Авторизация в соцсетях как врата Дьявола
Начну с того, что за семнадцать лет, проведённых в Интернете, меня ни разу не взламывали (давайте, начинайте). Ни один мой аккаунт не был украден. Самое худшее - это когда тупо забывал пароль, а система восстановления, существовавшая в те времена, либо вообще не работала, либо работала криво. Сейчас с этим намного лучше.
Во времена оные взлом обычно состоял из тупой долбёжки с подбором паролей, пользователи в большинстве своём ограничивались стандартным 12345, словарик с подобными сочетаниями загонялся в программу, и через некоторое время злоумышленник получал вожделенный доступ.
Продвинутые хацкеры стали отдавать предпочтение дырам в защите, всякого рода уязвимостям. SQL-инъекции, подстановка в формы и генерация запросов - это было прикольно, и позволяло в случае успешной атаки получить доступ не к одному пользователю, а ко всей базе.
Наконец, в наше время технические решения уступили место социальной инженерии. Задачи жуликов и пидарасов из области программирования перекочевали в область психологии. Нужно лишь убедить глупого маленького мышонка выбрать тётю Кошку в качестве няньки. А дальше он всё сделает сам. Принесёт на тарелочке с голубой каёмочкой. Роль мамы глупого мышонка исполняют поисковые системы.
О как это удобно, авторизовываться через соцсети. Ведь ни у кого не вызывают подозрения кнопки лайков и перепостов на каком-нибудь симпатичном сайте с интересной информацией. Не вызывает подозрения и всплывающее при нажатии окошко с просьбой ввести свои авторизационные данные вконтакта. Дальше уже дело техники, и даже не очень большого ума. Можно выдать сообщение об ошибке, можно перебросить на реальную авторизацию, можно эту самую реальную авторизацию провести - с одним маленьким аякс-запросиком, кто ж его заметит, каждый заметает следы как умеет.
Рекомендации для пользователей.
1. По возможности избегать авторизации через соцсети на сторонних сайтах. Даже, если сайт известный и имеет хорошую репутацию, мало ли кто там сегодня в команде разработчиков сидит.
2. Если Вы зашли в тот же самый ВК, ФБ, на почту етцетера, посмотрели всё, что нужно, ответили на сообщения - ВЫЙДИТЕ. Не в смысле закройте страницу, а в смысле, нажмите кнопку "выйти". Заведите себе такую привычку. О том, где хранятся данные об авторизации, и как они подхватываются, можно почитать в Сети, статей более чем дофига. Да, неудобно, да, надо запоминать пароль, снова заходить, зато память развивается, а память, как известно - ворота интеллекта. На крайняк система восстановления паролей у большинства соцсетей работает вполне себе качественно.
3. Дополнительная защита через привязку к телефону, двухфакторная авторизация и всё такое. Единственный неприятный момент - это светить свой телефон, но, думаю, он уже и так, где нужно и не нужно, засветился.
4. Дома держите у себя хороший антивирус. Честно, не знаю, какой сейчас хороший, время от времени разочаровывает то один, то другой. Но всё же.
5. Избегайте авторизации в случайных местах, на компьютерах и телефонах, которым Вы не доверяете. Мало ли чего.
Во времена оные взлом обычно состоял из тупой долбёжки с подбором паролей, пользователи в большинстве своём ограничивались стандартным 12345, словарик с подобными сочетаниями загонялся в программу, и через некоторое время злоумышленник получал вожделенный доступ.
Продвинутые хацкеры стали отдавать предпочтение дырам в защите, всякого рода уязвимостям. SQL-инъекции, подстановка в формы и генерация запросов - это было прикольно, и позволяло в случае успешной атаки получить доступ не к одному пользователю, а ко всей базе.
Наконец, в наше время технические решения уступили место социальной инженерии. Задачи жуликов и пидарасов из области программирования перекочевали в область психологии. Нужно лишь убедить глупого маленького мышонка выбрать тётю Кошку в качестве няньки. А дальше он всё сделает сам. Принесёт на тарелочке с голубой каёмочкой. Роль мамы глупого мышонка исполняют поисковые системы.
О как это удобно, авторизовываться через соцсети. Ведь ни у кого не вызывают подозрения кнопки лайков и перепостов на каком-нибудь симпатичном сайте с интересной информацией. Не вызывает подозрения и всплывающее при нажатии окошко с просьбой ввести свои авторизационные данные вконтакта. Дальше уже дело техники, и даже не очень большого ума. Можно выдать сообщение об ошибке, можно перебросить на реальную авторизацию, можно эту самую реальную авторизацию провести - с одним маленьким аякс-запросиком, кто ж его заметит, каждый заметает следы как умеет.
Рекомендации для пользователей.
1. По возможности избегать авторизации через соцсети на сторонних сайтах. Даже, если сайт известный и имеет хорошую репутацию, мало ли кто там сегодня в команде разработчиков сидит.
2. Если Вы зашли в тот же самый ВК, ФБ, на почту етцетера, посмотрели всё, что нужно, ответили на сообщения - ВЫЙДИТЕ. Не в смысле закройте страницу, а в смысле, нажмите кнопку "выйти". Заведите себе такую привычку. О том, где хранятся данные об авторизации, и как они подхватываются, можно почитать в Сети, статей более чем дофига. Да, неудобно, да, надо запоминать пароль, снова заходить, зато память развивается, а память, как известно - ворота интеллекта. На крайняк система восстановления паролей у большинства соцсетей работает вполне себе качественно.
3. Дополнительная защита через привязку к телефону, двухфакторная авторизация и всё такое. Единственный неприятный момент - это светить свой телефон, но, думаю, он уже и так, где нужно и не нужно, засветился.
4. Дома держите у себя хороший антивирус. Честно, не знаю, какой сейчас хороший, время от времени разочаровывает то один, то другой. Но всё же.
5. Избегайте авторизации в случайных местах, на компьютерах и телефонах, которым Вы не доверяете. Мало ли чего.