Хэш 2фа вк что это

Обновлено: 02.07.2024

Заинтересовался темой расшифровки хэша, который Контакт использует для противодействия CSRF-атакам
Если посмотреть POST-запросы, то легко увидеть параметр hash, состоящий из 18 символов.
Какие у меня догадки на этот счет

Хэш скорее всего md5 (32 символа), который потом еще раз шифруется и обрезается до 18 символов.
Несколько лет назад Контакт использовал такую схему.
1) Генерировался 25 символьный хэш (скорее всего из 32 символьного md5-хэша). Этот хэш был виден в коде html-страницы.
2) При отправке запроса он прогонялся через javascript-функцию

Данная функция просто режет хэш на части и переставляет местами символы. В итоге хэш урезается до 18 символов.

Вот так это выглядит на php

На сервере md5-хэш тоже приводится к виду 18 символов (через функцию выше) и сравнивается с хэшем, который пришел в запросе.

Не понятно зачем так было сделано. Потому что md5-хэш тоже защищал от атак. К тому же Контакт выложил в открытый доступ алгоритм повторного шифрования (javascript-функция).

Напомню, что это было в 2010 году. Сейчас хэш 18 символов формируется сразу на сервере и он же отправляется в запросе. Но я уверен, что изначально генерируется 32 символьный md5-хэш, который еще раз шифруется до 18 символов (а возможно даже 2 раза шифруется).

Как формируется md5-хэш?
Скорее всего через параметры запроса. Если открыть документацию по API, то там будет такая штука.

То логично предположить (если брать за образец код API), что md5-хэш формируется примерно так
md5('12345act=enteral=1gid=11111'); // для вступления в группу
md5('12345act=leaveal=1gid=11111'); // для выхода из группы

или так
md5('12345method=groups.entergid=11111') // для вступления в группу
md5('12345method=groups.leavegid=11111'); // для выхода из группы

12345 — id пользователя
11111 — id группы

Но в реальности, хэш для вступления и для выхода одинаковый! Значит параметр act (enter || leave) не используется в формировании хэша. Более того, хэш для «рассказать друзьям о группе» совпадает с хэшем для вступления и хэшем для выхода.

Понятно, что параметры id пользователя и id группы используются в формировании хэша, но что еще там используется это не известно. Скорее всего еще используется какой-то ключ для «подсолки» хэша. В документации по API можно увидеть ключ приложения.

Но даже, если мы узнаем как формируется md5-хэш, то не ясно каким алгоритмом он потом урезается до 18 символов. Хотя если бы точно знать md5, то перебором можно было бы попробовать найти этот алгоритм. Скорее всего используется обычная перестановка символов в линейном порядке (см. выше).

Я вообще думаю, что 32-символьный хэш урезается по старому алгоритму 2 раза (см. выше php-функция decodehash). При каждом прогоне строка уменьшается на 7 символов (32->25->18).
Типа decodehash(decodehash(md5('mid=12345gid=11111')))

Почему по старому алгоритму? Потому что все программисты жуткие раздолбаи и скорее всего алгоритм не изменился.

Почему я решил, что всё берется из 32-символьного md5, а не из sha или другого метода шифрования? Во-первых, md5 — это латиница плюс цифры, что совпадает с символами хэшей. Во-вторых, Контакт изначально использовал md5 для шифрования паролей в куках. В-третьих, md5 используется в API Контакта.

Короче, всю ночь ломал голову и в итоге оставил это занятие. Но если у кого есть рабочие идеи по расшифровке, то готов заплатить хорошие деньги:)

Насчет расшифровки лучше и не пытаться т.к. этот md5 100% подсоленный секретным "ключом", который хранится на сервере.

По поводу "Не понятно зачем так было сделано. Потому что md5-хэш тоже защищал от атак. К тому же Контакт выложил в открытый доступ алгоритм повторного шифрования (javascript-функция)." это очень интересная тема. Это одна из защит от спамеров - если ты пишешь спам-бота, то тебе придется либо разбирать обфусцированный JS код вручную, либо встраивать JS интерпретатор в бота. Как сейчас не знаю, но раньше этот JS код менялся время от времени.

Значит, бл*, идея такая! Правда, один момент - памяти на компе дохренища получится. Возможно что не хватит её, что наиболее вероятно. Итак, значит: 1) создать генератор простых паролей (Я, например, смог на PERL перебрать все комбинации от 2 до 6 символов. На 7 у меня не хватает места.). 2) Создать скрипт, который использует список паролей из словаря и переделывает в md5-хэш; а затем после обработки данных программа создает словарь (как базу данных) и в каждой строке прописываются значения:
pass: пароль pass_md5: пароль_мд5.

