Николай Костинян на странице ain.ua объяснил, что двухфакторная авторизация в Telegram не может считаться полной защитой мессенджера от взлома, в том случае если атакующий имеет возможность читать SMS. Дополнительно автор разобрал защиту в мессенджерах WhatsApp и Signal (малоизвестный мессенджер с шифрованием общения). Telegram с включенной двухфакторной авторизацией дает приблизительно то же самое, что Signal и WhatsApp обеспечивают и так, без никакой двухфакторной авторизации.
В ночь на 29 апреля 2016 года Telegram-переписку двух абонентов МТС взломали, якобы при помощи перехвата SMS. Из опубликованных документов «МТСовской» розницы следовало, что оператор отключал-подключал жертвам SMS. То есть взломщик, кто бы он не был, мог пользоваться для взлома именно SMS. Двухфакторной авторизацией жертвы не пользовались → Roem.ru
Какую информацию получит взломщик после взлома того или иного мессенджера?
- WhatsApp: никакую, «голый» аккаунт.
- Signal: никакую, «голый» аккаунт.
- Telegram: все контакты из несекретных чатов, всю переписку из несекретных чатов. Из секретных чатов не получает ничего.
- Telegram (при активной двухфакторной авторизации): никакую, «голый» аккаунт.
Почему двухфакторная авторизация в Telegram не работает, то есть не предотвращает угон аккаунта? И как происходит взлом:
Disable Two-Step Verification On Telegram
- … атакующий вводит код из SMS и узнает, что в настройках аккаунта включена двухфакторная авторизация и что ему нужно ввести пароль. Далее атакующий притворяется, будто он забыл пароль — «Forgot password?» Тут атакующему сообщают, что код восстановления отправлен на электронную почту (если жертва при включении двухфакторной авторизации указала адрес электронной почты)
- Атакующий нажимает «ok» и видит окошко, куда нужно ввести код для сброса пароля, который был отправлен на электронную почту. Тут атакующий говорит, что у него проблемы с доступом к своей почте — «Having trouble accessing your e-mail?». Тогда Telegram предлагает «reset your account»
- Атакующий нажимает «RESET» и Telegram просит указать имя для «переустановленного» аккаунта
- Собственно, все, атакующий успешно угнал аккаунт: он вошел под номером телефона жертвы и может писать от ее имени сообщения
Польза от двухфакторной авторизации в Telegram — чтобы атакующий не получил переписку из обычных (не секретных) чатов. Однако он сможет выдавать себя за другого человека (хотя и не идеально). Получается, что единственная польза от двухфакторной авторизации в Telegram — чтобы атакующий не получил переписку из обычных (не секретных) чатов.
Дополнительно Костинян описал то, что во время взлома видит жертва.
Павел Дуров, руководитель мессенджера Telegram, после известного взлома пары абонентов МТС, порекомендовал избегать услуг сотовых операторов из неадекватных юрисдикций. Его совет относится, скорее, к вопросу сокрытия переписки, а не к вопросам защиты мессенджера от «угона»:
Есть двухфакторная авторизация (пароль на аккаунт), аккаунт привязан к SIM-карте адекватной юрисдикции, наиболее деликатные моменты обсуждаются в секретных чатах. В принципе, любая из этих мер по отдельности позволяет защитить важную информацию.
Источник: roem.ru
Как сделать двухфакторную авторизацию в «Telegram»
Введение подобной меры предназначено для более лучшей защиты конфиденциальных данных пользователей и аккаунта соответственно. Появилось, благодаря недовольству многих активных владельцев аккаунтов однофакторной степенью защиты с помощью кода, присылаемого по СМС.
В чем заключается и как происходит двушаговая авторизация пользователя в «Телеграмм»?
Принцип довольно прост. Вами задается дополнительный пароль, хранящийся в «облаке». При заходе на ваш аккаунт через открытие приложения с нового мобильного устройства, кроме смс-кода потребуется ввести кодовую комбинацию, придуманный вами ранее.
Поэтапно полная процедура авторизации в два этапа происходит следующим образом:
1. Пользователь скачивает мобильное приложение на новое устройство и заходит, указывая свой номер мобильного телефона.
