Что значит пароль невалидный
Что такое невалидный аккаунт
Пример валидации из социальной сети Вконтакте
Если вы решили зарегистрироваться на каком-то сайте, то вполне вероятно, что вам может прийти сообщение о необходимости валидации вашего аккаунта. Поэтому сегодня мы подробно расскажем, что это такое — валидация аккаунта?
Валидация аккаунта – это специальная проверка того, что создатель учетной записи физически существует, а не является спамером или ботом, которые частенько регистрируют ненастоящие аккаунты. Как правило, такая проверка производится при помощи телефона.
На указанный вами номер высылается смс с кодом, который вы впоследствии должны ввести, чтобы подтвердить что вы – это действительно вы. Валидация аккаунта является необходимой мерой безопасности, позволяющая снизить риск захвата вашей учетной записи злоумышленниками.
Мошенники используют этот термин, чтобы заставить ничего не подозревающих пользователей отсылать смс-сообщения на платные номера. Зачастую это выглядит как просьба отправить сообщение на определенный номер с целью «валидации аккаунта».
А вот крупные популярные социальные сети и другие сайты, требующие произвести валидацию, официально работают по другому принципу. На таком сайте запрашивается номер телефона, затем на него отправляется код, который потом нужно ввести опять же на этом сайте.
С помощью такого метода можно убедиться в том, что у пользователя есть доступ к конкретному телефону, то есть это реальная личность.
К сожалению, многие не понимают, для чего же нужна валидация. Попытаемся объяснить: к примеру, если мошенник захочет как-то коренным образом изменить вашу анкету, то для этого ему потребуется подтверждение по телефону. И если он не украл у вас еще и телефон, то ничего плохого он сделать не сможет. Вы же, в свою очередь, с легкостью сможете восстановить доступ к своей учетной записи.
Валидация аккаунта имеется в таких социальных сетях, как Вконтакте или Facebook.
Добрый день сегодня я расскажу вам «Что такое валидация аккаунта в контакте?». Валидация аккаунта – это подтверждение вашей страницы с помощью телефона. Объясняю, чтобы восстановить пароль или изменить имя, социальная сеть Вконтакте будет присылать бесплатное смс с кодом на телефон указанный вами. После ввода этого кода на сайте ваш пароль или имя будут изменены.
Данный способ намного надежней, чем обычное восстановление пароля через почту. Так как хакерам намного легче взломать ваш почтовый ящик, чем получить доступ к вашему телефону.
Зачем нужна валидация аккаунта?
Как вы могли догадаться, валидация аккаунта требуется для уменьшения заражённых страничек с помощью, которых:
Если раньше валидация вконтакте была необязательной, то теперь она является обязательной при регистрации. Если у вас нет номера телефона, то зарегистрироваться в контакте у вас не получиться. Я советую всем подтверждать свои аккаунты с помощью валидации, так как при взломе и похищении страницы, вы сможете её быстро вернуть. О том, как вернуть страницу Вконтакте я писал в этой статье.
Вирус или валидация?
А теперь самое интересное, существует вирус, который очень часто подхватывают пользователи социальной сети Вконтакте. Его можно подхватить разными способами, например:
Вирус этот очень подлый, так как он притворяется валидацией аккаунта и просит отправить бесплатное смс.
Напоминаю! Социальная сеть Вконтакте не требует отправки СМС на короткие номера! Это вирус, который снимет все деньги со счёта, а в худшем случаи продолжит снимать деньги после пополнения счёта.
Валидация аккаунта как убрать?
Если вы у вас появляется окошко валидации, то это 100% вирус. Так как Вконтакте просит валидацию аккаунта, только при регистрации. Пожалуйста, не нужно писать, что у вас не заходит вконтакте, я все равно посоветую вам проверить компьютер на вирусы. Если же у вас более интересный вопрос, спрашивайте, я отвечу. Вернёмся к вопросу как убрать валидацию аккаунта, по этой теме я уже написал три статьи. С помощью первой вы научитесь уничтожать вирус вручную, в остальных я рассказывал, как скачать, настроить и запустить антивирус, который быстро справиться с вирусами. Вот эти три статьи:
Советую использовать антивирус, это сэкономит ваше время и силы. Если у вас вопросы типа, что значит валидация аккаунта?, то прочитайте ещё раз статью. Ну а если по делу, задавайте их в комментариях!
В случае возникновения вопросов по товару (случаи мошеничества со стороны покупателя) оператор поддержки сайта может попросить Видео покупки товара (аккаунта), что случается крайне редко.