Ну, а если контакт использует подсолку на md5, то лучше всего во втором скрипте на perl - создать скрипт, который был бы идентичен js скрипту. И база данных, записывалась бы так:
pass: пароль pass_md5: пароль_мд5 pass_md5sol: пароль мд5соль.

use strict;
use Digest::MD5 qw(md5_hex);

my $correct_pass = "bb456cfc65785beda9ec0c034e2a54ae";

print "Введите пароль:\n";

Настройка двухфакторной аутентификации в VK

Если вы пользуетесь любым интернет-банком, то вы в курсе что такое двухфакторная аутентификация, даже если впервые читаете это название. Это процесс, когда после ввода имени пользователя и пароля вас просят ввести одноразовый код, который приходит по СМС или в специальном приложении для смартфона. Для простоты обозначим этот термин 2FA .

Вконтакте, как и в любой другой соцсети, так же можно настроить 2FA. Обязательно настройте это в разы снизит вероятность взлома! Для этого идем в настройки.

Затем переходим в раздел "Безопасность"

Нажимаем на кнопку подключить в разделе "Подтверждение входа"

Откроется диалоговое окно настроек двухфакторной аутентификации. По окончании защита ВК от взлома значительно улучшится! Кликните по кнопке "Приступить к настройке"

Следующим шагом вам понадобится ваш сотовый телефон. На этот номер будет совершен звонок. Вам не обязательно отвечать на него, понадобится только запомнить 4 последних цифры номера телефона с которого поступит звонок. Кликните по кнопке "Позвонить".

Подтверждение номера телефона для защиты вконтакте от взлома Подтверждение номера телефона для защиты вконтакте от взлома

Подтверждение входа включено! Кликните по кнопке "Завершить настройку".

Теперь при каждом новом входе с неизвестного устройства вконтакте будет спрашивать ваш логин, пароль, а затем проверочный код, который пришлет по СМС. Но кроме СМС существует второй способ ввода проверочного кода - это приложение Google Authenticator. Оно бесплатное и работает без интернета. Рекомендую поставить его на ваш смартфон.

Настраивается оно очень просто. Вконтакте показывает вам вот такой QR-код, который вы сканируете приложением Authenticator, получаете код подтверждения на экране смартфона и вводите этот код в соответствующее поле на сайте ВК. Код подтверждения - это 6 цифр разделенных пробелом. Вводить их нужно без пробела.

Подключение Google Authentificator для защиты вк от взлома. Подключение Google Authentificator для защиты вк от взлома.

Вот как выглядит интерфейс программы Google Authentificator.

Теперь вам нет необходимости ждать СМС от вконтакте при входе с неизвестного устройства. Вам необходимо открыть Google Authentificator , и ввести проверочный код вашей учетной записи. Коды меняются каждые 30 секунд, поэтому угадать их невозможно. Даже если взломщик украдет ваш пароль он не сможет войти с ним не имея физического доступа к вашему смартфону.

Конечно это не панацея и хакеры не сидят на месте, находят обходные пути, но 2FA по прежнему является самой надежной защитой, которую вы можете себе позволить для защиты вашего аккаунта в вк. Хотя это не избавляет вас от необходимости соблюдать и другие меры по защите ваших данных. Купите хороший антивирус, повышайте свою грамотность!

Обратите внимание, что вы можете использовать Google Authentificator и для защиты других своих аккаунтов. Непременно сделайте это!

Защита от спама в ВК

Идем в раздел приватность в настройках и максимально ограничиваем возможности для посторонних на вашей странице. Для примера вот как это сделано у меня.

Раздел "Моя страница". Чем меньше посторонние узнают о вас с вашей страницы тем лучше!

2FA, или двухфакторная аутентификация — это такой метод идентификации пользователя для входа в сервис, при котором нужно двумя разными способами подтвердить, что именно он — хозяин аккаунта. В некоторых сервисах, например, «ВКонтакте», она называется «подтверждение входа».

Эта функция серьезно повышает уровень безопасности. Злоумышленникам, которым по разным причинам могут пригодиться ваши данные, гораздо сложнее получить доступ одновременно к вашему паролю, а также телефону, электронной почте или другому методу аутентификации. Если использовать только пароль, то аккаунт остается уязвимым. Пароли легко утекают в Сеть, и далеко не всегда по вине пользователя.

Как можно подтвердить свою личность?

