Тонкости авторизации: обзор технологии oauth 2.0 / хабр

Введение

Когда я говорил семье или друзьям, что я «работаю в identity», они часто предполагали, что это означает, что я работал в правительстве, в организации выдающей водительские права, или что я помогал людям разрешать мошенничество с кредитными картами.

Однако ни то, ни другое не было правдой. Ранее я работал в компании Auth0,, которая управляет цифровой идентификацией. (Сейчас я являюсь участником программы Auth0 Ambassadors и являюсь экспертом Google Developer по SPPI: Security, Privacy, Payments, and Identity — безопасность, конфиденциальность, платежи и идентификация.)

Цифровая идентификация

Цифровая идентификация это набор атрибутов, которые определяют отдельного пользователя в контексте функции, предоставляемой конкретным приложением.

Что это значит?

Скажем, вы управляете компанией по продаже обуви онлайн. Цифровой идентификацией пользователей вашего приложения может быть номер их кредитной карты, адрес доставки и история покупок. Их цифровая идентификация зависит от вашего приложения.

Это приводит нас к …

Аутентификация

В широком смысле, аутентификация относится к процессу проверки того, что пользователь является тем, кем он себя заявляет.

Как только система сможет установить это, мы приходим к …

Стандарты

Вы можете вспомнить, что я упомянул, что аутентификация основывается на четко определенных стандартах. Но откуда эти стандарты берутся?

Есть много разных стандартов и организаций, которые управляют работой Интернета. Два органа, которые представляют для нас особый интерес в контексте аутентификации и авторизации, — это Инженерная рабочая группа по Интернету (Internet Engineering Task Force — IETF) и Фонд OpenID (OpenID Foundation — OIDF).

IETF (Internet Engineering Task Force)

IETF — это большое открытое международное сообщество сетевых инженеров, операторов, поставщиков и исследователей, которые занимаются развитием интернет-архитектуры и бесперебойной работой интернета.

OIDF (OpenID Foundation)

OIDF — это некоммерческая международная организация людей и компаний, которые стремятся обеспечить, продвигать и защищать технологии OpenID.

Теперь, когда нам известны спецификации и кто их пишет, давайте вернемся к авторизации и поговорим о:

OAuth 2.0

OAuth 2.0 является одной из наиболее часто упоминаемых спецификаций, когда речь идет о сети, а также часто неправильно представленной или неправильно понятой.

OAuth не является спецификацией аутентификации. OAuth имеет дело с делегированной авторизацией. Помните, что аутентификация — это проверка личности пользователя. Авторизация касается предоставления или отказа в доступе к ресурсам. OAuth 2.0 предоставляет доступ к приложениям от имени пользователей.

Как было до OAuth

Чтобы понять цель OAuth, нам нужно вернуться назад во времени. OAuth 1.0 был создан в декабре 2007 года. До этого, если нам требовался доступ к сторонним ресурсам, это выглядело так:

Допустим, вы использовали приложение под названием HireMe123. HireMe123 хочет настроить событие календаря (например, встречу на собеседование) от вашего имени (пользователя). HireMe123 не имеет собственного календаря; поэтому нужно использовать другой сервис под названием MyCalApp для добавления событий.

После того, как вы вошли в HireMe123, HireMe123 запросит у вас ваши учетные данные для входа в MyCalApp. Вы должны ввести свое имя пользователя и пароль на сайте HireMe123.

Затем HireMe123 используя ваш логин получить доступ к API MyCalApp, и затем сможет создавать события календаря с использованием ваших учетных данных.

Совместное использование учетных данных — это плохо!

Этот подход основывался на совместном использовании личных учетных данных пользователя из одного приложения с совершенно другим приложением, и это не очень хорошо.

Так как, HireMe123 поставил на карту защиты вашей учетной записи MyCalApp гораздо меньше. Если HireMe123 не защитит ваши учетные данные MyCalApp надлежащим образом, и они в конечном итоге будут украдены или взломаны, кто-то сможет написать несколько неприятных статей в блоге, но HireMe123 как бы останется в стороне.