Для предотвращения спорных вопросов рекомендуем вам записывать весь процесс покупки, получения и проверки на валидность товара (аккаунта) на любую программу захвата экрана. Видео надо записывать с момента покупки аккаунта до момента проверки, без пауз одним файлом.
ЗАМЕНА АККАУНТОВ ПРОИЗВОДИТСЯ ТОЛЬКО В СЛУЧАЕ ЕСЛИ ПАРОЛЬ НЕПРАВИЛЬНЫЙ (АККАУНТ НЕ ВАЛИДНЫЙ).
ПИСАТЬ В ПОДДЕРЖКУ САЙТА В ТЕЧЕНИИ 40 МИНУТ ПОСЛЕ ПОКУПКИ.
Часто возникающие вопросы
Я оплатил товар, куда мне пришел купленный товар (аккаунты)?
После оплаты вам на указанную почту придёт письмо с аккаунтами.
Мне не пришло письмо с товаром (аккаунтами), что делать?
На главной странице сайта, сверху справа нажмите на иконку «Мои покупки» и введите свою почту на которую покупали товар и нажмите «Отправить». Если после этого вы не получили свой товар на свою почту, то это значит, что при покупке товара вы ввели неправильно почту. В этом случае необходимо писать в поддержку. Оператор поддержки найдет, проверит и выдаст вам ваш товар.
Пожалуйста правильно вводите свою почту на которую вы покупаете товар (аккаунт).
Нужно ли менять пароль на аккаунте после покупки?
Нет, лучше не менять пароль на купленом аккаунте. На почту владельцу прийдет письмо, что на аккаунте сменили пароль и он может восстановить аккаунт.
Как долго я смогу играть на аккаунте?
Всё зависит от того, активный аккаунт или нет. Если аккаунт заброшенный, считайте что он ваш. Если активный, то до тех пор пока владелец не сменит пароль на аккаунте.
Мой аккаунт восстановили, что делать?
Гарантия на аккаунт лишь на момент покупки в течении 40 минут, если вам попался невалидный аккаунт то в течении этого времени напишите об этом в поддержку и вам его заменят. В дальнейшем на воостановленные аккаунты гарантия не распространяется.
Как мне узнать, активный купленный аккаунт или нет?
Необходимо посмотреть статистику аккаунта, если на нём давно не играли – значит вам повезло, вам попался заброшенный аккаунт. Шанс того что такой аккаунт восстановят очень низкий.
Можно ли мне вернуть деньги за товар?
Нет, к сожалению деньги мы не возвращаем, если у вас попался не валидный аккаунт пишите в поддержку и вам выдадут новый 😉
Анализ утёкших паролей Gmail, Yandex и Mail.Ru
Совсем недавно в публичный доступ попали базы паролей популярных почтовых сервисов [1,2,3] и сегодня мы их проанализируем и ответим на ряд вопросов о качестве паролей и возможном источнике (или источниках). Так же мы обсудим метрики качества отдельных паролей и всей выборки.
Не менее интересными являются некоторые аномалии и закономерности баз паролей, возможно, они смогут пролить свет на то, что могло служить источником данных и насколько данная выборка является опасной с точки зрения обычного пользователя.
Формально, мы рассмотрим следующие вопросы: насколько надежными являются пароли в базе и могли ли они быть собраны словарной атакой? Есть ли признаки фишинговых атак? Могла ли «утечка» данных быть единственным источником данных? Могла ли данная база быть аккумулирована в течение длительного периода или данные исключительно «свежие»?
Описание данных
Данные из всех трех баз представляют собой набор пар адрес-пароль, разделенные двоеточием. Никаких других «мета-данных» недоступно. Однако данные достаточно зашумленные т.е. в них присутствуют строки не являющимися ни адресами почты, ни допустимыми паролями.
Если мы исследуем особенности данных, то сможем выдвинуть (или опровергнуть) гипотезу о том, в результате какого процесса пароли могли быть получены.
Невалидные пароли и не-пароли
Самые простой критерий невалидности пароля — несоответствие длины пароля требованиям почтовых сервисов.
Полученные данные говорят, что пароли из выборки не могли быть получены в результате «внутренней» утечки, так как несколько тысяч паролей не являются валидными паролями в принципе из-за ограничений на длину пароля в шесть символов (а для современных паролей gmail в восемь символов).
Рассмотрим эти аномально длинные (более 60) и короткие пароли (менее 6) в деталях.
