После недавних громких взломов Telegram-аккаунтов в России, основатель сервиса Павел Дуров сказал, что двухфакторная авторизация «позволяет защитить важную информацию».
Да, если двухфакторная авторизация в Telegram включена, то атакующий, угнавший ваш аккаунт, не получит историю ваших переписок — но от самого угона эта двухфакторная не защищает, хотя вроде как должна бы.
То есть если атакующий может получить вашу SMS с кодом для входа, то он гарантированно может угнать ваш аккаунт независимо от того, включена ли у вас двухфакторная авторизация или нет.
Под «угнать» я понимаю «может войти в приложение Telegram под вашим номером телефона» и писать от вашего имени сообщения вашим контактам.
Происходит это следующим образом:
1. Атакующий у себя в приложении указывает номер телефона жертвы и пытается войти в аккаунт. Тут он видит сообщение, что код отправлен не по SMS, а на приложение, зарегистрированное на этот номер, на другом устройстве:
2. В этот момент жертва получает системное уведомление у себя в приложении (или приложениях) Telegram:
3. Атакующий нажимает «Didn’t get the code?» и Telegram отправляет код через SMS:
4. Тут атакующий вводит код из SMS и узнает, что в настройках аккаунта включена двухфакторная авторизация и что ему нужно ввести пароль (в данном случае «10» это подсказка для пароля, выбранная при включении двухфакторной):
5. Далее атакующий притворяется, будто он забыл пароль — «Forgot password?». Тут атакующему сообщают, что код восстановления отправлен на электронную почту (если жертва при включении двухфакторной авторизации указала адрес электронной почты). Атакующий не видит адреса электронной почты — он видит лишь то, что после «собачки»:
6. В этот момент жертва получает код для сброса пароля на адрес электронный почты (если она указала адрес электронной почты при включении двухфакторной авторизации):
7. Атакующий нажимает «ok» и видит окошко, куда нужно ввести код для сброса пароля, который был отправлен на электронную почту. Тут атакующий говорит, что у него проблемы с доступом к своей почте — «Having trouble accessing your e-mail?». Тогда Telegram предлагает «reset your account»:
8. Атакующий нажимает «ok» и видит два варианта — или ввести пароль, или нажать «RESET MY ACCOUNT». Telegram объясняет, что при «переустановке» аккаунта потеряется вся переписка и файлы из всех чатов:
9. Атакующий нажимает «RESET MY ACCOUNT» и видит предупреждение, что это действие невозможно будет отменить и что при этом все сообщения и чаты будут удалены:
10. Атакующий нажимает «RESET» и Telegram просит указать имя для «переустановленного» аккаунта:
11. Собственно, все, атакующий успешно угнал аккаунт: он вошел под номером телефона жертвы и может писать от её имени сообщения:
12. Жертва при этом видит приложение таким, каким оно было сразу после установки. Приветственный экран рассказывает о Telegram и предлагает зарегистрироваться или войти в уже существующий аккаунт:
13. Когда атакующий пишет от имени жертвы кому-нибудь из контактов жертвы, этот контакт видит, что жертва только что присоединилась к Telegram (что подозрительно), а также новое сообщение (или сообщения) в новом чате от жертвы. Через 12–16 часов контакт также увидит, что в старых чатах вместо имени жертвы указано «Deleted Account»:
Если жертва имеет возможность получать SMS на этот номер телефона, она может войти в приложение Telegram на своём устройстве. Если атакующий на угнанном аккаунте не включил двухфакторную авторизацию, жертва может войти и в меню Settings => Privacy and Security => Active Sessions прекратить все остальные сессии (то есть сессии атакующего):
Если же атакующий на угнанном аккаунте включил двухфакторную авторизацию — жертва, в свою очередь, таким же образом может «угнать обратно» свой аккаунт.
Получается, что единственная польза от двухфакторной авторизации в Telegram — чтобы атакующий не получил переписку из обычных не секретных чатов (если угнать аккаунт без включенной двухфакторной, то атакующий получит всю историю переписок из несекретных чатов, из секретных чатов он и так и так ничего не получит). То есть Telegram с включённой двухфакторной авторизацией даёт приблизительно то же самое, что Signal и WhatsApp обеспечивают и так, без никакой двухфакторной авторизации.
Иными словами, двухфакторная авторизация в Telegram не совсем настоящая, Telegram все равно позволяет войти используя один лишь фактор — код из SMS.