HireMe123 также получает слишком большой доступ к MyCalApp от вашего имени. HireMe123 получает все те же привелегии, что и вы, потому что он использовал ваши учетные данные для получения этого доступа. Это означает, что HireMe123 может читать все ваши события календаря, редактировать их, изменять настройки и т. д.

Доступ к делегированным входящим

Чтобы получить доступ к делегированной учетной записи, делегат должен открыть свой почтовый ящик Gmail и щелкнуть фотографию профиля в правом верхнем углу. Если электронное письмо было успешно делегировано, вы увидите здесь делегированный адрес электронной почты. Просто нажмите на нее, чтобы открыть папку «Входящие» в новой вкладке.

Делегат также сможет получить доступ ко всем вашим контактам, и поэтому у него никогда не будет проблем с отправкой электронных писем. Кроме того, делегат не будет иметь никаких административных прав на электронную почту и не сможет изменить пароль учетной записи или создать личные ярлыки.

Регистрация и прогрев

Зайдя в антидетект-браузер, перейдите на сайт Facebook и зарегистрируйтесь. Попав на страничку, не торопитесь быстренько закинуть фото, статус и пару постов. Прокрутите ленту, создайте видимость изучения сайта – вы же зашли сюда «первый раз», откуда вы можете знать, где что расположено? Следуйте инструкциям, которые предлагает соцсеть. После «изучения» можно приступить к заполнению данных:

Фото – обязательно использовать фотографии, не засвеченные в данной соцсети. А еще лучше полностью уникальные фото, которые использовались только на мелких форумах, частных сайтах. Можно прибегнуть к генераторам фейковых лиц, например, Thispersondoesnotexist;
Шапка – выберите любой предложенный шаблон;
Данные гео, учебы, работы – следите, чтобы они соответствовали стране регистрации.

Пора добавить пару друзей. Первые дни это стоит делать только по базе тех, кого предлагает сама система («Вы можете их знать»). Добавляйте не всех подряд, иногда заходите к ним на страницы, чтобы «убедиться, что это точно ваш знакомый». На второй-третий день фарма можно начать добавлять друзей тех, кто одобрил вашу заявку (ведь вы можете дружить с одинаковыми людьми).

Если нужно быстро набрать много друзей, обратитесь к азиатам – они одобряют любую заявку, а затем к вам начнут добавляться их друзья (особенно если ваш аккаунт зарегистрирован на имя девушки). Но дружба с индусами и китайцами может негативно отразиться на трасте – Фейсбук тоже знает об их «дружелюбности». Поэтому не стоит перебарщивать. Отправляйте не более 30 заявок в сутки, но каждый день разное: 23, 29, 17 – между ними не должно быть никакой связи.

Проявите активность в чтении новостной ленты – подпишитесь на пару сообществ, лайкайте, комментируйте (но делайте это правдоподобно).

Напишите пару постов на «родном» языке у себя на странице. Создайте фан-страничку на совершенно любую тему и пригласите друзей ее лайкнуть. 10 положительных реакций – и ваш аккаунт вышел на новый уровень траста.

Если есть возможность – привяжите к страничке Фейсбука профиль в Инстаграм. Создайте его с нуля при помощи той же почты, которая привязана к ФБ, и опубликуйте парочку фотографий (можно даже те, которые стоят в соцсети).

Попробуйте создать Бизнес Менеджер. В отличие от рекламного кабинета, БМ разрешается создать только пользователям, которых система считает добросовестными. Если у вас такая возможность еще отсутствует, следует прогревать аккаунт дальше.

Что берёт сайт и зачем

Данные, которые берутся из профиля, прописываются в закрытой части сайта, но само значение параметров, потенциально используемых в коде, можно найти на официальных страницах социальных сетей. И эти же параметры можно увидеть в адресной строке в момент открытия окна «Войти через социальную сеть».

По умолчанию в сбор включаются общие данные профиля — public_profile. В коде и адресной строке это прописывается через параметр scope, включающий в себя «публичный профиль». Набор данных, входящий в этот «публичный профиль», у всех соцсетей разный. Например, в него входят: айди, обложка, ник, имя, фамилия, возрастной диапазон, ссылка на страницу, пол, местонахождение, фотография, временная зона, последнее обновление страницы и само подтверждение.

