Николай Костинян на странице ain.ua объяснил, что двухфакторная авторизация в Telegram не может считаться полной защитой мессенджера от взлома, в том случае если атакующий имеет возможность читать SMS. Дополнительно автор разобрал защиту в мессенджерах WhatsApp и Signal (малоизвестный мессенджер с шифрованием общения). Telegram с включенной двухфакторной авторизацией дает приблизительно то же самое, что Signal и WhatsApp обеспечивают и так, без никакой двухфакторной авторизации.
В ночь на 29 апреля 2016 года Telegram-переписку двух абонентов МТС взломали, якобы при помощи перехвата SMS. Из опубликованных документов «МТСовской» розницы следовало, что оператор отключал-подключал жертвам SMS. То есть взломщик, кто бы он не был, мог пользоваться для взлома именно SMS. Двухфакторной авторизацией жертвы не пользовались → Roem.ru
Какую информацию получит взломщик после взлома того или иного мессенджера?
- WhatsApp: никакую, «голый» аккаунт.
- Signal: никакую, «голый» аккаунт.
- Telegram: все контакты из несекретных чатов, всю переписку из несекретных чатов. Из секретных чатов не получает ничего.
- Telegram (при активной двухфакторной авторизации): никакую, «голый» аккаунт.
Почему двухфакторная авторизация в Telegram не работает, то есть не предотвращает угон аккаунта? И как происходит взлом:
Как пользоваться Google Authenticator
- … атакующий вводит код из SMS и узнает, что в настройках аккаунта включена двухфакторная авторизация и что ему нужно ввести пароль. Далее атакующий притворяется, будто он забыл пароль — «Forgot password?» Тут атакующему сообщают, что код восстановления отправлен на электронную почту (если жертва при включении двухфакторной авторизации указала адрес электронной почты)
- Атакующий нажимает «ok» и видит окошко, куда нужно ввести код для сброса пароля, который был отправлен на электронную почту. Тут атакующий говорит, что у него проблемы с доступом к своей почте — «Having trouble accessing your e-mail?». Тогда Telegram предлагает «reset your account»
- Атакующий нажимает «RESET» и Telegram просит указать имя для «переустановленного» аккаунта
- Собственно, все, атакующий успешно угнал аккаунт: он вошел под номером телефона жертвы и может писать от ее имени сообщения
Польза от двухфакторной авторизации в Telegram — чтобы атакующий не получил переписку из обычных (не секретных) чатов. Однако он сможет выдавать себя за другого человека (хотя и не идеально). Получается, что единственная польза от двухфакторной авторизации в Telegram — чтобы атакующий не получил переписку из обычных (не секретных) чатов.
Дополнительно Костинян описал то, что во время взлома видит жертва.
Павел Дуров, руководитель мессенджера Telegram, после известного взлома пары абонентов МТС, порекомендовал избегать услуг сотовых операторов из неадекватных юрисдикций. Его совет относится, скорее, к вопросу сокрытия переписки, а не к вопросам защиты мессенджера от «угона»:
Как работает двухфакторная аутентификация? | РАЗБОР
Есть двухфакторная авторизация (пароль на аккаунт), аккаунт привязан к SIM-карте адекватной юрисдикции, наиболее деликатные моменты обсуждаются в секретных чатах. В принципе, любая из этих мер по отдельности позволяет защитить важную информацию.
Источник: roem.ru
Что такое облачный пароль в Telegram и нужно ли его включать
Telegram принято считать одним из самых безопасных мессенджеров, где вашу переписку точно не видит никто из посторонних людей. Кроме того, приложение предлагает массу способов дополнительной защиты. С одним из таких я невольно познакомился, увидев в служебных уведомлениях сообщение с советом установить облачный пароль Телеграм. Возможно, нечто подобное встречали и вы.
Но известно ли вам, что такое облачный пароль и для чего он нужен? Если нет, тогда самое время в этом разобраться.
