Можно ли обойти двухфакторную аутентификацию в Телеграмме

Содержание

Хакерский форумы изобилуют предложениями о взломе аккаунтов. В большинстве случаев атаки устраивают при помощи фишинга с подделкой страницы авторизации. Однако такой метод неэффективен, если пользователю приходит SMS с проверочным кодом. Я покажу, как хакеры обходят двухфакторную аутентификацию, на примере взлома аккаунта Google редактора сайта «www.spy-soft.net».

Экскурс в двухфакторную аутентификацию

Раньше, когда сайты работали по HTTP и о защите толком никто и не думал, перехват трафика с учетными данными был совсем простой задачей. Потом трафик стали шифровать, и злоумышленникам пришлось придумывать более изощренные способы подмены и перенаправления маршрутов. Казалось бы, двухфакторная аутентификация окончательно решила проблему, но все дело в деталях ее реализации.

Метод двухфакторной аутентификации (Two-Factor authentication) был придуман как дополнительный способ подтверждения владельца аккаунта. Он основан на нескольких способах аутентификации:

  • пользователь что-то знает (например, может ответить, какая была девичья фамилия его матери или кличка первого домашнего питомца);
  • пользователь обладает уникальными чертами, которые можно оцифровать и сравнить (биометрическая аутентификация);
  • пользователь имеет девайс с уникальным идентификатором (например, номер мобильного, флешку с ключевым файлом).

Первый метод еще встречается при восстановлении паролей по контрольным вопросам. Для регулярного использования он не годится, так как ответы не меняются и могут быть легко скомпрометированы. Второй способ чаще применяется для защиты данных на мобильных гаджетах и для авторизации клиентских приложений на серверах.

Способы обхода двухфакторной аутентификации

Самый популярный метод 2FA — третий. Это SMS с проверочными кодами, генерируемыми по технологии OTP. Код приходит каждый раз разный, поэтому угадать его практически невозможно.

Однако чем сложнее преодолеть защиту техническими методами, тем легче бывает это сделать социальной инженерией. Все настолько уверены в надежности двухфакторной аутентификации, что используют ее для самых ответственных операций — от авторизации в Google (а это сразу доступ к почте, диску, контактам и всей хранимой в облаке истории) до систем клиент-банк.

При этом возможность обхода такой системы уже показывал австралийский исследователь Шабхэм Шах (Shubham Shah). Правда, его метод был довольно сложен в практической реализации. В нем использовалась авторизация по звонку, а не SMS, а предварительно нужно было узнать номер телефона жертвы и часть учетных данных. PoC был не особо убедительным, но наметил вектор атаки.

Взлом двухфакторной аутентификации с помощью Modlishka

В начале 2019 года польский исследователь Пётр Душиньский (Piotr Duszyński) выложил в открытом доступе реверс-прокси Modlishka. По его словам, этот инструмент может обойти двухфакторную аутентификацию, что мы сейчас и проверим.

Если сравнить его с тем же SEToolkit (он встроен практически во все популярные дистрибутивы для пентеста), то разница вот в чем: SET клонирует и размещает на локальном сервере страницу авторизации. Там все основано на работе скриптов, которые перехватывают вводимые учетные данные жертвы. Можно, конечно, настроить редирект на оригинальный сайт, но трафик от жертвы до вашего сервера будет незашифрованным. По сути, такого рода программы выступают в роли web-серверов с поддельным (фишинговым) сайтом.

Еще по теме:  Как сгрузить ненужные файлы в Телеграме

Как взломать Телеграм, если даже установил 2FA / ТОП Советы

Статья написана в образовательных целях. Цель статьи указать на недостатки двухфакторной аутентификации и указать вам на то, что это не панацея. Ни автор, ни редакция сайта «www.spy-soft.net» не несут ответственности за любой возможный вред, причиненный материалами данной статье.

Modlishka действует иначе. Генерируется свой сертификат, которым шифруется соединение от жертвы до нашего сервера (чтобы не палиться). Затем эта машина выступает в роли обратного прокси.

Другими словами, весь трафик идет на оригинальный сайт с инстанцией на нашем сервере. У хакера остаются учетные данные, и захватывается авторизованная сессия жертвы. Классическая MITM-атака, которую предваряет фишинг (нужно как-то заставить жертву установить поддельный сертификат и направить ее на фейковый сайт).

Стенд для обхода двухфакторной аутентификации

Давайте поднимем сервер с Modlishka внутри локальной машины. Я сделаю это на примере Kali Linux, но принципиальной разницы для других дистрибутивов не будет — разве что слегка изменится путь к исходникам Go.

Вначале ставим Go — на этом языке написан реверс-прокси, и без Go он не скомпилируется.

Источник: spy-soft.net

Как установить облачный пароль в Telegram: зачем нужно и как включать такую опцию безопасности?