Большинство приложений и сервисов предлагают пользователю на выбор такие варианты двойной аутентификации:

• Ввести код, который пользователь получает в SMS или email, после того, как он ввел логин и пароль. Это самый распространенный и простой способ, но у него есть свои недостатки: например, SMS с паролем могут перехватить через уязвимость в протоколе [1], через который они передаются.
• Ввести код, который генерируется в отдельном приложении-аутентификаторе. Специалисты называют этот способ более надежным [2], к тому же он остается доступен пользователю, даже если у него нет мобильной связи. Чтобы им воспользоваться, нужно сначала установить одно из таких приложений (например, Google Authenticator, Twilio Authy, Duo Mobile, «Яндекс.Ключ»), а потом выбрать в меню нужного сервиса (например, Facebook) вариант двойной аутентификации через приложение. На экране появится QR-код, который нужно будет отсканировать через это приложение — и им сразу можно пользоваться.
• Многие сервисы (например, Facebook и «ВКонтакте») также генерируют для пользователя некоторое количество резервных кодов, которые он может использовать в случае, если у него не будет мобильной связи или он потеряет телефон. Для этого нужно заранее распечатать или сохранить эти коды в надежном месте.

Кроме того, есть еще несколько видов подтверждения входа, которые используют реже:

• Физический ключ безопасности: это устройство в виде USB-флэшки (для использования со смартфоном ее иногда оборудуют NFC и Bluetooth-интерфейсами) [2]. Такой ключ можно использовать для входа в те же соцсети, но столь серьезный подход, скорее, имеет смысл для хранения очень важных данных.
• Подтверждение личности с помощью биометрии. Этот способ пока не используется в широко распространенных сервисах типа соцсетей.

Гарантирует ли двухфакторная аутентификация абсолютную безопасность?

«В идеале второй фактор для входа должен приходить пользователю на другое устройство, не на то, с которого осуществляется вход в учетную запись, — говорит старший эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо. — Риск появляется при использовании одного и того же устройства и для входа в учетную запись, и для получения одноразового пароля. Если атакующие смогли заразить это устройство определенными видами троянцев, то считать одноразовый пароль защищенным больше не получится. Но по сравнению со сценарием, когда пользователь вовсе не включает двухфакторную аутентификацию, даже вариант с одним устройством выглядит несравненно лучше».

Что, если второе устройство потеряли?

Обычно сервисы всегда предусматривают некий альтернативный способ аутентификации. Но иногда пользователю в таких случаях приходится обратиться в службу поддержки.

Как и где стоит включить двухфакторную аутентификацию:

Как подключить двухфакторную аутентификацию во «ВКонтакте»

Зайдите в «Настройки» → Во вкладке «Безопасность» выберите «Подтверждение входа» → «Подключить». Дальше нужно будет ввести свой пароль, ввести последние цифры номера, с которого на ваш телефон поступит звонок, и функция подтверждения входа будет подключена. При желании можно выбрать аутентификацию через приложения для генерации кодов, а также распечатать или записать резервные коды.

Зайдите в «Настройки» (в приложении они находятся в меню в нижней части экрана) → выберите «Управление аккаунтом VK Connect» → «Безопасность и вход» → «Подтверждение входа».

Далее, как и в полной версии, выбираете способ подтверждения входа и восстановления доступа.

Как подключить двухфакторную аутентификацию в Facebook

В меню (рядом со значком уведомлений) нужно выбрать «Настройки и конфиденциальность» → «Быстрые настройки конфиденциальности». В разделе «Безопасность аккаунта» выбрать «Использовать двухфакторную аутентификацию». Далее нужно выбрать оптимальный способ идентификации, ввести код, полученный на мобильный телефон и — при желании — сохранить резервные коды.

В приложении двухфакторная аутентификация подключается таким же образом.

Как подключить двухфакторную аутентификацию в Google

Настроить подтверждение входа в почте и других сервисах Google можно на странице аккаунта. Процесс настройки здесь чуть сложнее, чем в других сервисах. В первую очередь нужно подтвердить, что это действительно ваш аккаунт, введя свой пароль и подтвердив вход (можно сделать это, просто нажав «да» на выбранном устройстве, либо выбрав другой способ).

Дальше необходимо выбрать способ, которым вы будете получать коды в дальнейшем: SMS, звонок, резервные коды.

Дальше нужно убедиться, что выбранный способ аутентификации работает.

Подтвердите, что вы действительно хотите подключить эту функцию.

