VK ID. Сервис авторизации. Что такое «Сомнительная авторизация»?
Сомнительная авторизация — это событие в системе безопасности VK, которое означает, что параметры попытки входа отличаются от привычных для конкретного аккаунта. В таких случаях система применяет адаптивную мультифакторную аутентификацию (Adaptive MFA) и запрашивает дополнительное подтверждение, прежде чем выдать доступ.
Что должен сделать пользователь при сомнительном входе?
Если вход определён как сомнительный, пользователю требуется ввести дополнительный код. Этот код отправляется по одному из альтернативных каналов:
- пуш-уведомление на мобильное устройство
- сообщение в VK Мессенджер
- SMS
- звонок-сброс
- письмо на email
До подтверждения система не выдает токен доступа к сессии.
Как система определяет сомнительный вход?
Алгоритмы аутентификации анализируют параметры попытки входа, включая:
- устройство
- сетевую среду (IP, география, репутация сети)
- конфигурацию браузера
- способ аутентификации
- происхождение приложения, через которое проходит аутентификация
Если один или несколько параметров отличаются от предыдущих входов пользователя, система запрашивает дополнительный фактор для подтверждения легитимности.
Нужно ли включать 2FA, чтобы механизм работал?
Нет. Механизм работает для всех аккаунтов:
- если двухфакторная аутентификация отключена — система временно добавляет второй фактор;
- если двухфакторная аутентификация включена — может запрашивать дополнительный фактор по другому каналу.
Такой подход выравнивает минимальный уровень безопасности пользователей.
Эффективность механизма
По результатам АБ-тестирования:
- снижение числа взломов достигает 84%
- влияние на конверсию входа минимальное — снижение менее 2%