Ситуация несколько анекдотичная: вот вам, юзеры, двухфакторная авторизация. Первый фактор — код из SMS (что у меня есть), второй фактор — пароль (что я знаю). Звучит супер, но когда юзер говорит — а я вот забыл пароль, Telegram говорит — ну ничего, бывает, заходи без пароля и пользуйся на здоровье 🙂
Это удалось выяснить экспериментальным путём в рамках немножко более масштабного исследования о Telegram, WhatsApp и Signal — «Как «защищённые» мессенджеры защищены от кражи SMS»
Источник: habr.com
Как снять двухфакторную аутентификацию, если нет доступа к телефону
Двухфакторная авторизация — это самый простой и эффективный способ защитить свои аккаунты в различных сервисах от взлома. Заключается он в том, что для успешного входа нужно не только верно ввести логин и пароль, но и взаимодействовать со смартфоном владельца аккаунта — ввести дополнительный код, нажать какую-либо кнопку, сканировать QR-кода и другое. Этот метод защиты используется в каждом современном сервисе и социальной сети и рекомендуется каждому пользователю его включить. Но есть у него один недостаток — даже владелец аккаунта будет испытывать трудности при входе в свой собственный профиль, если вдруг у него под рукой не окажется его телефона. Это может случить по разным причинам — потерял, сломал, уехал за границу, где нет связи и другое.
Каким же образом снять двухфакторную аутентификацию, если у вас по какой-то причине нет доступа к мобильному телефону? В большинстве случаев это невозможно, но можно заранее подготовиться к вероятному отсутствию смартфона под рукой. Рассмотрим в этой статье способы для разных популярных сервисов.
Каким образом обойти двухфакторную авторизацию в Instagram
Для того, чтобы войти в аккаунт Instsgram, необходимо иметь в своём распоряжении секретные коды . Эти секретные коды можно получить уже в авторизованном профиле. Поэтому, если есть вероятность, что вы окажетесь без доступа к смартфону для прохождения двухэтапной авторизации, следует заранее куда-либо в надёжное место сохранить эти коды.
Чтобы получить секретные коды, следует сделать следующее:
- Войдите в свой профиль Инстаграм, и нажмите вверху справа на три линии, чтобы попасть в меню.
Нажмите внизу « Настройки «.
Зайдите в раздел « Безопасность «.
И откройте здесь раздел « Двухфакторная аутентификация «.
Нажмите « Коды восстановления «.
И вы увидите шесть кодов. Каждый код позволяет один раз авторизоваться в профиле Instagram без получения СМС на телефон при включённой двухэтапной аутентификации.
Бывают такие ситуации, что доступ к смартфону есть, но СМС получить на него нет возможности, например, если вы находитесь за границей, а роуминг не подключили или потеряли SIM-карту. В этом случае вы можете облегчить себе жизнь и включить дополнительную защиту с помощью приложения.
В этом случаем вам не нужно будет получать СМС. Достаточно будет иметь смартфон с доступом в интернет и с помощью приложения пройти двухфакторную аутентификацию в Instagram.
Если же вы не можете получить СМС, не можете воспользоваться приложением и не сохранили секретные коды, то доступ к профилю будет не возможен, к сожалению.
Способ снять защиту в ВК, если нет доступа к мобильному телефону
Аналогичная система действует и в социальной сети ВКонтакте. Есть возможность войти с помощью СМС на телефон, специального приложения и секретных кодов. Таким образом при включении двойной авторизации рекомендуется также использовать и ещё один дополнительный способ для снятия двойной защиты, который можно будет использовать на случай потери смартфона. И это нужно сделать заранее.
Давайте рассмотрим это, если у вас нет доступа к вашему телефону:
-
Войдите в свой аккаунт ВК, нажмите вверху справа на ваше фото, а затем на « Настройки «.
Зайдите в раздел « Безопасность «.
Здесь вы увидите способы входа с помощью двухфакторной аутентификации. В первой строке будет указан привязанный номер телефона.
Во второй строке « Резервные коды » можно нажать на ссылку « Показать список » и увидеть коды. Вы увидите 10 кодов, каждый из которых действует только один раз (перед этим потребуется ввести пароль). С их помощью можно войти в свой профиль с двойной защитной аутентификацией, не имя смартфона под рукой.
Третья строка — « Приложение для генерации кодов «. Здесь можно подключить любое приложение для защиты. С его помощью можно отсканировать QR код и войти. Это удобно в тех случаях, когда доступ к смартфону есть, но нет возможности получить на него СМС-сообщение, например, в случае нахождения вне зоны доступа сети.
Если вы не можете получить СМС на смартфон и войти с помощью приложения, то остаётся только написать сообщение с описанием этой проблемы в поддержку ВК по этой ссылке . Вероятность успеха в этом случае не большая и она повышается, если в профиле у вас указаны актуальные данные — имя и фамилия, дата рождения, фото и другие. Поэтому о возможности входа в случае внезапной потери доступа к смартфону лучше позаботиться заранее.
Обход двухфакторной аутентификации в Apple
В Apple ID двухфакторная авторизация включается по умолчанию сразу же после регистрации, и отключить её нельзя совсем. Более того, аутентификация в этом случае возможна исключительно по СМС на привязанный номер телефона и никаких секретных кодов и приложений здесь нет.
Если вы собираетесь переехать за границу, где ваш номер телефона будет недоступен, и вы уже знаете ваш номер телефона на новом месте, то вы можете привязать его к вашей учётной записи Apple ID заранее. Это можно сделать по данной ссылке . В разделе « Безопасность » нажмите кнопку « Изменить «.
Нажмите « Добавить номер телефона «.
