Почему быстрое восстановление пароля у меня недоступно?

Как войти на сайт ВКонтакте, если забыл пароль и включена защита входа (подтверждение входа)? Ты пытаешься восстановить доступ, но получаешь сообщение об ошибке:

Быстрое восстановление пароля недоступно. Для вашей страницы включено подтверждение входа по мобильному телефону.

Или такое:

К сожалению, вы не можете восстановить пароль по указанному номеру телефона.

Или еще вариант:

Ошибка. Для данной страницы эта функция невозможна.

Это значит, что когда-то раньше ты сам включил подтверждение входа по мобильному телефону, когда для входа на страницу надо ввести не только пароль, но еще и код, присланный на телефон:

Когда стоит защита входа (двухфакторная аутентификация), это повышает безопасность и защищает от взлома, но ты забыл пароль. Что делать? Получить код восстановления на телефон теперь нельзя, потому что подтверждение входа — это когда ты и знаешь пароль, и имеешь доступ к телефону. И то, и другое вместе. Только так обеспечивается безопасность, которую ты сам добровольно включил. Уже нельзя восстановить страницу с одним только телефоном, если не знаешь пароль. Сайт ВК тебя обо всем предупреждал, но ты не стал читать, когда включал защиту. Может быть, поэтому тебе кажется, что тебя не предупреждали.

Внимание! Здесь абсолютно все способы, которые у тебя есть в 2019 году. Бесполезно искать что-то еще или спрашивать в комментариях. Восстановить доступ можешь только ты сам. Читай до конца и делай, как написано. Синие ссылки ведут на другие страницы, которые помогут тебе.

1. Восстановить по электронной почте

Если у тебя подключено дополнительное подтверждение входа, то вместо быстрого восстановления пароля по СМС применяется восстановление пароля по e-mail (электронной почте). Привязана ли твоя страница к электронной почте? Если да, то можно запросить на нее ссылку для восстановления пароля (инструкция откроется в новом окне). Может оказаться, что страница к почте привязана, но войти в почту ты не можешь (нет доступа или просто ее не помнишь) — в этом случае лучше попытаться сначала восстановить доступ к почте, иначе у тебя останется единственный способ, он более сложный и требующий намного больше времени — восстановление через службу поддержки.

2. Восстановить через службу поддержки

Когда включено подтверждение входа, а пароль ты забыл и при этом страница НЕ привязана к электронной почте (или нет доступа к почте, или не помнишь адрес), единственный способ восстановить страницу — заявка в техподдержку . По этой ссылке откроется форма восстановления доступа, которую необходимо заполнить. Лучше делать это с компьютера, а не с телефона. Смотри подробную инструкцию здесь:

Если не получается, делай через полную версию на компьютере.

Придется доказать, что страница именно твоя. Если там нет твоих настоящих фотографий или не указаны настоящие имя и фамилия, то восстановить страницу почти невозможно (или очень сложно). Ведь тебя обо всем предупреждали, когда ты включал защиту входа. Можешь посмотреть, почему заявка может быть отклонена . Конечно, есть возможность обратиться в поддержку ВК и попробовать каким-то способом доказать, что страница именно твоя. Если они увидят, что ты нормальный человек и что страница действительно твоя, то могут пойти навстречу. Если же и тогда ничего не получится, зарегистрируй в ВК новую страницу . Это урок тебе на будущее.

Почему нельзя восстановить пароль по СМС, если включено подтверждение входа?

Потому что ты сам включил себе ДВУХфакторную (ДВУХэтапную) аутентификацию, а теперь хочешь сбросить пароль, имея только ОДИН фактор (телефон). Но это так не работает. Надо было читать предупреждение. Все способы сбросить пароль в этой ситуации мы описали выше, их всего лишь два.

У меня есть резервные коды, почему с ними нельзя восстановить пароль?

Потому что резервные коды, которые ты выписал или распечатал, нужны, когда нет доступа к телефону — то есть когда ты не можешь получить СМС для входа. А у тебя нет пароля, ты его забыл. В этом случае резервный код не поможет.

Больше никак не восстановить!

Других способов восстановить доступ нет. Искать их бесполезно. То есть по-другому вообще никак не восстановить. Ты только что прочитал все возможные способы. , если не понял.

Можно ли отключить подтверждение входа?

Конечно, можно. Но для этого надо сначала зайти на страницу. А если ты пока не можешь этого сделать, то и отключить подтверждение входа тоже не можешь. Восстанавливай доступ, как написано выше.