2. На гаджет приходит СМС с кодовой комбинацией, которую необходимо ввести (первый шаг авторизации).
3. Если введенная комбинация совпадает с отправленной из SMS, открывается поле с вводом второго «облачного» пароля.
4. При правильном вводе доступ будет получен и пользователь может пользоваться приложением через свой аккаунт.
Отметим, что данная процедура будет проходить каждый раз при попытке входа на «очередном» новом устройстве, обеспечивая тем самым безопасность аккаунта.
Как включить двухфакторную авторизацию?
В онлайн-версии «Телеграмм» необходимо нажать на «бургер», находящийся в левом верхнем углу, и перейти во вкладку «Настройки».
Прокручиваем чуть вниз и выбираем подраздел «Установить дополнительный пароль».
Вводим, нажимаем кнопку «Сохранить». Готово!
В настольной версии и мобильном приложении принцип аналогичен, только добавляется несколько шагов. Для большей понятливости, рассмотрим настройку на ПК-версии.
Снова знакомый нам «бургер», находящийся слева от поля «Поиск», и раздел «Настройки».
Прокручиваем вниз до пункта «Конфиденциальность и безопасность» («Privacy and Security»), выбираем подраздел, называющийся «Настроить двухэтапную аутенфикацию» (в мобильном приложении название немного другое – «двуэтапная аутенфикация).
Вводим пароль, повторяем и указываем адрес электронной почты, необходимый в случаях, если пароль забыт. Если e-mail указан, то потребуется подтвердить адрес путем перехода по ссылке, которая будет в пришедшем для подтверждения письме.
В заключении отметим (некоторым читающим напомним) несколько полезных советов:
- комбинация должна быть хороша знакома и запоминаема только вам;
- желательно, чтобы в придуманном коде были не только цифры, но и буквы, прописанные, как в верхнем, так и нижнем регистре (строчные и заглавные);
- не забываем заполнять поле подсказки, которое поможет в случае вашей забывчивости;
- несмотря на то, что электронную почту можно не указывать, но настоятельно рекомендуем ее указать. Если вы забыли кодовую комбинацию и подсказка вам не помогает, то почта – единственный способ выполнения входа в систему.
Вышеописанные советы вы могли видеть и читать не один раз, но все же примите их к сведению, учитывайте и соблюдайте.
Источник: akiwa.ru
Облачный пароль Телеграм: как настроить, установить и пользоваться
Вопрос безопасности в сети в последнее время стал особенно актуальным в связи с систематическими утечками данных и взломами аккаунтов. Для защиты своих данных мессенджер Телеграм предлагает своим пользователям использовать облачный пароль.
Что это такое и как его настроить, мы сегодня расскажем в данной статье.
- Что такое облачный пароль Телеграм
- Двухэтапная аутентификация
- Двухфакторная аутентификация
- Польза облачного пароля
Что такое облачный пароль Телеграм
Облачный пароль — это пароль, который является единым для всех ваших устройств. Его нужно будет вводить каждый раз, когда входите впервые в приложение Телеграм на новом устройстве.
Обычно, когда вы впервые входите в свой аккаунт Телеграм с другого устройства (планшет или ПК), приложение в целях безопасности требует ввести одноразовый код подтверждения. Данный код сервис мессенджера присылает вам в виде SMS на ваш телефон или уведомления в Телеграм. Но вы можете усилить защиту своего аккаунта, установив в приложении облачный пароль.
При входе с нового устройства в ваш аккаунт, приложение помимо одноразового кода подтверждения будет запрашивать дополнительный пароль, который вы задали в настройках. Это и будет облачный пароль в Телеграм.
Давайте рассмотрим подробнее как это работает.
Двухэтапная аутентификация
В документации Телеграм облачный пароль определяется как двухэтапная аутентификация (2-Step Verification). Как известно, процесс проверки подлинности пользователя называется аутентификацией. Как было выше упомянуто, в Телеграме аутентификация по умолчанию происходит с помощью проверочного кода подтверждения, который является одноразовым. Но при желании пользователь может установить свой дополнительный пароль. В таком случае обычная аутентификация превращается в двухэтапную (или двухшаговую).
При двухэтапной аутентификации пользователь должен будет совершить два проверочных действия. Они будут выполняться последовательно друг за другом, то есть по этапам. Рассмотрим на примере.