Примеры
Длинные пароли представляют собой куски HTML-кода, один из репрезентативных примеров:
Подобные примеры указывают, что одним из источников паролей мог быть фишинг. Запись в базе явно не была проверена человеком и получена автоматически, на фишинг так же указывает тот факт, что в пароле присутствует html-разметка, что довольно нетипично для кражи пароля через заражение.
Краткая выборка слишком коротких паролей:
Еще один индикатор того, что одним из источников мог быть фишинг — отсутствие логина и пароля в записях. Особенно интересно выглядит апостроф без указания пароля. Возможно, потенциальная жертва догадалась о фишинговой форме и попыталась проверить наличие SQL инъекции.
Что можно однозначно утверждать по проверенным данным? Автоматической валидации базы не происходило. Наиболее вероятные гипотезы: фишинг и заражение вирусом.
Для того, чтобы оценить качество всей выборки, мы удалим из неё заведомо неверные пароли длины меньше 6 и больше 60 и рассмотрим всё распределение в целом по нескольким параметрам.
Распределение длины паролей
Как видно из графика ниже, большая часть паролей имеет длину в 8 или менее символов. Что может указывать на то, что существенный пласт паролей потенциально неустойчив к различному виду атак переборных атак.
Распределение надёжности паролей
Тогда распределение надёжности имеет вид:
Как видно из графика большинство паролей попадают в категорию не-надежные. В качестве примера рассмотрим пароли нулевой надёжности, так как скорее всего это ещё один репрезентативный пример невалидных паролей.
Пароли нулевой надёжности
Как видно из примеров выше, данные пароли не являются валидными (и с точки зрения человека выглядят скорее ошибкой ввода, чем действительным паролем), так как почтовые сервисы не дают зарегистрировать ящик, если считают пароль слишком простым, например, повторением одного и того же символа шесть раз. А значит, что возможно ещё больший пласт паролей не является валидным согласно современным требованиям.
Возможно, что существенная часть базы собрана в течение длительного периода времени, когда требования к паролям были мягче? Иначе довольно сложно объяснить столь большую группу паролей, не соответствующих требованиям современных почтовых систем.
Словарная атака
В качестве дополнительного аргумента проведем следующий эксперимент: возьмём выборку релевантных словарей паролей из общего доступа, проведем атаку на доступные пароли по этим словарям и оценим какой процент паролей содержится в этой выборке словарей (автор буквально не уходил дальше первых трёх ссылок гугла по запросу [password dictionary]).
Из таблицы выше видно, что существенная доля паролей содержится в словарях, что так же указывает на то, что часть паролей могла быть получена в результате словарной атаки (или какой-то модификации перебора).
Топ паролей
Приведем подборку наиболее популярных паролей и заметим, что большая часть сейчас не является допустимыми паролями.
Выборка Gmail
Действия и данные, описанные и полученные в данной и следующей части, были произведены и переданы другом моего друга, пожелавшего остаться неизвестным.
Задача: проверить валидность (т.е. что пароль действительно подходит) паролей. Действие: по небольшой выборке из
150-200 попробовать получить доступ к ящикам. Из всей выборки в принципе валидными являются
2-3% (через несколько часов появления данных в открытом доступе), и фактически все являются деактивированными на момент проверки. Реально действующими являлись менее 1% ящиков и те заброшены владельцами по крайней мере в течение года.
Выборка Rambler
Несложно обнаружить в сети списки «действительно валидных» адресов, составленных широким кругом заинтересованных лиц (ака кулхацкеры).
Что интересно, среди них довольно большой процент адресов рамблера.
Rambler был предупрежден за несколько дней до публикации и был получен ответ, что необходимые меры безопасности будут приняты в ближайшее время.
Что интересно, процент валидных паролей существенно выше и до последнего времени rambler был вне медийного поля событий и не активизировал дополнительных систем безопасности.
Это позволило неизвестному антропологу утечки оценить последние моменты жизни почтовых ящиков. Несмотря на валидность паролей, все ящики являлись заброшенными в течение долгого времени (
1-1.5 года) и заканчивались одним из подобных писем:
Что является еще одним подтверждением гипотезы о фишинге и кумулятивной природе базы.
Анализ открытых источников
Вернемся к рассмотрению открытых источников. Активный поиск по паролям-логинам, привел нас к ряду раздач с геймерских форумов:
Оказывается, что часть списка уже в какой-то форме гуляла по сети.
Таким образом данные позволяют отвергнуть гипотезу о единственном источнике данных таком как «внутренняя утечка».