И укажите новый номер. Его необходимо будет подтвердить с помощью СМС или звонка.
Если, всё-таки, вы не можете войти в ваш аккаунт Apple ID из-за того, что нет возможности пройти двухфакторную авторизацию, то вам следует обратиться за помощью в поддержку Apple.
Сброс защиты при входе в аккаунт 1xbet, если нет доступа к смартфону
В 1xbet двойная аутентификация возможна только по приложению Google Authenticator . Не предусмотрен вход с помощью СМС или секретных одноразовых входов.
Даже если вы окажетесь заграницей вне зоны вашей сети, вы сможете войти в свой аккаунт при условии, что смартфон есть у вас и он подключен к интернету. Если же смартфон будет внезапно утерян вместе с приложением входа, то обойти защиту не получится, к сожалению. Здесь следует обратиться за помощью в поддержку сервиса.
Деактивация двойной авторизацию в Faceit
В Faceit есть возможность войти с помощью приложения Google Authenticator либо по секретным кодам. Очевидно, если доступа к смартфону нет совсем, то использовать Google Authenticator не получится вообще. Он пригоден в случае наличия смартфона и доступа к интернету.
Поэтому, чтобы гарантированно не потерять доступ к своему аккаунту Faceit без доступа к телефону, нужно заранее сохранить себе секретные коды.
Чтобы их увидеть, нужно войти в свой профиль и сделать следующее:
-
Вверху справа нажмите на три точки, а затем « Ваш аккаунт «.
В настройках аккаунта перейдите в раздел « Безопасность учётной записи » и напротив включенной защиты нажмите « Изменить «.
Нажмите « Просмотреть коды «.
И вы увидите коды. Предварительно потребуется ввести пароль от аккаунта либо код из Google Authenticator. Сохраните себе эти коды на случай потери доступа к телефону.
Если вы не позаботились заранее о сохранении кодов и доступа к привязанному телефону у вас нет, то, чтобы восстановить доступ, вам потребуется обратиться в поддержку Faceit по этой ссылке https://support.faceit.com/hc/en-us.
Импорт из Google Authenticator без доступа к мобильному устройству
Большинство сервисов, что были рассмотрены выше, и многие другие позволяют пройти двухэтапную аутентификацию с помощью приложения Google Authenticator. Это приложение позволяет импортировать данные. Поэтому, если вы меняете смартфон запланировано, вы можете переместить данные из Google Authenticator старого устройства на новое.
Для этого следует сделать следующее:
- Откройте Google Authenticator на старом телефоне и нажмите на три точки вверху справа, затем нажмите « Перенести аккаунты «.
- Нажмите « Экспорт аккаунтов «.
Видео-инструкция
В данном видео будет рассмотрено, каким образом снять двухфакторную аутентификацию на примере сайта mail.ru, если у вас нет доступа к мобильному телефону.
Источник: rusadmin.biz
Как включить двухэтапную аутентификацию Telegram
Многие функции и возможности Telegram остаются для большинства пользователей неизвестными. Например, Telegram – одно из самых безопасных приложений подобного рода в том, что касается обмена сообщениями. Для защиты у него есть двухфакторная аутентификация, появившаяся 5 лет назад. С учётом роста пользователей можно считать, что усиление безопасности ещё больше не помешает.
По умолчанию двухфакторная аутентификация выключена, хотя активировать её нетрудно. В этой статье мы расскажем, как это делается.
Как это обычно бывает в мессенджерах, аккаунт пользователя в Telegram привязан к номеру вашего телефона. При каждом входе в учётную запись Telegram на новом устройстве на телефон приходит одноразовый код. Если включить двухфакторную аутентификацию, вы защитите свою учётную запись дополнительным паролем.
При входе в учётную запись потребуется указывать как код безопасности, так и этот пароль. Что нужно сделать для активации двухфакторной аутентификации:
- Откройте Telegram и гамбургер-меню в верхнем левом углу.
- Выберите команду «Настройки».
Откройте «Конфиденциальность».
Нажмите «Двухэтапная аутентификация».
Нажмите «Задать пароль».
Введите выбранный вами пароль и подтвердите его, нажмите «Продолжить». На следующей странице укажите адрес электронной почты для восстановления доступа к учётной записи.
Теперь у вас активна двухфакторная аутентификация и ваш аккаунт защищён намного лучше. Казалось бы, зачем расписывать функциональность, которая появилась 5 лет назад. Дело в том, что Telegram в январе 2021 года стал самым загружаемым приложением в мире. За месяц его установили 64 млн раз. Этому поспособствовала новая политика конфиденциальности WhatsApp.
Потом его разработчики приостановили действие этой политики, но люди по-прежнему в массовом порядке переходят на Telegram.
Telegram намного безопаснее, чем WhatsApp, и потребляет не так много ресурсов. Это означает, что он может без проблем работать на сравнительно дешёвых смартфонах. С помощью этого руководства вы только что дополнительно обезопасили свою учётную запись.
Пожалуйста, оцените статью.
Источник: trashexpert.ru