Николай Костинян на странице ain.ua объяснил, что двухфакторная авторизация в Telegram не может считаться полной защитой мессенджера от взлома, в том случае если атакующий имеет возможность читать SMS. Дополнительно автор разобрал защиту в мессенджерах WhatsApp и Signal (малоизвестный мессенджер с шифрованием общения). Telegram с включенной двухфакторной авторизацией дает приблизительно то же самое, что Signal и WhatsApp обеспечивают и так, без никакой двухфакторной авторизации.
В ночь на 29 апреля 2016 года Telegram-переписку двух абонентов МТС взломали, якобы при помощи перехвата SMS. Из опубликованных документов «МТСовской» розницы следовало, что оператор отключал-подключал жертвам SMS. То есть взломщик, кто бы он не был, мог пользоваться для взлома именно SMS. Двухфакторной авторизацией жертвы не пользовались → Roem.ru
Какую информацию получит взломщик после взлома того или иного мессенджера?
- WhatsApp: никакую, «голый» аккаунт.
- Signal: никакую, «голый» аккаунт.
- Telegram: все контакты из несекретных чатов, всю переписку из несекретных чатов. Из секретных чатов не получает ничего.
- Telegram (при активной двухфакторной авторизации): никакую, «голый» аккаунт.
Почему двухфакторная авторизация в Telegram не работает, то есть не предотвращает угон аккаунта? И как происходит взлом:
Как включить двухэтапную аутентификацию в Телеграм?
- … атакующий вводит код из SMS и узнает, что в настройках аккаунта включена двухфакторная авторизация и что ему нужно ввести пароль. Далее атакующий притворяется, будто он забыл пароль — «Forgot password?» Тут атакующему сообщают, что код восстановления отправлен на электронную почту (если жертва при включении двухфакторной авторизации указала адрес электронной почты)
- Атакующий нажимает «ok» и видит окошко, куда нужно ввести код для сброса пароля, который был отправлен на электронную почту. Тут атакующий говорит, что у него проблемы с доступом к своей почте — «Having trouble accessing your e-mail?». Тогда Telegram предлагает «reset your account»
- Атакующий нажимает «RESET» и Telegram просит указать имя для «переустановленного» аккаунта
- Собственно, все, атакующий успешно угнал аккаунт: он вошел под номером телефона жертвы и может писать от ее имени сообщения
Польза от двухфакторной авторизации в Telegram — чтобы атакующий не получил переписку из обычных (не секретных) чатов. Однако он сможет выдавать себя за другого человека (хотя и не идеально). Получается, что единственная польза от двухфакторной авторизации в Telegram — чтобы атакующий не получил переписку из обычных (не секретных) чатов.
Дополнительно Костинян описал то, что во время взлома видит жертва.
Павел Дуров, руководитель мессенджера Telegram, после известного взлома пары абонентов МТС, порекомендовал избегать услуг сотовых операторов из неадекватных юрисдикций. Его совет относится, скорее, к вопросу сокрытия переписки, а не к вопросам защиты мессенджера от «угона»:
Уроки Telegram #7. Что такое двухэтапная аутентификация? И как ее установить?
Есть двухфакторная авторизация (пароль на аккаунт), аккаунт привязан к SIM-карте адекватной юрисдикции, наиболее деликатные моменты обсуждаются в секретных чатах. В принципе, любая из этих мер по отдельности позволяет защитить важную информацию.
Источник: roem.ru
Двухэтапная аутентификация
Telegram отличается от других мессенджеров высоким уровнем конфиденциальности. Мы можем спокойно вести переписку в приложении, не переживая, что кто нибудь перехватит информацию или взломает ваш аккаунт.
Но все же если в вашем телеграмме есть важные данные или секретные сообщения, то для большей защищенности, можно установить дополнительную защиту аккаунта.
Дополнительный ключ в телеграм обеспечит вам полную защиту учетной записи. Так как, после установки двухэтапной аутентификации, телеграмм будет запрашивать пароль при попытке входа в аккаунт с другого устройства.