Основная часть используемого кода:
Заключение
Таким образом наиболее вероятной выглядит гипотеза, что данная выборка — компиляция различных источников (фишинг, заражение, словарно-переборные атаки, собрание популярных подборок) в течение длительного периода времени. Достаточная часть данных в принципе не является валидными паролями по формальным синтаксическим критериям, что также подтвердила экспериментальная проверка.
С точки зрения пользователя данное событие не несет существенной опасности и скорее выглядит попыткой создания инфоповода.
UPD. Еще одним свидетельством того, что слитые данные — компиляция различный источников является наличие подборки gmail аккаунтов с «+» фичей в базе, когда адрес имеет вид имя+домен\слово at gmail.com (за напоминание про эту фичу спасибо geka)
Топ-10 доменов из выборки (весь список тут)
176 xtube
132 daz
88 filedropper
66 daz3d
64 eharmony
63 friendster
62 savage
57 spam
54 bioware
52 savage2
…
11 paygr
11 comicbookdb
…
Про paygr: пользователь gkond писал, что
Нашел свой е-мейл в дампе. Пароль, которой рядом с ним указан автоматически сгенерировал мне сервис paygr.com, в далеком мае 2011 года.
при этом «paygr» встречается 11 раз в списке «+» gmail. Возможно их база также была скомпрометирована.
Что такое валидный email
Валидный email — это реально действующий электронный адрес.
Почему отправителю рассылок важно, чтобы email был валидным?
Какие адреса считаются валидными и невалидными
Слово «валидный» образовано от английского valid — действительный, годный, обоснованный.
Невалидные адреса — это:
Зачем нужна проверка валидности email
Невалидные адреса в базе рассылки способствуют тому, что письма рассылки попадают в спам и/или возвращаются. Чем больше таких писем, тем больше страдает репутация компании как отправителя.
Жёсткие возвраты (hard bounce) могут привести к блокировке отправителя в сервисе-рассыльщике. Они случаются по одной из следующих причин:
Мягкие возвраты (soft bounce) происходят из-за временных технических проблем, например, слишком большого текста письма или переполненной почты получателя. На платформах рассылок есть лимиты на soft bounce, после превышения которых отказ переходит в категорию жёсткого и ведёт к блокировке.
Чтобы такого не происходило, стоит регулярно проверять адреса базы на валидность.
В результате получаем:
Валидацию адресов проводят на этапе сбора и повторяют проверку минимум раз в полгода. Если база растёт, логично увеличить и частоту проверок.
Кому нужна проверка email-адресов на валидность
Особенно озаботиться проверкой базы стоит тем компаниям, которые:
Как проверить валидность почты
Проверить email на валидность можно с помощью специальных сервисов — валидаторов или верификаторов.
Что именно проверяют валидаторы?
Синтаксис адреса
В этой итерации проверяется формат написания и выявляются адреса с ошибками, корпоративные емейлы, дубликаты.
Домен и сервер
Проверяется наличие и корректность MX-записи в базе доменных имён. Эта запись вносится при регистрации сервера, чтобы почтовый агент мог пересылать письма на нужный сервер.
Если адрес пользователя зарегистрирован на домене без такой записи или же эта запись неверная, email будет признан невалидным.
Активность почтового ящика
Сервис-верификатор проверит, пользуется ли владелец адреса почтовым ящиком в данное время.
Сервисы для валидации email
Проверить email на валидность можно в онлайн-сервисах и программах, которые можно установить на компьютер.
Один из сервисов выявил невалидный адрес и указал его параметры
Онлайн-проверка валидности email
Сравним онлайн-сервисы, которые проверяют валидность адресов. Все они выполняют основные функции верификации: проверяют адреса на синтаксис, проверяют домены, находят одноразовые или неактивные емейлы. Различаются отдельными возможностями и тарифами.