Обеспечение безопасности в Интернете становится все более актуальным вопросом. Многие пользователи предпочитают использовать мессенджеры для переписки, как личной, так и деловой, потому что это даёт уверенность, что никто не читает их сообщения.

Телеграм – это один из самых безопасных мессенджеров на Xiaomi, но существуют дополнительные меры, которые можно принять для обеспечения еще большей защиты.
Одним из этих способов является включение облачного пароля в Telegram. Но что такое облачный код и как его включить? В этой статье мы дадим подробный ответ на этот вопрос.

Содержание:

  • Что такое облачный пароль?
  • Как включить облачный пароль в Telegram?
  • Двухфакторная авторизация
  • Как сбросить облачный пароль в Телеграм
  • Забыли пароль
  • Как привязать электронную почту

Что такое облачный пароль?

Облачный пароль – это дополнительный уровень защиты для вашего аккаунта в Телеграм на телефонах на базе Android, в том числе и на Xiaomi.

Когда вы включаете этот метод защиты, при каждой попытке входа в ваш аккаунт на новом устройстве Xiaomi, или ином, или после переустановки приложения, вам потребуется ввести его без исключения.

Он хэширован, это означает, что он не может быть прочитан, или взломан, ни разработчиками Телеграм, ни третьими лицами. Только вы сможете восстановить доступ к аккаунту или изменить пароль, если считаете, что он был скомпрометирован.

Как включить облачный пароль в Telegram?

Добавление пароля в Телеграм довольно простое. Следуйте этим шагам:

  • Откройте Телеграм и перейдите в «Настройки» .
  • Выберите «Конфиденциальность» .
  • Выберите «Облачный пароль» и включите его.
  • Введите код и подтвердите его.
  • Настоятельно рекомендую ввести подсказку на случай, если вы забудете код. Но будьте осторожны, она не должна быть прямой или простой. Только вы должны иметь с подсказкой ассоциации. Иначе, если посторонний человек решит сбросить ваш код, он сможет догадаться, и тогда все ваши личные данные будут ему доступны.
Еще по теме:  Как проверить Телеграм канал перед покупкой рекламы

Вход в настройки Telegram
Вы добавили код, ваш аккаунт надёжно защищен на Xiaomi.
Вход в настройки конфиденциальности Telegram
Рекомендую записать пароль в надежное место, чтобы не потерять его, потому что восстановление возможно далеко не всегда, но об этом ниже.
Установка облачного пароля для Telegram на Xiaomi
Либо используйте специальные приложения, либо обычную бумагу, если она лежит в надёжном месте и недоступна посторонним людям.

Двухфакторная авторизация в Телеграм

Когда дело доходит до безопасности в Интернете, лучше не игнорировать двухфакторную аутентификацию, если сервис предлагает её использовать.

Она позволяет значительно усилить защиту аккаунта, требуя ввода дополнительного кода после основного пароля.

Облачный код в Телеграме – это один из примеров двухфакторной аутентификации, которая защищает ваш аккаунт в мессенджере.

Если вы в первый раз запускаете программу на новом устройстве вам будет предложено пройти следующие шаги авторизации:

  • Ввести номер телефона на который создан аккаунт в Telegram.
  • Дождаться, пока на него придёт СМС с секретным кодом.
  • Ввести этот код в соответствующее поле.
  • И дополнительно ввести пароль.

Таким образом, вы вводите два кода, один из SMS, который генерируется сервисом каждый раз случайным образом, другой ваш собственный.

Сделано это потому, что описаны случаи, когда мошенники перехватывали смс с кодом и успевали быстрее пользователя его ввести, тем самым они становились владельцами аккаунта.

И пока законный владелец разбирается в проблеме, пока идёт по процедуре восстановления доступа и пароля, вся информация и переписка уже загружается злоумышленниками и все ваши личные данные уходят к ним.
Именно потому, что подобные случаи участились, разработчики Telegram создали двухфакторную авторизацию в виде облачного пароля.

Как сбросить облачный пароль в Телеграм

Если вы захотите сбросить или изменить код в Telegram, то это можно сделать в разделе “Облачный пароль” в настройках конфиденциальности. Для этого нужно ввести текущий пароль и выбрать нужную опцию.

  • Запустите программу.
  • Войдите в настройки .
  • Войдите в меню «Конфиденциальность» .
  • Введите ваш код.
  • Вы увидите меню, одним из пунктов которого будет «Отключить пароль» .

Отключить облачный пароль в Telegram на Xiaomi

Забыли пароль от Telegram, можно ли его восстановить?

Если вы забыли пароль от Телеграм, то ситуация может быть сложной или безвыходной.