Облачный пароль способен минимизировать риск взлома
Двухфакторная аутентификация в Телеграм
В последние годы в нашей речи закрепилось понятие двухфакторной аутентификации, которую также называют двухэтапной. Ее суть сводится к тому, что для входа в тот или иной аккаунт выполняется двойная проверка. Например, вас просят ввести не только логин и пароль, но и код подтверждения, поступающий на электронную почту или в виде SMS-сообщения на привязанный номер. Это позволяет избежать взлома учетной записи.
Но что происходит, когда мы пытаемся войти в Телеграм? Давайте разберемся:
По умолчанию Telegram использует уязвимую одноэтапную аутентификацию
Это классический пример одноэтапной аутентификации, так как для входа нам нужно ввести только короткий код. Мошенники могут его перехватить, и встречайте — взлом аккаунта Телеграм. К счастью, есть способ обезопасить учетную запись. Заключается он во включении двухэтапной аутентификации Телеграм.
Что такое облачный пароль в Телеграм
Облачный пароль Телеграм — это и есть та самая двухфакторная аутентификация. Но в сравнении с защитой Google она работает иначе. Так, если для входа в аккаунт Гугл сначала нужно ввести логин и пароль, а затем — код из SMS или подтвердить авторизацию на другом устройстве, то в Telegram эти действия выполняются в обратном порядке.
Сначала вы указываете номер, вводите одноразовый код, а потом — облачный пароль. При этом нельзя обойтись чем-то одним. Для подтверждения входа нужно пройти оба этапа.
Двухэтапная аутентификация Telegram предполагает ввод не только одноразового кода, но и постоянного пароля
Вводить облачный пароль необходимо только для входа в аккаунт на новом устройстве или после переустановки приложения на действующем смартфоне. Это позволит избежать взлома через бот Телеграм.
Как поставить облачный пароль на Телеграм
Поговорим о том, как установить облачный пароль, поскольку изначально он выключен. Для активации двухэтапной проверки понадобится:
Облачный пароль включается через настройки конфиденциальности
Подробнее поговорим о процессе создания облачного пароля. Вы можете вводить любые символы почти в неограниченном количестве. После повторения ввода Telegram предлагает указать подсказку, а также адрес электронной почты для восстановления доступа.
Создание подсказка и привязка электронной почты помогут восстановить аккаунт, если вы забудете пароль
Все это упрощает процесс восстановления аккаунта, если забыл пароль от Телеграм, но в то же время снижает уровень безопасности. Злоумышленнику будет легче узнать код, если он предварительно получит доступ к почтовому ящику.
Как сбросить облачный пароль в Телеграм
Если в какой-то момент вы почувствуете бесполезность двухфакторной защиты, то всегда можете сбросить облачный пароль Telegram или изменить его. Действовать нужно следующим образом:
Чтобы изменить или отключить облачный пароль, предварительно его нужно ввести
Итак, среди настроек вам будет доступно изменение пароля, отключение двухэтапной аутентификации Телеграм и добавление электронной почты, если ранее она не была привязана.
Что делать, если забыл пароль от Телеграм
И вот тут мы подбираемся к самому интересному. Допустим, вы настроили двухфакторную аутентификацию Телеграм, но в какой-то момент забыли пароль. Можно ли выйти из этой ситуации? Да, но далеко не всегда. Восстановить доступ можно только в том случае, если ранее вы привязывали электронную почту.
Тогда для подтверждения входа придется ввести код, который поступит на указанный e-mail.
Восстановить облачный пароль можно только через электронную почту
Если почтовый ящик не привязан, останется лишь удалить аккаунт Телеграм. Я уже подробно рассказывал о последствиях этого действия в отдельном материале. Увы, без e-mail восстановить доступ не получится. Так что решайте сами, стоит ли устанавливать облачный пароль в Telegram.
Источник: 24hitech.ru