Остальные данные запрашиваются отдельно, от них пользователь может отказаться, убрав соответствующие галочки. Например, доступ к видео пользователя user_videos:

Для ряда параметров нужна дополнительная проверка со стороны социальной сети при запросе на эти данные. Подробнее про них и другие разрешения при работе с Facebook можно найти на сайте Facebook for Developers. Альтернативные списки существуют для каждой социальной сети на официальных страницах с информацией — вот как это выглядит во «» и «Одноклассиниках».

Как создать второй профиль?

Существует 2 пути – разрешенный разработчиками и неофициальный, соответственно, неразрешенный.

Ответим на главный вопрос, который волнует всех читателей этой статьи: можно ли создать 2 аккаунт в ВК на одном телефоне? Нет, нельзя
. Причем это невозможно никак, даже с помощью софта, рекламу которого вы наверняка встречали, если давно гуглите этот вопрос.

Ни одна вспомогательная программа не позволит вам обойти систему безопасности ВК, и создать на один и тот же номер вторую страницу. Максимум, что у вас получится, новый аккаунт привяжется к старому номеру, а старый (ваша личная страница) останется незащищенным. Так как разработчики регулярно мониторят ситуацию, профили без привязки к мобильному быстро блокируют, оставляя возможность разблокировки сразу после привязки телефона.

https://vk.com/support?act=new&from=h&id=9157.

Подробно заполните все поля и дождитесь ответа модераторов.

Далее, давайте выясним, как сделать вторую страницу в ВК, если у вас есть другой мобильный, или же, если его нет.

Если есть второй номер

Официально создать много аккаунтов (страниц) Вконтакте, если у вас несколько мобильных, очень просто:

Выйдите из профиля, кликнув по малой аватарке в правом углу экрана и выбрав команду «Выйти»
;

Прямо под полями для ввода логина и пароля есть блок «Впервые в ВК»;
Заполните поля «Имя»
, «Фамилия»
и т.д., после чего щелкните по клавише «Продолжить регистрацию»
;

Когда дойдете до пункта «ввод мобильного»
, укажите другой номер.

Вот и все, у вас получилось сделать второй аккаунт в ВК, привязав его ко второму номеру телефона.

Если у вас нет второй симки

А теперь мы расскажем, как создать в Контакте еще одну страницу, если в вашем распоряжении всего один мобильный.

Для начала выясните возможность использовать кого-либо из близких, у которых нет страницы в нашей соцсети. Спрашивайте у взрослых – мам, тёть, бабушек, так как у 95% молодежи и людей до 45 лет профили в ВК есть. Если мама не против, зарегистрируйте страницу на ее номер, но фамилию и имя обязательно укажите свои. В случае возникновения проблем с техподдержкой, вам будет проще доказать, что именно вы являетесь владельцем аккаунта, так как сможете предоставить свои документы.
Купите симку, самую дешевую – она стоит совсем недорого. Поддерживайте там положительный баланс и совершайте хотя бы 2-3 исходящих вызова в месяц. Находчивые модераторы коммерческих страниц давно научились апеллировать десятком сим карт, ловко подключая на них ботов для бесед и не только.
Приобретите временный виртуальный номер на одном из веб-сервисов, например, https://smska.net/?mode=reg&ref=c5MuTe4=. Это сервис, который платно предоставляет вам виртуальный номер телефона, чтобы создать второй или третий аккаунт. На сегодняшний день комбинация для ВК стоит 15,9 рублей, причем вы можете использовать ее лишь однократно и в течении 20 минут после получения. Другими словами, вы сможете завести вторую страницу в Контакте, но если вам понадобится в дальнейшем воспользоваться этим номером, чтобы подтвердить то или иное действие, у вас ничего не выйдет и аккаунт, соответственно, будет потерян.

