Николай Костинян на странице ain.ua объяснил, что двухфакторная авторизация в Telegram не может считаться полной защитой мессенджера от взлома, в том случае если атакующий имеет возможность читать SMS. Дополнительно автор разобрал защиту в мессенджерах WhatsApp и Signal (малоизвестный мессенджер с шифрованием общения). Telegram с включенной двухфакторной авторизацией дает приблизительно то же самое, что Signal и WhatsApp обеспечивают и так, без никакой двухфакторной авторизации.
В ночь на 29 апреля 2016 года Telegram-переписку двух абонентов МТС взломали, якобы при помощи перехвата SMS. Из опубликованных документов «МТСовской» розницы следовало, что оператор отключал-подключал жертвам SMS. То есть взломщик, кто бы он не был, мог пользоваться для взлома именно SMS. Двухфакторной авторизацией жертвы не пользовались → Roem.ru
Какую информацию получит взломщик после взлома того или иного мессенджера?
- WhatsApp: никакую, «голый» аккаунт.
- Signal: никакую, «голый» аккаунт.
- Telegram: все контакты из несекретных чатов, всю переписку из несекретных чатов. Из секретных чатов не получает ничего.
- Telegram (при активной двухфакторной авторизации): никакую, «голый» аккаунт.
Почему двухфакторная авторизация в Telegram не работает, то есть не предотвращает угон аккаунта? И как происходит взлом:
Как создать себе безопасность Телеграмм?
- … атакующий вводит код из SMS и узнает, что в настройках аккаунта включена двухфакторная авторизация и что ему нужно ввести пароль. Далее атакующий притворяется, будто он забыл пароль — «Forgot password?» Тут атакующему сообщают, что код восстановления отправлен на электронную почту (если жертва при включении двухфакторной авторизации указала адрес электронной почты)
- Атакующий нажимает «ok» и видит окошко, куда нужно ввести код для сброса пароля, который был отправлен на электронную почту. Тут атакующий говорит, что у него проблемы с доступом к своей почте — «Having trouble accessing your e-mail?». Тогда Telegram предлагает «reset your account»
- Атакующий нажимает «RESET» и Telegram просит указать имя для «переустановленного» аккаунта
- Собственно, все, атакующий успешно угнал аккаунт: он вошел под номером телефона жертвы и может писать от ее имени сообщения
Польза от двухфакторной авторизации в Telegram — чтобы атакующий не получил переписку из обычных (не секретных) чатов. Однако он сможет выдавать себя за другого человека (хотя и не идеально). Получается, что единственная польза от двухфакторной авторизации в Telegram — чтобы атакующий не получил переписку из обычных (не секретных) чатов.
Дополнительно Костинян описал то, что во время взлома видит жертва.
Павел Дуров, руководитель мессенджера Telegram, после известного взлома пары абонентов МТС, порекомендовал избегать услуг сотовых операторов из неадекватных юрисдикций. Его совет относится, скорее, к вопросу сокрытия переписки, а не к вопросам защиты мессенджера от «угона»:
Есть двухфакторная авторизация (пароль на аккаунт), аккаунт привязан к SIM-карте адекватной юрисдикции, наиболее деликатные моменты обсуждаются в секретных чатах. В принципе, любая из этих мер по отдельности позволяет защитить важную информацию.
Источник: roem.ru
Советы по безопасности и защите личных данных в приложении Telegram
Недавно мессенджер Facebook WhatsApp обновил свою политику конфиденциальности, что заставило многих недовольных пользователей переключиться на конкурирующие приложения, такие как Telegram. Во многом благодаря этому решению Telegram получил 25 миллионов новых пользователей всего за несколько дней, а количество его пользователей превысило 500 миллионов.
Пришло время взглянуть на настройки безопасности и конфиденциальности в Telegram.
Полное шифрование в приложении Telegram
Самое важное, что нужно знать о Telegram, – это то, что облачные чаты – это то, что Telegram называет своими стандартными чатами – не имеют сквозного шифрования.
Как и WhatsApp, Telegram имеет доступ к метаданным (кому вы пишете, с кем общаетесь, как часто и т.д.), а также к содержимому стандартных чатов, которые не имеют полного шифрования.
