что нужно делать, чтобы тебя не взломали?

Не пользоваться вфсб.

Для защиты от рядового пользователя достаточно иметь сложный пароль и не оставлять свой телефон где попало.

Окай, совет учтен.

4 часа назад знакомую сломали. Месяца 2 назад сам вк написал, что произошел вход в систему под моей учеткой в бразилии и попросил сменить пароль.

Будь осторожен, когда ходишь по странным ссылкам.

+Фишинг. Спасибо.

Двухфакторная авторизация. Но в подавляющем большинстве случаев достаточно сказанного предыдущими ораторами — нормальный пароль и бдительность.

Если спецслубы, то получат доступ через номер телефона, тут ничего не поможет.
Если кто угодно, то пришло время поменять пароль qwerty12321 на что-то более сложное.

Двухфакторная авторизация.

А в вк есть другая? Тогда к чему это?
Ну и на мой взгляд принцип 2fa все чаще не работает, если пароль и код с смс вводят с одно и того же смартфона.
Не говоря уже о системах, где 2fa в виде смс является настолько превалирующим что получив к нему доступ злоумышленник получает доступ к аккаунту (привет телеграмм).

Какова вероятность сегодня получить несанкционированный доступ к аккаунту ВК?

Примерно 100%, если ты понадобишься тем, кому понадобишься. Спецслужбы могут заходить из-под твоего профиля, читать твою переписку (даже если она удалена) и видеть твои фотографии (даже если они удалены).

А от обычных какеров с лихвой хватит двухфакторки + сложного несловарного пароля, который не будет совпадать с теми паролями, которые вытекли через утечки yandex/mail/gmail.

Меня как-то раз лет пять назад, хакнули на лине, никуда пароль не вводил и он был довольно сложным, возможно была какая-то уязвимость с кражей кук или чего-то подобного. Телефон тогда привязан не был.

кул стори

У нас на работе одному сломали одноклассников (не вк, но интересно) молниеносно. Пришло письмо, что был вход и есть подозрение что это не он. Открыли сразу страницу, там была уже воткнута реклама картинкой и шёл спам какого-то лекарства или удобрения, не суть важно.

Пока чувак нажимал ссылки в письме, чтобы всё это дело заблокировать и вернуть доступ, прилетело второе письмо, где было сказано, что его заблокировали за спам :)

Когда он всё-таки донажимался до страницы восстановления доступа, то ему сказали «тут не твои данные, ты кто такой? давай до свидания!» А прошло времени от получения первого письма минут пять.

Тогда он тупо пошёл на систему восстановления пароля, а ему стали показывать картинки непонятных друзей и интересоваться как их звать :) Ну а друзей у него тысяч пять, из них знает он человек 15.

В итоге плюнул он на это дело, заблокировано и ладно.

Лор торт. Оуительная история. Тебе книжки писать

1) Поставить хороший пароль, который никак нельзя узнать на основании изучения твоей странички в соцсети.

2) Если ты видишь форму ввода пароля вконтакте, то обязательно посмотри в строку адреса и убедись, что там именно vk.com, а не что-то похожее, но другое.

3) Не заражай свой компьютер вирусами.

4) При входа с чужих компьютеров обязательно пользуйся режимом инкогнито и закрывай после себя вкладку. Правда, нельзя исключать пункт 3, особенно в случае публичных компьютеров. Благо сейчас есть смартфоны и реальная необходимость заходить в соцсети с чужих компьютеров возникает не часто.

5) Никому и никогда кроме тебя твой пароль не нужен. Сотрудники вконтакте могут получить доступ ко всему, что входит в их зону ответственности, без твоего пароля. Если они что-то не могут сделать без него и жалются - значит они не те за кого себя выдают.

6) Следить за тем, чтобы всегда использовался HTTPS. Актуально для Wi-Fi в кафешках, гостиницах и т. д. Тот кто с тобой в одной локальной сети потенциально может перехватывать данные, передающиеся по HTTP.

