При входе в Телеграм веб запрашивает дополнительный пароль

После недавних громких взломов Telegram-аккаунтов в России, основатель сервиса Павел Дуров сказал, что двухфакторная авторизация «позволяет защитить важную информацию».

Да, если двухфакторная авторизация в Telegram включена, то атакующий, угнавший ваш аккаунт, не получит историю ваших переписок — но от самого угона эта двухфакторная не защищает, хотя вроде как должна бы.
То есть если атакующий может получить вашу SMS с кодом для входа, то он гарантированно может угнать ваш аккаунт независимо от того, включена ли у вас двухфакторная авторизация или нет.

Под «угнать» я понимаю «может войти в приложение Telegram под вашим номером телефона» и писать от вашего имени сообщения вашим контактам.

Происходит это следующим образом:

1. Атакующий у себя в приложении указывает номер телефона жертвы и пытается войти в аккаунт. Тут он видит сообщение, что код отправлен не по SMS, а на приложение, зарегистрированное на этот номер, на другом устройстве:

2. В этот момент жертва получает системное уведомление у себя в приложении (или приложениях) Telegram:

3. Атакующий нажимает «Didn’t get the code?» и Telegram отправляет код через SMS:

4. Тут атакующий вводит код из SMS и узнает, что в настройках аккаунта включена двухфакторная авторизация и что ему нужно ввести пароль (в данном случае «10» это подсказка для пароля, выбранная при включении двухфакторной):

5. Далее атакующий притворяется, будто он забыл пароль — «Forgot password?». Тут атакующему сообщают, что код восстановления отправлен на электронную почту (если жертва при включении двухфакторной авторизации указала адрес электронной почты). Атакующий не видит адреса электронной почты — он видит лишь то, что после «собачки»:

6. В этот момент жертва получает код для сброса пароля на адрес электронный почты (если она указала адрес электронной почты при включении двухфакторной авторизации):

7. Атакующий нажимает «ok» и видит окошко, куда нужно ввести код для сброса пароля, который был отправлен на электронную почту. Тут атакующий говорит, что у него проблемы с доступом к своей почте — «Having trouble accessing your e-mail?». Тогда Telegram предлагает «reset your account»:

8. Атакующий нажимает «ok» и видит два варианта — или ввести пароль, или нажать «RESET MY ACCOUNT». Telegram объясняет, что при «переустановке» аккаунта потеряется вся переписка и файлы из всех чатов:

9. Атакующий нажимает «RESET MY ACCOUNT» и видит предупреждение, что это действие невозможно будет отменить и что при этом все сообщения и чаты будут удалены:

10. Атакующий нажимает «RESET» и Telegram просит указать имя для «переустановленного» аккаунта:

11. Собственно, все, атакующий успешно угнал аккаунт: он вошел под номером телефона жертвы и может писать от её имени сообщения:

12. Жертва при этом видит приложение таким, каким оно было сразу после установки. Приветственный экран рассказывает о Telegram и предлагает зарегистрироваться или войти в уже существующий аккаунт:

13. Когда атакующий пишет от имени жертвы кому-нибудь из контактов жертвы, этот контакт видит, что жертва только что присоединилась к Telegram (что подозрительно), а также новое сообщение (или сообщения) в новом чате от жертвы. Через 12–16 часов контакт также увидит, что в старых чатах вместо имени жертвы указано «Deleted Account»:

Если жертва имеет возможность получать SMS на этот номер телефона, она может войти в приложение Telegram на своём устройстве. Если атакующий на угнанном аккаунте не включил двухфакторную авторизацию, жертва может войти и в меню Settings => Privacy and Security => Active Sessions прекратить все остальные сессии (то есть сессии атакующего):

Если же атакующий на угнанном аккаунте включил двухфакторную авторизацию — жертва, в свою очередь, таким же образом может «угнать обратно» свой аккаунт.

Получается, что единственная польза от двухфакторной авторизации в Telegram — чтобы атакующий не получил переписку из обычных не секретных чатов (если угнать аккаунт без включенной двухфакторной, то атакующий получит всю историю переписок из несекретных чатов, из секретных чатов он и так и так ничего не получит). То есть Telegram с включённой двухфакторной авторизацией даёт приблизительно то же самое, что Signal и WhatsApp обеспечивают и так, без никакой двухфакторной авторизации.

Иными словами, двухфакторная авторизация в Telegram не совсем настоящая, Telegram все равно позволяет войти используя один лишь фактор — код из SMS.

Ситуация несколько анекдотичная: вот вам, юзеры, двухфакторная авторизация. Первый фактор — код из SMS (что у меня есть), второй фактор — пароль (что я знаю). Звучит супер, но когда юзер говорит — а я вот забыл пароль, Telegram говорит — ну ничего, бывает, заходи без пароля и пользуйся на здоровье 🙂

Это удалось выяснить экспериментальным путём в рамках немножко более масштабного исследования о Telegram, WhatsApp и Signal — «Как «защищённые» мессенджеры защищены от кражи SMS»

Источник: habr.com

Блог

Взломав учетную запись Telegram, злоумышленники могут получить доступ к личной информации абонента, содержащейся в переписке, а также отправлять послания от лица владельца аккаунта. Владелец учетной записи, использующий профиль для коммерческой деятельности, может пострадать финансово, а также утратить доверие клиентов и партнеров по бизнесу. Для защиты аккаунта от проникновения посторонних лиц пользователи применяют многоступенчатую защиту, вводя дополнительные пароли. Если код доступа утрачен, юзеру придется найти возможность для входа в аккаунт.