Как подключить двухфакторную аутентификацию в «Яндексе»

Чтобы подключить двухфакторную аутентификацию в сервисах «Яндекса», обязательно нужно приложение «Яндекс.Ключ». Это же приложение можно использовать для входа в любые другие сервисы, поддерживающие подтверждение входа через приложения-аутентификаторы.

В первую очередь нужно зайти на эту страницу. Подтвердив номер телефона, нужно придумать PIN-код и скачать приложение «Яндекс.Ключ». Через приложение нужно будет сканировать QR-код. После этого в приложении появится первый из автоматически генерируемых кодов. Его нужно будет ввести на сайте, и новый способ аутентификации будет подключен.

Как подключить двухфакторную аутентификацию в Telegram

В Telegram двухэтапная аутентификация настраивается нестандартно: при входе с каждого нового устройства пользователю и так нужно вводить код, полученный в SMS. Поэтому второй этап аутентификации, который можно подключить — это как раз обычный пароль.

Нужно выбрать «Настройки» → «Конфиденциальность» → «Безопасность» → «Двухэтапная аутентификация».

Дальше вы придумываете новый пароль, подсказку к нему (при желании) и вводите свой адрес электронной почты, чтобы получить на нее код для подтверждения этой операции.

Как подключить двухфакторную аутентификацию в Instagram

Зайдите в меню, выберите «Настройки» → «Безопасность» → «Двухфакторная аутентификация». Затем нужно выбрать удобный способ и ввести полученный код.

Кроме того, двухэтапную аутентификацию можно подключить для Apple ID (здесь) и для сервисов Microsoft (здесь).

Многих пользователей социальной сети ВКонтакте волнует вопрос: «Как защитить свою страницу от взлома?». Полагаться на один пароль нельзя, поэтому разработчики добавили дополнительную функцию защиты страницы, которая называется двухфакторная аутентификация ВК. Что это такое, и как ее поставить?

Для чего нужна двухфакторная аутентификация

Двухэтапная аутентификация ВК (или кратко 2FA) — способ защиты страницы, который при входе предусматривает не только ввод пароля, но и введение одноразового кода, который приходит на телефон, привязанный к профилю. Это значительно снижает риск получения доступа незнакомыми лицами.

Основные требования

Пошаговый алгоритм для компьютера

Важно! После подключения этой опции вы не сможете восстановить свою страницу с помощью телефона. Для этого нужно будет добавить Email и указать реальное ФИО.

Как подключить 2FA на сайте:

Примечание! Также, ВКонтакте предлагает скачать дополнительное приложение для генерации кодов для двухэтапной аутентификации. С их помощью вы сможете зайти на свою страницу, даже если у вас нет доступа к телефону.

Инструкция для телефона

В мобильной версии приложения подключается двойная защита аналогично с десктопной версией.

Дополнительные способы безопасности для ВК

2FA безусловно сильная защита профиля, но для большей его безопасности лучше воспользоваться дополнительными мерами:

• сгенерировать тяжелый и длинный пароль, состоящий из перемешанных цифр и букв (например, qwerty1234 — плохой пароль, G1bF2iSuVg3 — хороший);
• никогда не использовать одинаковый логин на нескольких сервисах;
• не сообщать коды из СМС другим людям;
• не устанавливать приложения, которые требуют ввода данных профиля;
• не переходить по незнакомым и подозрительным ссылкам;
• скачать антивирусную программу, как на компьютер, так и на телефон.

Только соблюдая ряд этих мер можно быть полностью уверенными в том, что вашу страницу не взломают.

Приложение Google Authenticator

Социальная сеть предоставляет возможность получить специальный резервный код, который поможет вам зайти на страницу. Для этого вам надо скачать приложение Google Authenticator.

Чтобы его активировать, зайдите в раздел «Подтверждение входа» и рядом с надписью «Приложение для генерации кодов» нажмите кнопку с включением. Дальше вам нужно будет отсканировать QR-код или ввести 16-значное число из программы. В конце введите секретный ключ, сгенерированный в Google Authenticator и сохраните все изменения.

Пользуясь данной инструкцией, вы защитите свою страницу от взлома. Двухфакторная аутентификация ВК не даст мошенникам получить доступ к вашему профилю.

Читайте также:

  
• Переходник с 3 5 на usb для наушников и микрофона не работает
  
• Исполнитель черепашка перемещается на экране компьютера оставляя след в виде линии черепашке был дан
  
• Диагностика и ремонт материнских плат екатеринбург
  
• Можно ли использовать ccleaner для ssd
  
• Сертификаты не найдены chrome