Итак, чтобы создать несколько аккаунтов в ВК с помощью данного сервиса, выполните следующие действия:

Зарегистрируйтесь на сервисе (мы тестировали сайт, он безопасный);
Пройдите в раздел «Оплата»
и пополните счет на те самые 15,9 рублей (если хотите завести несколько страниц, высчитайте необходимую сумму);

Дальше щелкните по вкладке Вконтакте в левой колонке;
Оформите заявку, следуйте указаниям виртуального помощника;
Как только получите номер, обратите внимание, у вас будет всего 20 минут, чтобы его использовать и создать новый аккаунт.

Таким образом, мы рассмотрели, как создать мою вторую страницу в ВК, но не упомянули об одной интересной фишке. Она заинтересует, так называемых, динозавров, — людей, который зарегистрировались в сети еще в далеком 2010-11 году, осуществив привязку на электронную почту, и, с тех пор, так и не привязали мобильный. Это возможно только если вы редко посещали соцсеть, а с 2016 года вообще ни разу не заходили. В этом случае вы можете сделать в Контакте еще одну страницу, привязав ее к телефону и другой почте. Однако, если начнете активно пользоваться старым профилем, система обязательно вас вычислит и «попросит» привязать мобильный.

Ну что же, давайте подведем итоги:

Две страницы ВК на один номер создать нельзя, даже с помощью сторонних программ;
«Левый» софт – это, скорее всего, западня, расставленная мошенниками;
Чтобы создать еще парочку профилей, вам понадобится найти другой телефон: у тёти, в салоне связи, через виртуальный сервис;
Других путей не существует.

Удачи вам со вторым профилем!

Что делать

Вот основные причины выявлять и удалять фальшивые аккаунты:

фейки — не ваши клиенты, они не купят товар и не закажут услугу, они не будут вам полезны в группе;
ухудшаются показатели эффективности SMM-кампаний из-за того, что «мертвые души» попросту не реагируют на маркетинговые усилия с вашей стороны, какими бы гениальными они ни были. В итоге нереально объективно оценить качество работы в SMM-направлении;
фейки и боты регулярно создают спамные сообщения с предложениями подписаться, скачать, заработать, что перегружает ленту и мешает работе.

Как идентифицировать фальшивые профили

Соцсети существенно продвинулись в борьбе с накрутками и мошенническими действиями. Многие из них ввели механизм верификации по номеру телефона или кредитной карте и проверки подлинности аккаунта.

В Twitter верифицированные аккаунты помечены специальным значком:

Аналогичный значок имеют подтвержденные профили в Instagram:

Не отстает и ВКонтакте — в 2017 году здесь тоже заработал механизм верификации:

Итак, прежде всего, обращайте внимание на верификацию
— если она пройдена, то аккаунт настоящий. Но далеко не все верифицируют профили

Как же быть в этом случае?

Совет 1. Включите здравый смысл

Допустим, вы хотите найти официальную страницу ВКонтакте Дмитрия Медведева. Перед вами два варианта:

Какая страница настоящая? Очевидно, что вторая. Ну не может у Медведева быть 12 тысяч подписчиков… И не может Медведев написать на своей странице «Связь с народом»
и «Сколько будет лайков на этом посте, столько денег ты заработаешь за этот месяц»
…

В случае с очень известными личностями зачастую достаточно поверхностного анализа, чтобы идентифицировать фейк. А вот с не столь раскрученными профилями все сложнее.

Совет 2

Внимание на фото. В реальных профилях люди обычно выкладывают свои фотографии, причем не сразу, а постепенно

Сохраните на компьютер фото с профиля и проверьте его уникальность с помощью Поиска по картинкам Google или сервиса tineye.com. Если фото встречается в разных профилях и на разных сайтах, то, скорее всего, перед вами фейк:

В реальных профилях люди обычно выкладывают свои фотографии, причем не сразу, а постепенно. Сохраните на компьютер фото с профиля и проверьте его уникальность с помощью Поиска по картинкам Google или сервиса tineye.com. Если фото встречается в разных профилях и на разных сайтах, то, скорее всего, перед вами фейк:

Совет 3. Изучаем личную информацию

В фальшивых профилях часто не заполнена личная информация или указаны только некоторые данные

Обращайте внимание не только на наличие данных в профиле, но и их суть. Так, может быть указан, например, год рождения 1953, а год окончания школы — 1995

Совет 4. Анализируем активность

Советуем почитать комментарии и изучить ленту. Фальшивые профили наполняются быстро, и десятки постов могут появиться в течение пары дней. В реальных условиях это маловероятно. Фейки оставляют однотипные комментарии — обычно это какой-то спам или тиражируемый текст.