Вероятность обнаружения уязвимости в ВК достаточна низка (как и для других крупных сайтов). Это совсем другой масштаб. Таким не будут заниматься ради одного человека. Спецслужбы тоже не будут ничего взламывать - они воспользуются административным ресурсом и спросят всю интересующую их информацию напрямую у администрации (а им твои пароли не нужны - см. пункт 5). Любой дистанционный канал связи без end-to-end шифрования по дефолту считается доступным для спецслужб.

Была тут история утери аккаунта после того как мобильный оператор посчитал номер неактивным и отдал другому

0% если не пользоваться.

100%.

// Товарищ Майор

Тогда к чему это?

К тому, что нужно её включить.

Двухфакторная авторизация.

Не взлетело же, слишком много гемора.

1) Поставить хороший пароль, который никак нельзя узнать на основании изучения твоей странички в соцсети.

Никто не будет ломать брутфорсом.

2) Если ты видишь форму ввода пароля вконтакте, то обязательно посмотри в строку адреса и убедись, что там именно vk.com, а не что-то похожее, но другое.

Тоже не работает, как-то через подмену DNS делают тот же адрес. Нужно смотреть код страницы + переходить по всем ссылками типа поддержки и прочего, но иногда подделывают и их тоже.

6) Следить за тем, чтобы всегда использовался HTTPS.

Это уже дефолт.

Тоже не работает, как-то через подмену DNS делают тот же адрес.

Это только для общественных сетей, не? Дома то у тебя точно DNS будет правильный. Без доступа к твоей сети или компьютеру подменить DNS нельзя.

Никто не будет ломать брутфорсом.

«Умным брутфорсом» - почему бы и нет? Если нет других возможностей, то можно перебирать всякие варианты типа даты рождения (не только жертвы, но и её родственников), клички любимой собачки и т. д. Ты можешь не верить, но многие люди ставят на пароли что-то из этого.

А я вот заметил такую штуку. Вк сначала ввел опцию «всегда использовать https», которую можно было включить в настройках. Потом вообще сделал принудительное https. Но у некоторый российский провайдерах вк почему-то идет через http и, что самое интересное, в настройках исчезает эта опция «всегда использовать https».

Зависит от того что именно ты понимаешь под несанкционированностью.

Двухфакторная авторизация

Которая в 99% случаев на самом деле однофакторная с телефоном в качестве единой точки отказа.

Была тут история утери аккаунта после того как мобильный оператор посчитал номер неактивным и отдал другому

Enjoy your 2FA.

Какова вероятность сегодня получить несанкционированный доступ к аккаунту ВК?

Такая же, как и вчера.

Кто что знает о мерах безопасности в ВК?

Вопрос, конечно, прямо идеально подходит для security.

Или что нужно делать, чтобы тебя не взломали?

Не пользоваться дырявыми ведрами.

Не надо вводить свои данные где попало. Убедись, что это втентаклик. А то будет твой пароль в базе какого-нибудь Васяна из 5Г

К слову - реальный случай: видел у одного деятеля нафишеный пароль типа «задолбаливзламыватьвкненавижусдохите». Пароль валидный. Ну вы пони.

В ВК нет безопасности, ибо они сотрудничают с органами.

они сотрудничают с органами

Притом со всеми сразу.

По 4-ому пункту никто не отменял атаку человек посередине, которая в теории позволяет делать всё что угодно, включая прослушку HTTPS, хотя это сложно и порой не возможно, по этому если уровень паранойи велик, то лучше не пользоваться WiFi.

И еще вопрос, о чем может свидетельствовать для пользователя сообщение «Превышено число попыток входа в аккаунт»?

в телеграм можно установить «серверный» пароль, который нужно будет вводить после ввода смс и еще пароль на текущем устройстве.