Оговорюсь, что перед тем, как приступить к работе над статьей, все свои наблюдения я изложил на HackerOne. Ни один из описанных багов Вконтакте не признали. Но когда перед публикацией статьи я решил сделать подтверждающие скриншоты, оказалось, что один из багов все-таки был исправлен. То, что к моим словам прислушались, не может не радовать. Жаль только, что ребята даже “спасибо” не сказали.

Итак, ошибка №1. Статичный секретный ключ.

Чтобы подключить к своему аккаунту приложение для генерации OTP, пользователь вводит пароль, после чего перед ним открывается страница с секретным ключом, необходимым для выпуска программного токена. Пока все правильно.

Но если по какой-либо причине пользователь не активировал программный токен сразу (например, отвлекся на важный звонок, или просто передумал и вернулся на главную страницу), то когда через некоторое время он все-таки решит получить токен, ему опять предложат тот же секретный ключ.

Усугубляет ситуацию еще и то, что в течение получаса после ввода пароля, даже если вы перешли на главную страницу или вышли из аккаунта, а потом снова вошли, перед показом QR кода с секретом повторно пароль не запрашивается.

Чем это опасно?

Токен Вконтакте, как и любой другой TOTP токен работает по достаточно простому принципу: генерирует одноразовые пароли по алгоритму на основании двух параметров - времени и секретного ключа. Как вы сами понимаете, единственное, что нужно для компрометации второго фактора аутентификации - это знать СЕКРЕТНЫЙ КЛЮЧ.

Подобная уязвимость оставляет злоумышленнику две лазейки:

1. Если пользователь отойдет от компьютера, у злоумышленника будет достаточно времени, чтобы скомпрометировать его секретный ключ.
2. Завладев паролем пользователя, злоумышленник легко может подсмотреть его секретный ключ наперед.

Решить вопрос элементарно просто. Секретный ключ должен менятся каждый раз после обновления страницы, как это происходит, например, в Facebook.

Ошибка №2. Новый токен после перевыпуска использует тот же секретный ключ.

На момент публикации статьи этот недостаток был устранен.

Ситуация, описанная выше, усугубляется тем, что при повторном выпуске токена, Вконтакте не предложит вам новый секретный ключ. По сути, к вашей странице привязывается 1 секретный ключ и сменить его вы уже не сможете.

Чем это опасно?

Если вы узнали, что ваш секретный ключ скомпрометирован (например, при первом выпуске токена, как описано в первом пункте), двойная аутентификация Вконтакте больше вам не нужна. Смело отключайте второй фактор и подберите пароль посильней. Перевыпустить токен с новым секретом не представляется возможным.

Если Вы потеряли телефон, на котором был установлен токен, можете сделать то же самое. Тот, к кому в руки попал ваш смартфон, сможет спокойно использовать его для входа в ваш аккаунт. Осталось узнать только пароль. При этом вся суть двухфакторной аутентификации теряется. Понятно, что если пользователь заметит дискредитацию своего аккаунта, он может связаться с суппортом, но на это будет потрачено драгоценное время, которого у него может не быть.

Ошибка № 3. Отключение второго фактора без запроса одноразового пароля.

Здесь все понятно из названия. При отключении второго фактора, достаточно ввода пароля, OTP не запрашивается.

Чем это опасно?

Если для отключения двойной аутентификации Вконтакте достаточно только ввода пароля, теряется сама суть двухфакторной аутентификации. А суть двухфакторной аутентификации заключается в том, что недостатки одного фактора перекрываются преимуществами другого. В vk.com это фактор знания (пароль) и фактор владения (телефон). Это было придумано для того, чтобы компрометации одного из факторов не было достаточно для получения доступа к аккаунту. Если у злоумышленника есть ваш пароль, для взлома аккаунта ему не будет хватать одноразового пароля, и наоборот, если он завладел вашим телефоном, то ему нужно будет дополнительно узнать пароль.

Здесь же получается, что достаточно узнать пароль пользователя, чтобы попросту отключить второй фактор аутентификации. По сути, это превращает двухфакторную аутентификацию Вконтакте в однофакторную.

Вконтакте предлагает своим пользователям очень удобную функцию “Снять подтверждение с текущего браузера”. Я уверен, что функция пользуется популярностью и пользователи отключают подтверждение, как минимум, дома, и на работе. Более того, у большинства пользователей пароли сохранены в браузерах, где их можно легко просмотреть и скопировать.