Фейки подписываются на всех подряд, и если количество друзей переваливает за 5-7 тысяч, то вряд ли перед вами реальный пользователь.

Совет 5

Внимание на друзей. Бывает, что создатели фейков неплохо трудятся над тем, чтобы замаскировать профиль под реального человека

В этом случае обратите внимание на друзей — до них руки могут не дойти, и именно по ним можно идентифицировать бота

Бывает, что создатели фейков неплохо трудятся над тем, чтобы замаскировать профиль под реального человека

Совет 6. Личный контакт

Это хороший способ проверить, кто стоит за аккаунтом. Допустим, если к вам добавляется человек из вашего города, задайте ему вопрос, ответ на который может знать только местный житель. Боты или отвечают однотипно («Не хотите добавлять, не добавляйте»
), или вообще не отвечают.

Совет 7. Используйте специальные сервисы

Вручную проверять каждый аккаунт трудоемко. Если у вас 200-300 подписчиков, то это посильная задача. А как быть, если количество друзей измеряется тысячами? В этом случае помогают специальные сервисы, которые по определенным критериям находят фейковые аккаунты.

Вот некоторые из них:

для Twitter: Fakers App, Twitter Audit;
для ВКонтакте: AntiDogs, VkBot;

для Facebook: расширение для Chrome FAKE FB, FB Checker;
для Instagram: FollowerCheck, FameAudit.

При использовании этих или других сервисов советуем перед удалением друзей все же просматривать их профили — сервисы порой ошибаются, и вы можете потерять реальных подписчиков.

Пошаговая инструкция по созданию второй страницы в социальной сети

Если у пользователя есть дополнительный номер телефона, то создать аккаунт достаточно просто. В таком случае даже не нужно нарушать условия пользовательского соглашения.

Инструкция, как создать вторую страницу во «ВКонтакте»:

Выйти из основного профиля, кликнув в правом углу и найдя клавишу «Выйти».
Под строками для вписывания данных нажать на пункт «Впервые во ВК».
Заполнить поля, вписав имя, фамилию, дату рождения и т.д.
Ввести новый номер телефона.

Создавать страницу рекомендуется только таким способом, т.к. в случае взлома или утери пароля доступ легко восстановить. Кроме того, профили, привязанные к российским номерам, реже всего блокируются алгоритмами социальной сети.

Регистрация второй страницы в ВК.

Если второй сим-карты нет, то процедура создания аккаунта отличается.

Стоит воспользоваться виртуальным номером на одном из популярных сервисов:

Зайти на сайт с роботом для приема сообщений.
Выбрать бесплатный или платный номер.
Вставить его в соответствующую строку при регистрации аккаунта.
Получить СМС и ввести номер из него в окно.

Данный путь создания левых страниц почти не работает, т.к. все номера уже были использованы, а свободные появляются крайне редко.

Получить к нему доступ можно с помощью процедуры восстановления, запросив на смартфон сообщение с кодом. После его ввода соцсеть позволит сменить пароль.

Получаем код и вводим в соответствующую графу.