Чтобы установить защитный шифр следуйте следующим указаниям:
- зайдите в настройки Telegram;
- войдите в раздел конфиденциальности;
- выберите пункт «двухэтапная аутентификация»;
- нажимите «Установить пароль»;
- далее введите придуманный вами пароль;
- повторите ввод;
- напишите подсказку к нему (но это не обязательно, можно пропустить этот пункт);
- введите адрес электронной почты.
Миссия завершена! Изменить и выключить дополнительную защиту вы можете здесь же.
Теперь, если кто нибудь или вы сами захотите войти в учетную запись с другого устройства, то нужно будет ввести ключ, установленный вами.
Можно ли взломать 2-этапную аутентификацию Telegram?
Если кто-то скажет, что может взломать Telegram, защищённый двухэтапной аутентификацией, попросите его заменить GIF в этом канале:
Учётная запись, управляющая этим каналом, имеет включённую двухэтапную аутентификацию, но тот, кто может «взломать» её, не должен испытывать проблемы с размещением нового GIF.
Двухэтапная аутентификация. Объяснение
По умолчанию для входа в Telegram на новом устройстве и для доступа к облачным чатам можно использовать код из SMS, отправляемого на номер телефона. Это отраслевой стандарт для входа в мессенджеры. Однако, если у вас есть причины не доверять своему оператору мобильной связи или правительству, мы рекомендуем вам защитить свой Telegram-профиль с помощью дополнительного пароля.
При входе в профиль на новом устройстве Telegram проверит, что вы являетесь владельцем аккаунта, в два этапа: сначала запросит код, затем пароль. Вот почему это называется Двухэтапная аутентификация.
Как включить 2-этапную аутентификацию?
Перейдите в раздел Настройки Telegram → Приватность и безопасность → 2-этапная аутентификация и введите пароль, который будет запрашиваться при каждом входе в Telegram-профиль на новом устройстве.
Резервная почта для восстановления
Если вы беспокоитесь о том, что можете забыть свой пароль, вы можете настроить резервную почту для его восстановления. Если вы это сделаете, нажатие на «Забыли пароль?» отправит код на ваш электронный адрес. Ввод этого кода сбросит пароль и даст вам доступ к вашему Telegram-профилю.
Вы можете пропустить этот шаг и вообще не устанавливать резервную почту. Если вы это сделаете и забудете свой пароль, то восстановить доступ к чатам будет невозможно. Единственным вариантом будет удаление Telegram-профиля и запуск с нуля.
Дополнительные советы по безопасности
Защита Резервной почты
Для того чтобы Двухэтапная аутентификация была эффективной, важно, чтобы ваша резервная почта была в безопасности. В конце концов, если кто-то получит доступ к вашей электронной почте, он может сбросить ваш пароль и войти в ваш Telegram-профиль.
По этой причине мы рекомендуем использовать международные службы электронной почты с хорошей репутацией, особенно если вы живёте в стране, где коррумпированным чиновникам или их друзьям легко получить данные от местных компаний.
«Восстановление» Резервной почты
Обратите особое внимание на то, как можно восстановить доступ к резервной почте, если вы забудете свой пароль электронной почты. Некоторые сервисы позволяют восстановить полный доступ к электронной почте с помощью простого SMS-кода и без пароля. Хотя это может показаться удобным, это может дать злоумышленнику, взломавшему ваш номер телефона, слишком много власти.
Обеспечение безопасности вашего устройства
Помните, что в любом случае ваше устройство является главным хранителем ваших данных. Никакой мессенджер не может защитить вас от людей, имеющих доступ к вашему устройству.
Для защиты устройства от вредоносного ПО обновляйте операционную систему до последней версии и никогда не устанавливайте приложения из подозрительных источников. Также рекомендуется использовать только официальные приложения Telegram.
Источник: teleuz.info