Представим такую ситуацию, ваш коллега решил над вами подшутить. Пока вас не было на рабочем месте, он зашел к вам на компьютер, посмотрел в браузере сохраненные пароли, вошел в VK и отключил 2FA. Теперь он сможет заходить в ваш аккаунт до тех пор, пока вы не заметите перемен, что может произойти совсем не скоро. Вы и раньше не вводили одноразовый пароль на тех устройствах, которыми чаще всего пользуетесь, значит для вас ничего не поменяется. А шутник-коллега получит полный доступ к вашему аккаунту, и никто не знает к чему это может привести.

Если бы не был исправлен баг с перевыпуском токена, когда при повторном выпуске токена секретный ключ не менялся, ситуация могла бы стать еще интересней! Ваш коллега, уже зная пароль, мог бы отключить 2FA, после чего опять подключить двухфакторную аутентификацию, увидел бы при этом секретный ключ, выпустил бы себе токен, идентичный вашему, и мог бы читать ваши сообщения до тех пор, пока жив ваш аккаунт.

Выводы

При подключении двухэтапной аутентификации к аккаунту Вконтакте, появляется памятка, которая гласит “Даже если злоумышленник узнает Ваш логин, пароль и использованный код подтверждения, он не сможет попасть на Вашу страницу со своего компьютера."

К сожалению, выяснилось, что это не совсем правда. При определенных обстоятельствах посторонний сможет узнать чужой токен Вконтакте или даже полностью отключить второй фактор, зная ваш пароль. Жду ваших мнений.

Крупнейшая социальная сеть ВКонтакте ввела на сайте двухэтапную авторизацию. Теперь, по желанию пользователя, помимо ввода логин-пароля, он может защитить свой аккаунт вводом PIN-кода. Пин- код Вконтакте обеспечит лучшую защиту ваших данных от взлома. Как активировать и правильно настроить функцию «Подтверждение Входа» VK. А также как правильно пользоваться данной функцией — вы сможете узнать, прочитав нашу статью.

Что такое PIN-код для VKontakte?

Итак, введем вас в курс дела. Разработчики всерьез озаботились проблемой защиты личных данных своих пользователей VK уже давно. Поначалу взломать страницу было проще простого, но со временем методы защиты становились все более сложными. А теперь в битве взломщиков против Контакта произошел серьезный перевес в сторону последнего.

После привязки аккаунта к номеру мобильного телефона, разработчикам удалось значительно уменьшить волну вскрытия страниц. Вскоре те же разработчики оптимизировали все наработанное годами — вводом Пин-кода для ВК. Теперь каждый, кто имеет аккаунт VKontakte, может настроить функцию пин-кода. Тем самым пользователь получает как-бы двойную защиту своего аккаунта.

Для авторизации помимо заполнения полей логина и пароля, нужно будет вводить специальный код, который будет присылаться вам через бесплатное смс сообщение. Естественно, это смс будет привязано к номеру вашего мобильного оператора. Если вы не хотите возиться с смс сообщениями, то вы сможете воспользоваться специальным приложением для смартфона — генератором кодов для ВКонтакте. Так же настоятельно рекомендуется скопировать себе список резервных кодов, которые можно будет использовать в случае отсутствия под рукой телефона. Следует сразу успокоить некоторых «ленивых» пользователей — PIN-код приходит только по вашему запросу и только после Вашей активации этой функции.

Как включить подтверждение входа PIN-кодом?

Для того что бы подключить «Подтверждение входа» в Контакте, вам нужно на своей страничке зайти в меню «Мои Настройки». Во вкладке «Общее» — найдите группу настроек «Безопасность Вашей страницы» . Напротив пункта «Подтверждение входа», необходимо нажать на кнопку «Подключить» .

Теперь при входе в свой аккаунт ВК вам будет предложено «Введите код». Что, собственно говоря, вам и следует сделать.

Сообщение: «Произведена попытка входа в ваш аккаунт с IP»

Pin-код будет действовать только один раз. Один вход — один пин-код. Даже если «злым людям» удастся заполучить ваш PIN-код и логин с паролем от «ВКонтакте», то воспользоваться ими они не смогут. А вы получите в виде всплывающего окна сообщение «Произведена попытка входа в ваш аккаунт с IP в котором будет содержаться IP-адресс компьютера, с которого пытались незаконно войти в ваш аккаунт.