в телеграм можно установить «серверный» пароль, который нужно будет вводить после ввода смс

Он сбрасывается вместе с данными. Сам аккаунт это не защитит, только данные.

и еще пароль на текущем устройстве.

Пин на сим забыл. Вынул симку и все.

Вероятность - 100%. Берешь и покупаешь угнанный аккаунт за 1 (один) рубль. Все, НСД получен

4 часа назад знакомую сломали

Не поделишься методами? В инете всякая чушь(
Почта в профиле

Какова вероятность сегодня получить несанкционированный доступ к аккаунту ВК?
Спецслужбы могут заходить из-под твоего профиля

Так то санкционированный...

Он сбрасывается вместе с данными. Сам аккаунт это не защитит, только данные.

это как?

Пин на сим забыл. Вынул симку и все.

какой пин? какая симка? о чем ты вообще?

есть декстопное приложение телеграм. чтобы в него войти нужно мне получить смс, ввести серверный пароль и пароль именно на это десктопное приложение

Там же рега на номер телефона, как они аккаунты хомячкам забывшим пароли восстанавливают?

Собственно сабж. Кто что знает о мерах безопасности в ВК? Или что нужно делать, чтобы тебя не взломали?

Да ничего не делать, расслабиться и получать удовольствие.

Вы получили это письмо, потому что в Ваш аккаунт ВКонтакте 14 декабря 2016 в 1:21 был выполнен вход через Chrome, <Страна>, <Город>. Если это произошло без Вашего ведома, срочно зайдите на свою страницу, чтобы защитить свой аккаунт. http://vk.com/settings?act=security

Письмо как видно не является подставой на фишинговый сайт :)

Аккаунтом vk не пользовался лет шесть. Пароль стоял вполне нормальный.

Интереснр, а зачем вообще хакерам красть пароль.

Я думал они воруют секретные параметры самой сессии (которая уже авторизована)..

...и да, какая разница скольки факторная авторизация, если сессия уже автортзована.

Представители секты sms — просто умиляют.

А про zero-day уязвимости в браузерах уже сказали? (И adobe flash)

А не насрать ли? Ну, поковыряется кто-то в твоем аккаунте, даже если сотрет его — новый заведешь. Делов-то...

Или что нужно делать, чтобы тебя не взломали?

pwgen 32

Кажется, alexferman всё же взломали, хакерская группа «Necroposters»

Как ты узнал мой пароль, негодяй? Я никому его не сообщаю!

VK — огромная куча говнокода на PHP, которую предпочли не переписывать, а сделать шустрый интерпретатор PHP (KPHP). В Facebook то же самое (HHVM). Почитай кулстори от Дурова и К°, какой там треш творился на старте: например ID подстраниц были тупо цифрами по порядку и доступ к ним никак не проверялся. Полностью его наверняка не переписывали, так что какие-то остатки треша могут торчать до сих пор. Плюс к тому, подводные камни в PHP могут вылезать в самых неожиданных местах, а в написанном на коленке байтодрочерами велосипедном интерпретаторе — и подавно. Делай выводы.

друзей у него тысяч пять, из них знает он человек 15.

Вся суть соцсетей одной фразой.
PS: горячий привет некропостерам.

у меня есть пул паролей: от простых, для одноразовых регистраций, которые не жалко и более сложные для чего-то более секьюрного и личного. вк взломали, когда стоял простой пароль, восстановил доступ, поставил сложнее. через пару месяцев вернул простой - как итог опять взломали. насколько я понял, пароль либо слишком простой для перебора или попал в базу популярных паролей.

мобильный оператор посчитал номер неактивным

Как он может посчитать, если есть юридический документ - договор сторон? Договор расторгается либо по суду (например, за неуплату), либо по договору сторон.

Оператором в одностороннем порядке, что-то там 2 месяца не платил — давай до свидания. Обычное дело. И плевать что ты 15 лет клиент. Ещё тарифы любят менять принудительно, этого тоже в договоре не было.