Защита аккаунта Телеграм

Создатели мессенджера Telegram придавали принципиальное значение сохранению конфиденциальной информации абонентов сервиса. Для повышения информационной защиты были приняты следующие меры:

1. Протокол MTProto Proxy, применяемый для криптографической защиты, практически сводит к нулю вероятность расшифровки переписки Телеграм посторонними лицами.
2. Метод «сквозного» шифрования отправляемых текстов приводит к тому, что на серверы программы переписка поступает в кодированном виде. Подобная предосторожность защищает данные от недобросовестных сотрудников сервиса.
3. Двухступенчатая аутентификация предусматривает одновременный ввод одноразового пароля и личного идентификатора доступа для входа в приложение. Благодаря этому задача злоумышленников по подбору паролей становится практически невыполнимой.
4. Облачный код, закрывающий вход в чаты, предотвратит попытки посторонних людей прочитать переписку даже в случае получения доступа к сессии мессенджера, открытой на устройстве.

Спецификой мессенджера Телеграм является возможность скрывать пользовательский профиль от контактов, внутри адресной книжки которых не записан телефонный номер абонента.

Сочетание всех способов защиты профиля делает взлом учетной записи необычайно трудной задачей, поэтому Телеграм признан наиболее безопасным мессенджером.

Код-пароль для защиты переписки

Человек, нашедший потерянный телефон, может просматривать беседы Телеграм без взлома профиля, особенно если на устройстве не установлена блокировка. Для защиты переписки от чужих глаз предназначен код-пароль – дополнительный идентификатор для входа в чаты, известный только владельцу аккаунта.

Редактирование пароля

Алгоритм редактирования кода-пароля Телеграм состоит из следующих этапов:

1. Запустить мессенджер.
2. Перейти к меню.
3. Открыть вкладку настроек.
4. Перейти к блоку «Конфиденциальность».
5. Нажать на пункт «Безопасность».
6. Активировать код-пароль, набрав комбинацию из четырех символов.
7. Подтвердить последовательность повторным набором.

В процессе назначения кодового пароля пользователь может активировать функцию автоблокировки бесед. Абонент сервиса должен задать период отсутствия активности, после истечения которого опция включается.

Для лучшей защиты персональных данных следует периодически менять код-пароль, действуя по следующей инструкции:

1. Открыть пункт меню, относящийся к коду-паролю.
2. Выполнить команду «Заменить».
3. Набрать новую последовательность символов, затем повторить комбинацию.
4. Над лентой возникнет изображение открытого замочка. Тапнув по символу, закрывают доступ.

Для каждого гаджета, на котором установлен мессенджер, абонент должен задать отдельный пароль. После удаления программы с устройства или выхода из сессии код сбросится автоматическим образом.

Сброс пароля

Забыв личный пароль от переписки, не следует слишком расстраиваться. Восстановить код невозможно, однако несложно выполнить деактивацию пароля, для чего следует выйти из профиля.

Последовательность действий для компьютерной версии включает следующие шаги:

1. После запроса пароля выполнить команду выхода.
2. Подтвердить решение.
3. Снова зайти в мессенджер.
4. Пройти процедуру аутентификации в Телеграм, набрав пароль из СМС или сканировав графический код.

Закрыть активную сессию на ПК можно из мобильной версии мессенджера:

1. Открыть раздел меню настроек Телеграм.
2. Зайти в блок «Устройства».
3. Завершить активную сессию.

Если утрачен код доступа в мобильной версии программы, рекомендуется деинсталлировать приложение, а затем установить снова, добавив новый код. Подобный метод подойдет для смартфонов с любыми платформами.

Обновление пароля двухфакторной идентификации

Двухэтапная аутентификация позволяет надежно защитить учетную запись Телеграм от взлома, поскольку требует ввода двух независимых последовательностей символов для доступа к программе. Помимо идентификатора, полученного через СМС, владелец аккаунта вводит персональный код, придуманный самостоятельно.

К сожалению, память может подвести юзера, поэтому персональный код может быть утрачен. В подобной ситуации предпринимают следующие шаги:

• Запустить Telegram.
• Выполнить действие «Начало общения».
• Указать телефонный номер в международном формате.
• Подтвердить правильность введенной информации.
• Подождать получения идентификатора через телефонный вызов, SMS или месседж, поступивший в версию Телеграм, установленную на другом гаджете.
• При вопросе о пароле нажать надпись «Забыл».
• Дождаться входящего письма, поступившего по электронной почте, адрес которой был указан пользователем при установке двухфакторной авторизации.
• Ввести код, поступивший на e-mail.
• Набрать новую последовательность символов, которая будет использоваться в качестве персонального кода. Повторить ввод кода.

Аналогичная последовательность действий выполняется, если пользователь забыл прежний код, используемый для доступа к компьютерному приложению. Пароль для входа на страницу сброса пароля поступает на e-mail.

Заключение

Материал рассказывает о применении двухступенчатой защиты аккаунта Телеграм. Пользователь может ввести код-пароль для защиты переписки, а при необходимости отредактировать и заменить новым идентификатором. Статья содержит инструкцию по обновлению пароля двухфакторной идентификации, применяемую в случае, если пользователь забыл код.

Источник: faqchat.ru