аккаунта вК:
    — основной, с минимум френдов — которых реально знаю и все сообщения которых читаю.
    — для игр, с тысячами френдов, которым шлю запросы на ресурсы и прочую мутотень
    — для чтения развлекательных групп в свободное время, для всяких розыгрышей и прочего спама.
    В принципе не понимаю, зачем мне три такие совершенно разные стратегии поведения смешивать на одном акаунте. Если бы была возможность нормальной настройки ленты и френдов, ещё как-то можно было бы объединить, но — зачем?
    Теперь приходится поддерживать в рабочем состоянии две симки, а третья уже протухла (с группами), но не жалко, чёрт с ней.
    В итоге исключительно неудобно.
  • +5
    Как же задолбали все эти любители двухфакторных нотификаций, мобильных телефонов и смс на короткий номер. Когда они будут гореть в аду, пусть им дадут доступ к интерфейсу, позволяющему немножко убавить накал адского пламени под собственной сковородкой, но только чтобы обязательно каждый раз надо было авторизовывовываться с применением всего арсенала их любимых технологий.
    • +3

      Лучше дать возможность вовсе отключить горелку — но только после авторизации через телефон. Телефон не давать.

    • 0
      Лично для меня вот самым удобным способом двухфакторной авторизации был бы 1) традиционный логин/пароль, 2) кодовые таблицы. Кодовые таблицы, если кто не знает, работают так: сайт при регистрации выдаёт таблицу, где по вертикали, скажем, цифры (от 0 до 9 или больше), по горизонтали буквы (A, B, C, D,...). А в ячейках — какие-то числа. При входе он просит ввести, например, числа из ячеек B7, F2 и C2. Ввёл правильно — добро пожаловать на сайт.
    • 0
      Это какой-то мягкотелый гуманизм получается. Которого они совершенно не заслуживают.
      • 0
        Пусть не заслуживают, но мы не должны в своих садистских фантазиях опускаться до их уровня. Иначе чем мы лучше их?
  • +1
    Надоели они со своими проверками:
    1 постоянно могу сидеть из разных стран, т.к. часто пользуюсь торами, прокси, впнами — ну вот специфично мне — заходить из под нужной страны на сервера/сервисы т.к. мой данный диапазон ип не удовлетворяет.
    2 двухфакторки и проверки по желанию — с возможностью включить, а не принудительно, жутко бесит тратить драгоценное время на подтверждения когда я достаточно нормально разбираюсь в том куда вбить свой пароль, а куда нет.
    3 Регистрации везде становятся проще, а мы давайте ка усложним! Поэтому большинство ИТ спецов в жабберах сидят угрюмо или радостно с поддержкой не зависимого шифрования и не зависимых серверов.
  • 0
    Кстати вконтакте отслеживает звонки с телефона? Просто у меня в вконтакте очень мало друзей и нет ни одного кого бы я знал в реале, а недавно он мне предложил в колонке «возможно вы знакомы» моего стоматолога с которым в интернете я никак не пересекался а только лишь пару раз созванивался с ним по телефону.
    • +1
      У вконтакта есть возможность выгрузить список контактов телефона на их сервер для поиска друзей. Возможно, ваш стоматолог так и сделал.
    • 0
      Вы сами ему телефонную книгу скормили.
  • +1
    P.S
    Используйте двухфакторную аутентификацию, она позволяет полностью исключить взлом аккаунта с помощью фишинга.

    Если ваш пользователь купился на фишинг, и ввел свой логин и пароль, что остановит его от ввода одноразового кода? Вы бы лучше проверяли свою информацию, прежде чем делать такие заявления.

    Вообще сегодня все решения двух-факторной аутентификации, кроме PKI-based уязвимы к фишингу. Всё. Все что не производит крипто-подпись, уязвимо. Не ради P.R. но советую почитать мою статью по U2F https://habrahabr.ru/post/305508/

    Если вдруг вы решите ввести свои данные на фишинговом сайте, то вводите почту, а не номер телефона.

    — Пожалуй введу-ка я свои данные на этом фишинговом сайте сегодня, а то как-то скучно живется…

    Вообще я хотел бы сказать что это не аутентификация, а какие-то костыли.
    • 0

      Крипто-подпись тоже уязвима к фишингу.

      • 0
        Крипто-подпись вызова с доменом не уязвима к фишингу. Читай U2F/UAF/WebAuthn/EToken/Rutoken/RSASecureID800…
        • 0

          Чтобы зайти на сайт — надо пойти и установить криптодрайвер и криптоплагин к браузеру?


          Ну так к фишинговому сайту будет идти в комплекте свой драйвер :)

          • 0
            U2F работает нативно в Хроме, и поддержка скоро будет в огнелисе. WebAuthn это будущее, и он уже поддерживается Edge. Мы работаем над решением этой проблемы. Пока что U2F это лучшее решение.
            • 0

              Ок, "скачайте google chrome чтобы зайти на этот сайт".

              • 0
                поддержка скоро будет в огнелисе… Вы же понимаете что стандарты не приходят во все браузеры в один день.
                • 0

                  А вы понимаете, что что угодно можно подделать? Вопрос только в стоимости.

      • 0
        Важно то, что все что не производит крипто-подпись, будет уязвимо к фишингу.
    • 0
      Вообще сегодня все решения двух-факторной аутентификации, кроме PKI-based уязвимы к фишингу. Всё.

      А как насчёт большой кодовой таблицы? Если её не светить нигде, как можно тут организовать фишинг?
  • +1
    каждый раз, когда под аккаунтом пользователя пытаются неожиданно зайти из новой страны, попытка входа блокируется сообщением, в котором предлагается ввести цифры номера телефона, на который зарегистрирована страница

    А до этого было не только ввести номер, но и пришедший на него одноразовый пароль. Будучи часто перезжающим из страны в страну, перестал пользоваться ВК именно из-за этой «фичи».
  • 0
    Прискорбная тенденция. Недавно захотелось вдруг завести новую почту, так все крупные почтовики требуют телефон для регистрации. Более того, весьма успешно банят номера сервисов для получения СМС. И знаете, какой нежлобский сервис я в итоге нашел? mail.ru :)
    • 0

      Gmail тоже просит телефон?

  • 0
    поэтому с 21 ноября 2012 всех пользователей Вконтакте принудительно заставили привязать номер мобильного телефона.

    Да ладно? У меня не привязан, то что никого принудительно не заставляли.
    Только новым пользователям зарегистрироваться без номера не получится.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.