Восстановить доступ к аккаунту можно только в том случае, если ранее вы привязывали электронную почту.
Забыли облачный пароль в Telegram
В этом случае на указанный адрес придет код для подтверждения входа и сброса текущего пароля.
Электронная почта для восстановления забытого облачного пароля в Telegram


Если же почтовый ящик не был привязан, то останется только удалить аккаунт. Поэтому, при использовании облачного пароля в Telegram, важно указать правильный адрес электронной почты для восстановления доступа в случае его утраты.

Как привязать электронную почту к Telegram для восстановления доступа

В настройках Telegram нет прямой опции по добавлению электронной почты, потому что основной способ аутентификации это номер телефона.

Однако, это можно сделать во время установки двухфакторной авторизации.

  • Запустите приложение.
  • Войти в его настройки, найдите пункт «Конфиденциальность».
  • Выберите опцию «Облачный пароль»..
  • Если он у вас уже установлен, введите его и вы попадёте в новое меню, одним из пунктов которого будет «Указать адрес электронной почты» . Либо «Сменить адрес электронной почты» , если вы ранее его уже задавали.
Еще по теме:  Как разблочить в телеге

Привязать электронную почту в Telegram на Xiaomi

Я настоятельно рекомендую не пропускать эту настройку, в будущем она может сыграть критическую роль.

Пароль можно забыть, и восстановить его поможет только почта и ничто иное. Представьте, как будет обидно потерять аккаунт в Telegram, которым вы пользовались годами и где хранится вся личная и рабочая переписка, не считая медиа материалов.

Релевантная информация:

  1. Как восстановить доступ к аккаунту Google: полный гайд
  2. Как сделать ссылку на канал в Telegram
  3. Как перенести стикеры из Telegram в WhatsApp на Xiaomi (Redmi)
  4. Как создать второй аккаунт в Телеграмме на Xiaomi (Redmi) на одном телефоне
  5. Люди рядом в Telegram на Xiaomi (Redmi): как пользоваться, включить и выключить

Поделиться новостью в соцсетях
Об авторе: MiMaster

Привет, меня зовут Тимур. Я с детства увлекался компьютерами и IT-Индустрией, мне это нравится, это моя страсть. Последние несколько лет глубоко увлёкся компанией Xiaomi: идеологией, техникой и уникальным подходом к взрывному росту бизнеса. Владею многими гаджетами Xiaomi и делюсь опытом их использования, но главное — решением проблем и казусов, возникающих при неожиданных обстоятельствах, на страницах сайта mi-check.ru

Источник: mi-check.ru

Как включить двухэтапную аутентификацию Telegram

person using smartphone with telegram

Многие функции и возможности Telegram остаются для большинства пользователей неизвестными. Например, Telegram – одно из самых безопасных приложений подобного рода в том, что касается обмена сообщениями. Для защиты у него есть двухфакторная аутентификация, появившаяся 5 лет назад. С учётом роста пользователей можно считать, что усиление безопасности ещё больше не помешает.

По умолчанию двухфакторная аутентификация выключена, хотя активировать её нетрудно. В этой статье мы расскажем, как это делается.

Как это обычно бывает в мессенджерах, аккаунт пользователя в Telegram привязан к номеру вашего телефона. При каждом входе в учётную запись Telegram на новом устройстве на телефон приходит одноразовый код. Если включить двухфакторную аутентификацию, вы защитите свою учётную запись дополнительным паролем.

При входе в учётную запись потребуется указывать как код безопасности, так и этот пароль. Что нужно сделать для активации двухфакторной аутентификации:

Меню Telegram

  1. Откройте Telegram и гамбургер-меню в верхнем левом углу.
  2. Выберите команду «Настройки».

Настройки конфиденциальности

Откройте «Конфиденциальность».

Включение двухфакторной аутентификации

Нажмите «Двухэтапная аутентификация».

Установка пароля

Нажмите «Задать пароль».

Электронная почта

Введите выбранный вами пароль и подтвердите его, нажмите «Продолжить». На следующей странице укажите адрес электронной почты для восстановления доступа к учётной записи.

Теперь у вас активна ​​двухфакторная аутентификация и ваш аккаунт защищён намного лучше. Казалось бы, зачем расписывать функциональность, которая появилась 5 лет назад. Дело в том, что Telegram в январе 2021 года стал самым загружаемым приложением в мире. За месяц его установили 64 млн раз. Этому поспособствовала новая политика конфиденциальности WhatsApp.

Потом его разработчики приостановили действие этой политики, но люди по-прежнему в массовом порядке переходят на Telegram.

Telegram намного безопаснее, чем WhatsApp, и потребляет не так много ресурсов. Это означает, что он может без проблем работать на сравнительно дешёвых смартфонах. С помощью этого руководства вы только что дополнительно обезопасили свою учётную запись.

Пожалуйста, оцените статью.

Источник: trashexpert.ru

Рейтинг
( Пока оценок нет )
Комментарии0
Загрузка ...
Похожие материалы