В таком случае паниковать не следует, т.к. Контакт уже предупредил попытку взлома вашей страницы. А вы сможете вычислить и наказать попавшегося на горячем человека по IP адрессу его компьютера.

«Запомнить браузер» ВКонтакте или как отключить ввод пин-кода

Если вы не хотите использовать функцию ввода пина, так как, к примеру, вы находитесь дома и входите со своего ПК. То вам следует воспользоваться функцией «Запомнить браузер», для её активации просто нужно поставить галочку в всплывшем окошке. Функция позволит вам запомнить место и ваш родной браузер с которого вы авторизуетесь и вам больше не потребуется ввод пин-кода для данного браузера на вашем PC. В любой момент вы сможете обнулить все настройки либо на текущем устройстве, либо на всех проверенных устройствах.

ВАЖНО! Просто отключить данную функцию подтверждения входа PIN-кодом вы не сможете. Вам следует при первом входе с вашего браузера на компьютере, ноутбуке, смартфоне или телефоне, внести один раз PIN-код и обязательно поставить галочку против «Запомнить браузер». После этого вам не потребуется каждый раз вводить пин-код при входе в VK с этих устройств.

В случае если ваша SIM-карта будет утеряна, либо выйдет из строя, а функция подтверждения PIN-кодом будет активирована, вы сможете воспользоваться формой восстановления через email. Введение двухэтапной авторизации позволит защитить ваши личные данные, а ваш аккаунт будет всегда под защитой «службы безопасности» VK.

Практика двойного ввода уже успешно используется во многих крупных социальных сетях, таких как Twitter, Facebook, Google. Многие интернет банки также пользуются PIN-кодом подтверждения. И вот наконец то VK.com тоже усилил защиту наших с Вами личных данных.

Сегодня мы с вами будем разговаривать об одном из самых действенных методов защиты своей странички Вконтакте. Мы будем настраивать авторизацию на сайте таким образом, что на вашу страничку невозможно будет попасть, пока вы не введете код, полученный из смс, которая придет на ваш номер телефона, привязанный к аккаунту. То есть все будет происходить аналогично тому, как вы пользуетесь Интернет-банкингом.

Поэтому, прежде чем начинать что-то настраивать, убедитесь, что к вашей странице в вк привязан актуальный номер и вы не собираетесь его менять. .

Функция достаточно полезная, если вы боитесь за свою страницу, то проделанные действия увеличат ее безопасность в разы.
Давайте преступим к практике

Как включить подтверждение входа в вк

В верхнем меню в правом углу нажимаем на кнопочку со своей миниатюркой и из выпавшего списка выбираем пункт «Настройки»:

На следующем этапе переходим во вкладку «Безопасность». В самом верху находим раздел «Подтверждение входа» и нажимаем на кнопочку «Подключить»:

Далее нам предоставляется целая петиция про подтверждение пароля с помощью мобильного телефона. Пишут, как это хорошо для вас и как плохо для злоумышленников. Также предупреждают о том, что если включить данную функцию, то восстановление пароля по номеру телефона станет недоступным, в связи с чем нам предлагают привязать актуальную почту и указать все правдивые данные на странице. Чтобы ее потом с легкостью можно было восстановить. ().

Мы все это читаем и нажимаем на кнопку «Приступить к настройке»

Выскакивает всплывающее окошко, в котором нам необходимо ввести пароль от странички и нажать на кнопку «Подтвердить»:

Вводим код подтверждения, который должен был прийти к нам на телефон, и жмем на кнопочку «Отправить код»:

Выскакивает следующее окошко, в котором нам пишут про резервные коды и просят, чтобы мы не забыли их распечатать.

Резервные коды – список из 10 кодов доступа. Это постоянные цифры, они не меняются и могут пригодиться, если вы захотите зайти на страничку, а телефон в это время будет недоступен. Вы сможете ввести один из таких кодов и попасть на страничку. Поэтому так и важно распечатать этот список и иметь его при себе.

Жмем на кнопочку «Завершить настройку»:

Резервные коды можно посмотреть в том же разделе «Безопасность». Находим словосочетание «Резервные коды» и напротив него нажимаем на ссылку «Показать список» возле него.

Все, функция отключена, мы выполнили задачу.

А на этом я буду заканчивать данную статью, надеюсь, полученные знания вам пригодились и вы внедрили их тем самым обезопасив свой аккаунт Вконтакте.