Вы все время пользовались приложением Телеграм на своем смартфоне, но в один прекрасный день вам понадобилось войти в Телеграм с ПК. Вы установили настольный клиент Телеграм на ПК, ввели свой номер к которому прикреплен ваш аккаунт и после это запустился процесс аутентификации.
Для начала приложение запросило ввести одноразовый код подтверждения. Получив данный код из SMS или уведомления в Телеграм, вы ввели его. Это первый этап аутентификации. Если у вас в настройках приложения не установлен облачный пароль, то аутентификация закончится на первом этапе и вы успешно сможете пользоваться настольным клиентом. Но если у вас в настройках установлен облачный пароль Телеграм, то после ввода одноразового кода приложение запросит ввести этот самый пароль.
Ввод облачного пароля, в данном случае, является вторым этапом аутентификации.
Главный плюс двухэтапной аутентификации в приложении Телеграм является возможность восстановления дополнительного пароля с помощью вашей электронной почты.
Электронную почту нужно указать в настройках в процессе создания облачного пароля.
Двухфакторная аутентификация
В интернете в некоторых источниках вы можете найти информацию о том, что облачный пароль является двухфакторной аутентификацие. Часто авторы таких статей не углубляются в значении данных определений и могут неумышленно пользователя запутать. Но в Телеграме двухфакторная аутентификация не используются. Так в чем же разница?
При двухфакторной аутентификации проверка подлинности пользователя тоже зависит от двух этапов, но каждый этап в свою очередь зависит от разных факторов. Например, у вас есть сейф, где вы храните ценные вещи. Для того, чтобы открыть сейф, вы должны ввести секретную комбинацию и открыть дверь ключом. Здесь присутствуют два разных фактора — секретная комбинация в вашей голове и физический ключ в руке.
Польза облачного пароля
Вы спросите, зачем вам облачный пароль в Телеграм, если вы не параноик?
Облачный пароль будет вам полезен, если вы являетесь владельцем телеграм-канала или известной личностью.
Например, злоумышленник может получить доступ к вашему аккаунту Телеграм. Для этого ему достаточно узнать ваш номер телефона и перехватить SMS с кодом подтверждения.
В случае двухэтапной аутентификации злоумышленнику этого не будет достаточно, ему понадобится ваш облачный пароль. А его знаете только вы. Если злоумышленник попытается его изменить или сбросить, то вам сразу же на e-mail придет письмо с просьбой подтвердить, что вы действительно хотите поменять пароль. Таким образом вы сразу догадаетесь, что кто-то хочет получить доступ к вашему аккаунту.
Как настроить облачный пароль
Настроить облачный пароль достаточно легко. Но перед тем как это сделать, желательно завершить все активные сеансы. Для этого нужно следовать такому алгоритму действий: «Настройки» — «Конфиденциальность» — «Активные сеансы» — «Завершить все другие сеансы».
После чего вы должны совершить настроить облачный пароль в Телеграм:
- Нажмите на иконку меню (три горизонтальные полоски) и войдите в раздел «Настройки».
- Далее перейдите в подраздел «Конфиденциальность».
- После этого выберите опцию «Двухэтапная аутентификация».
- Нажмите «Установить дополнительный пароль».
- Введите пароль и подтвердите его.
- Установите подсказку для пароля.
- Далее введите ваш адрес электронной почты (вы можете пропустить данный этап процедуры, но тогда вы будете лишены возможности восстановить пароль, если вдруг его забудете).
- Проверьте вашу почту. Там должно быть письмо с кодом подтверждения.
- Введите код подтверждения.
Теперь когда вы впервые войдете в Телеграм с другого устройства, помимо полученного кода из SMS или сообщения в Телеграм (на смартфоне), вы должны будете вводить установленный вами облачный пароль.
Вы также можете посмотреть видеообзор на YouTube, где наглядно показано, как защитить свой аккаунт при помощи облачного пароля:
Как защитить Телеграм от взлома мошенников | Облачный парольТаким образом, облачный пароль в Телеграм позволяет надежно защитить ваш аккаунт.
На этом сегодня все. Проект t9gram — все про Telegram.
Источник: t9gram.me