Переход с сайта на страницу авторизации

Как правило, для перехода на страницу сервера авторизации на сайт вешается кнопка, например, так:

<button click="javascript::location.href='.......'"></button>

В качестве значения ссылки указываем адрес сервера авторизации с набором параметров
Адреса на страницы авторизации

Google: https://accounts.google.com/o/oauth2/auth
Yandex: https://oauth.yandex.ru/authorize
Facebook:
ВКонтакте: https://oauth.vk.com/authorize

При переходе по указанным ссылкам необходимо передать следующие параметры:

— scope=email
— scope=https://www.googleapis.com/auth/userinfo.email+https://www.googleapis.com/auth/userinfo.profile
— scope=email Но здесь необходимо помнить, что на Facebook можно зарегистрироваться без указания email, через номер мобильного телефона. Поэтому email у пользователя может не быть.
Yandex — параметр scope можно не указывать. Какая информация о пользователе необходима — задается при регистрации приложения

Параметры для доступа к другим дополнительным параметрам пользователя можно посмотреть здесь

Что делать с фейковыми аккаунтами в социальных сетях

Фейковые аккаунты необходимо удалять в максимальном количестве, оставляя лишь активных ботов, формирующих пользовательский полезный контент и участвующих во всех дискуссиях.Такие боты обычно управляются операторами, поэтому по сути своей могут быть приравнены к полноценным аккаунтам.

При использовании автоматических программ по очистке группы не лишним будет перепроверить результаты ручным способом. Перечисленные выше сервисы далеко неидеальны, поэтому в целях сохранения всех реальных подписчиков и друзей лучше просмотреть отобранные программой аккаунты еще раз.

Сервисы VPN

При необходимости обойти запрет на сайты также можно при помощи сервисов VPN. Данное программное обеспечение представлено в виде специального приложения с довольно простым интерфейсом, позволяющим без особых усилий получать доступ не только к сайтам, но также и к стриминговым сервисам и услугам других стран.

В отличие от браузеров и расширений данные сервисы обеспечивают шифрование всего исходящего трафика, тем самым повышая уровень безопасности пользователей, сохраняя анонимность и в то же время обеспечивая качественное, быстрое и стабильное соединение.

Существующие сегодня VPN-сервисы, позволяющие получить доступ к заблокированному сайту, можно условно разделить на два вида:

бесплатные – имеют ограничения по скорости соединения, количеству серверов или объему входящего трафика;
платные – не имеют никаких ограничений.

Кроме того, последние отличаются мультиплатформенностью и могут устанавливаться на любые операционные системы и устройства, включая смартфоны на Android и iOS.

Настя и сборник весёлых историй

Предположим, вы являетесь высокопоставленным должностным лицом компании и хотите предоставить своему личному секретарю доступ через свою учетную запись Gmail, чтобы он или она могли отвечать на некоторые электронные письма и назначать встречи от вашего имени. Одна простая вещь, которую нужно сделать, это передать свой пароль Gmail и заставить все работать, но это даже не близко к тому, что можно назвать решением.

Когда вы передаете свой пароль, вы не только предоставляете полный доступ к Gmail, но и ко всем службам Google, доступ к которым можно получить с его помощью. Дело не в том, что секретари не имеют доступа к учетным записям электронной почты своих боссов, но зачем раскрывать пароль, когда есть другой выход?

Предоставление доступа кому-то еще к вашей Gmail

Шаг 1. Откройте папку «Входящие» в Gmail и щелкните значок шестеренки в правом верхнем углу, чтобы выбрать « Настройки» .

Шаг 2. В настройках Gmail перейдите на вкладку «Аккаунты и импорт» и нажмите на ссылку « Добавить другую учетную запись» под опцией « Предоставить доступ к своей учетной записи» .

Шаг 3. Теперь введите адрес электронной почты, на который вы хотите делегировать свои права, и помните, что это должен быть адрес Gmail. После настройки делегирования Gmail отправит письмо на делегированный аккаунт с просьбой подтвердить его. После завершения процесса проверки Google может потребоваться до 30 минут для настройки запроса.

Как только делегат подтвердит ваш запрос, вы сможете увидеть его в разделе « Предоставить доступ к разделу вашей учетной записи ».

Доступ к делегированным входящим

Удаление Делегации

Если вы больше не хотите делегировать свою учетную запись электронной почты, снова откройте вкладку « Учетные записи и импорт» в настройках учетной записи Gmail и нажмите ссылку «Удалить» рядом с учетной записью, которую вы хотите удалить.