| Сервис | Что умеет | Бесплатно | Платно |
| BriteVerify | Интегрируется через API | По запросу техподдержки | 0,01$ за один адрес |
| Bouncer | Профессиональная техподдержка, гибкие тарифы | 100 проверок | От 20 до 500$ в месяц, индивидуальный тариф с персональным менеджером |
| BulkEmailVerifier | Работает быстро и одновременно с несколькими списками в форматах CSV или TXT, отчёты в CSV | − | От 25$ за 3 тысячи адресов |
| DataValidation | Сервис для профессионалов с развёрнутым API и автоматическим мониторингом списков | 500 проверок | Тариф зависит от количества контактов: от 0,007$, если нужно проверить до 10 тысяч адресов, до индивидуальных тарифов |
| Email Checker | Проверяет онлайн по API, может корректировать адреса, удаляя недопустимые символы | − | 14$ за тысячу адресов |
| Email List Verify | Дополнительно проводит необнаруживаемые проверки | 100 проверок | От 0,0003$ за адрес или от 139$ в месяц при величине списка в 5 тысяч адресов |
| EmailMarker | Работает с форматами: CSV, TXT, XLS, XLSX. Круглосуточная техподдержка | 150 проверок | От 21$ в месяц |
| ePochta Verifier Online | Быстрая проверка, неограниченное количество баз | 100 проверок | От 0,00005$ за 1 адрес |
| Kickbox | API для верификации в реальном времени, | 100 проверок | От 0,008$ за 1 адрес |
| MailboxValidator | Делит все контакты на три группы: валидные, условно-валидные и невалидные | 100 проверок в течение 30 дней | 149,95$ за 50 тысяч проверок |
| MailGet List Cleaning | Проверяет списки в девять этапов, определяет hard bounce | − | От 159$ за 50 тысяч проверок |
| Mailfloss | Интегрируется с MailChimp и другими сервисами, проверяет базу ежедневно | 7 дней | От 17$ в месяц |
| Mailvalidator | Экспресс-проверка, интеграция через API, техподдержка в телеграме | Экспресс-проверка без выгрузки отчётов 5 списков адресов в течение месяца | Экспресс-проверка — 0,25₽ за адрес для списка до 10 тысяч контактов, полная проверка — плюс 0,18₽ |
| MillionVerifier | Один из самых дешёвых валидаторов с техподдержкой во всех версиях | 10 адресов, плюс 200 адресов, если подтвердить номер телефона | От 50$ за 50 тысяч адресов |
| NeverBounce | Проверяет в реальном времени, автоматически чистит базу | Тысяча проверок | От 0,008$ за адрес при проверке до 10 тысяч адресов |
| Pabbly Email Verification | Находит адреса по ключевым словам, использует медленную отправку для более точных результатов | − | От 5$ за тысячу адресов |
| QuickEmailVerification | Поддерживает форматы: CSV, TXT, XLS, XLSX, ODS. Даёт возможность без регистрации попробовать некоторые функции бесплатно | 100 проверок ежедневно | От 0,008$ за адрес при проверке базы от 500 до 3500 адресов |
| SendPulse Verifier | Предлагает сразу несколько вариантов проверки, предоставляет подробный отчёт. | Один адрес в день или 100 адресов в месяц | От 0,28₽ за адрес |
| Snov.io | Может идентифицировать платные и бесплатные домены, есть расширение для Chrome | 100 проверок | От 39$ в месяц |
| TrueMail | Ориентирован на профессионалов, синхронизируется с CRM | Тысяча проверок | От 7$ за тысячу проверок |
| Xverify | Использует технологию защиты от мошенничества, может проверять номера телефонов | 100 проверок | От 0,01$ за адрес для базы в 5 тысяч контактов |
| ZeroBounce | Находит и добавляет в отчёт данные о пользователях, удаляет адреса с hard и soft bounce | 100 проверок | От 0,008$ за адрес для базы от 2 до 5 тысяч контактов |
SaaS-решения для проверки email
При необходимости можно установить программу для проверки email на компьютер. Сравним популярные SaaS-программы.
| Программа | Что умеет | Сколько стоит лицензия |
| ePochta Verifier | Загружает списки и выгружает отчёты в удобном для пользователя формате, анализирует работу домена | 2 400₽ |
| High Speed Verifier | Проверяет до нескольких тысяч адресов в секунду | 1 500₽ в год, есть бесплатная версия с ограниченными возможностями |
| MailList Validator | Проверяет до нескольких сотен адресов в секунду, импортирует адреса из любых источников, ищет адреса по гибким критериям | Бесплатно |
Как избежать попадания в базу невалидных адресов
Для поддержания чистоты базы следуйте простым правилам:
Подытожим
Репутация отправителя рассылок напрямую зависит от валидности его подписной базы. Чтобы реже попадать в спам и избежать блокировки за невалидные адреса в базе, регулярно проверяйте списки рассылок с помощью специальных онлайн-сервисов или специальных программ.
Узнавайте об обновлениях блога Email Soldiers первым
Спасибо!
Осталось подтвердить подписку — кликнуть по кнопке в письме, которое мы вам отправили.
Следите за обновлениями в соцсетях или получайте их от нашего телеграм-бота