В соответствии с политикой конфиденциальности приложения Telegram на момент написания этого поста эти данные не используются в рекламных целях; однако, по опыту мы знаем, что такая политика может поменяться.
Как включить сквозное шифрование в чатах Telegram
Telegram не предлагает полного шифрования по умолчанию – вам придётся включить его самостоятельно. Разговоры с включенным сквозным шифрованием называются зашифрованными чатами.
В зашифрованных чатах текстовые сообщения, фотографии, видео и все другие файлы отправляются с использованием полного шифрования. Это означает, что ключ дешифрования есть только у двух человек: у вас и у человека на другой стороне, поэтому Telegram не может получить доступ к этим данным.
Более того, содержимое зашифрованных чатов не хранится на серверах Telegram. Поскольку такие разговоры сохраняются только на устройствах участников, к ним нельзя получить доступ с другого устройства – они исчезают, когда вы выходите из Telegram или удаляете приложение.
Зашифрованные чаты доступны в приложении Telegram для iOS, Android и macOS; версии для браузера и Windows их не поддерживают, поэтому они не обеспечивают безопасное хранение чатов на устройстве.
Как запустить зашифрованный чат в приложении Telegram
Опцию зашифрованного чата нелегко найти в последней версии приложения Telegram.
Чтобы начать зашифрованный разговор, откройте профиль человека, с которым вы хотите общаться, коснитесь или щелкните кнопку с тремя точками (иногда она называется Ещё), а затем выберите Начать секретный чат.
Откроется чат, в котором сообщения будут полностью зашифрованы (после открытия окна чата будет отображаться соответствующее уведомление). Вы также можете установить время, по истечении которого сообщения будут удалены, нажав или щелкнув значок часов в поле ввода сообщения.
Конечно, автоматическое удаление сообщения не защищает собеседника от создания снимков экрана, но в этом случае вы получите уведомление. Если другой человек не использует приложение macOS, вы не узнаете об этом.
Ещё один полезный совет: Telegram позволяет вести несколько зашифрованных чатов с одним и тем же человеком. Однако, вы не можете включить шифрование в групповых чатах – в отличие от обмена сообщениями WhatsApp, который по умолчанию применяет сквозное шифрование ко всем разговорам.
Как узнать, полностью ли зашифрован разговор
Поскольку чаты в приложении Telegram могут быть облачными или зашифрованными, полезно знать, какой способ мы используем. Если вы обмениваетесь конфиденциальной информацией во время разговора, она должна быть зашифрована.
Однако, секретные чаты выглядят почти так же, как обычные чаты. Чтобы проверить, какой вариант вы используете, найдите значок замка рядом с именем или номером телефона собеседника. Если замок найден, – чат зашифрован. В противном случае сквозное шифрование отключено, поэтому рассмотрите возможность создания нового зашифрованного чата.
Вы также можете коснуться или щелкнуть значок вызывающего абонента, и если шифрование включено, ключ шифрования появится в нижней части открытого окна.
Как настроить безопасность и конфиденциальность Telegram
Теперь проверим, как настроить параметры безопасности и конфиденциальности в этом приложении. Нажмите кнопку Настройки в меню и выберите Конфиденциальность.
Настройки безопасности в приложении Telegram
Во-первых, убедитесь, что никто не сможет прочитать ваши чаты, если вы случайно оставите устройство разблокированным. Для этого выберите Код-пароль в разделе «Безопасность», переместите ползунок в положение включения, создайте PIN-код, введите его и подтвердите.
Затем выберите Автоблокировка и выберите время – предпочтительно 1 или 5 минут. Если ваше устройство поддерживает отпечатки пальцев или распознавание лиц, вы можете включить эту опцию здесь.
На следующем шаге вы должны включить двухфакторную аутентификацию, чтобы защитить свою учетную запись от взлома. Обычно для входа в систему используется одноразовый код, отправленный в текстовом сообщении, но Telegram позволяет установить дополнительный пароль.
Для этого на вкладке Конфиденциальность выберите вариант «Двухэтапная аутентификация» и установите надежную комбинацию. Помните, что вы редко будете вводить этот пароль, поэтому его легко забыть; храните его в надежном месте, например, в диспетчере паролей.