Вы можете в любое время делегировать свою учетную запись до 10 пользователям Gmail.

Заключение

Таким образом, вы можете поделиться доступом к своей электронной почте со своими подчиненными, личными секретарями или супругами, не раскрывая пароль своей учетной записи Google. Я уверен, что вам понравится этот трюк.

Расширение AccessURL Chrome позволит вам предоставлять доступ и разрешать доступ к вашей онлайн-учетной записи без давая имя пользователя и пароль в течение заданного периода времени.

Узнайте, какие приложения, веб-сайты и онлайн-услуги подключены и есть доступ к вашему Google Учетная запись и отмена доступа, если вы чувствуете.

Необходимые условия для работы функции «Вход с Apple»

Чтобы использовать функцию «Вход с Apple» в приложениях и веб-сайтах, необходимо:

— наличие учетной записи Apple ID с включенной двухфакторной аутентификацией (активируется по пути Настройки → <Ваше имя > → Пароль и безопасность);

— войти в iCloud в настройках iPhone, iPad или Mac.

— функция «Вход с Apple» работает на устройствах Apple с iOS 13 и более поздних версий, iPadOS 13 и более поздних версий, watchOS 6 и более поздних версий, macOS Catalina 10.15 и более поздних версий. Кроме того, функцией «Вход с Apple» можно воспользоваться и на других платформах, например Android или Windows.

Чем опасны фейки

Для добросовестных пользователей ВКонтакте, пользователи с липовыми профилями могут нести опасность. Зачастую, такие аккаунты используются в мошеннических целях и, в случае блокировки, человек попросту создаст новый. Некоторые люди создают фейки с использованием персональной информации того или иного пользователя и, выдавая себя за него, выпрашивают у родственников деньги или узнают определенную информацию (данные банковских карт, паспорта, фотографии или сканы других документов). Чтобы обезопасить себя и своих близких от общения с такими людьми, необходимо уметь определять фейковые профили ВК. Об этом мы поговорим в следующем разделе.

Последствия нехватки безопасности API

Почему даже API-интерфейсы нуждаются в аутентификации? Для API, которые предназначены только для чтения, иногда пользователям не нужны ключи. Но большинство коммерческих API требуют авторизации в виде ключей API или других методов. Если нет никакой защиты API, пользователи могут совершать неограниченное количество запросов API без какой-либо регистрации. Разрешение неограниченных запросов усложнит модель дохода для вашего API.

Вдобавок, без аутентификации не было бы простого способа связать запросы с конкретными данными пользователя. И не было бы способа защиты от запросов от злонамеренных пользователей, которые могут удалить данные другого пользователя (например, путем удаления запросов DELETE для учетной записи другого пользователя).

Наконец, не получится отследить, кто использует API или какие конечные точки используются чаще всего. Очевидно, что разработчики API должны подумать о способах аутентификации и авторизации запросов к своим API.

В целом, аутентификация и авторизация с помощью API служат следующим целям:

аутентификация запросов в API только для зарегистрированных пользователей;
отслеживание, кто делает запросы;
отслеживание использования API;
блокировка или замедление пользователя, превышающего ограничения скорости;
применение разных уровней разрешений для разных пользователей.

Как настроить двухфакторную аутентификацию

Рассмотрим процедуру включения защиты на примере учетной записи Gmail.

1. Выберите подходящее приложение аутентификатор и установите его на смартфон или компьютер.

2. Включите двухфакторную аутентификацию в своей учетной записи Gmail.

3. В настройках двухэтапной аутентификации укажите способ авторизации через приложение.

4. Отсканируйте предоставленный QR-код через приложение и сохраните токен для входа.

5. Подтвердите привязку аккаунта путем ввода пароля из приложения.

Теперь для авторизации в своей учетной записи на новом устройстве или на старом после разлогинивания кроме пароля потребуется ввести код из приложения аутентификатора.

Так ваши данные будут максимально защищены в случае кражи или утери смартфона, либо, если злоумышленники узнают пароль.

iPhones.ru

Дополнительная защита никогда не будет лишней.