Что произойдет, если вы забудете дополнительный пароль? Вам нужно будет сбросить свой аккаунт. Для этого нужно отправить запрос на полное удаление учетной записи и подождать семь дней. По истечении этого времени учетная запись будет удалена (включая связанные с ней контакты, облачные чаты и подписки на каналы), и вы сможете создать новую, полностью пустую учетную запись с тем же номером телефона.
Настройки конфиденциальности в приложении Telegram
Чтобы не делиться ненужной информацией с более чем 500 миллионами пользователей Telegram, настройте параметры своей учетной записи соответствующим образом.
Для этого перейдите в параметр «Конфиденциальность» и измените настройки – по умолчанию все параметры и данные доступны каждому. Мы рекомендуем установить их, как показано ниже:
- Номер телефона → Кто может видеть мой номер телефона – Никто.
- Номер телефона → Кто меня может найти по номеру – Мои контакты.
- Последняя активность → Кто может видеть время моей последней активности – Никто.
- Фотографии профиля → Кто может видеть фото и видео моего профиля – Мои контакты.
- Звонки → Кто может мне звонить – Мои контакты (или Никто, если хотите).
- Звонки → Peer-to-peer – Мои контакты (или Никто, если вы предпочитаете не сообщать свой IP-адрес вызывающим абонентам).
- Пересылка сообщений → Кто может добавлять ссылку на мою учетную запись при пересылке моих сообщений – Мои контакты.
- Группы и каналы → Кто может меня добавить – Мои контакты.
Затем перейдите в Конфиденциальность → Настройки данных и удалите выбранную вами информацию из памяти Telegram.
Безопасность в приложении Telegram для самых требовательных
Приведенных выше советов должно быть достаточно для большинства пользователей, но следующие советы могут вас заинтересовать:
- Используйте отдельный номер телефона или даже виртуальный для входа в приложение Telegram. Но, не используйте одноразовый номер, иначе кто-то другой сможет получить доступ к вашей учетной записи.
- Используйте технологию VPN, чтобы скрыть свой IP-адрес (который Telegram может раскрыть по запросу, например, правоохранительных органов).
- Подумайте об использовании другого приложения, которое лучше защищает и разрешает личную переписку, например, Signal или Threema. В отличие от Telegram, они по умолчанию шифруют все разговоры и имеют множество опций для защиты вашей конфиденциальности. С другой стороны, они менее популярны и не имеют некоторых функций, которые привлекают пользователей в приложение Telegram.
Помните, что даже самый безопасный мессенджер не поможет, если кто-то получит доступ к вашему устройству физически или удаленно. Поэтому мы рекомендуем вам всегда блокировать устройство с помощью пароля или PIN-кода, регулярно обновлять все свои приложения и операционную систему и использовать надежное решение для защиты от вредоносных программ.
Источник: webznam.ru
Безопасность и точка: Как защитить свой аккаунт в Telegram
Часто сталкиваетесь с проблемой защиты своих данных в сети Internet? Telegram является одним из немногих приложений, кто заботится о конфиденциальности своих пользователей. Как известно, мессенджер не передает данные третьим лицам, что позволяет пользоваться им без рисков. Итак, какие меры защиты существуют и как их установить в Telegram, мы расскажем вам далее. В Telegram встроена довольно сложная и надежная система шифрования личных данных пользователей. И нам предоставляется несколько способов защиты своих данных как на смартфонах, так и на ПК. Таким образом, мы можем создать код-пароль/ Touch ID, включить двухэтапную аутентификацию или воспользоваться секретным чатом.
Код-пароль или Touch ID
- Войти в приложение Telegram;
- Открыть Меню, которое обозначено тремя линиями в левом верхнем углу экрана;
- Выбрать пункт «Настройки», затем «Конфиденциальность»;
- Далее под шапкой «Безопасность» выбрать «Код-пароль»;
- Затем нажать «Включить код-пароль»;
- В появившемся окне необходимо придумать четырехзначный пароль, затем повторить комбинацию цифр;
- Следующий шаг: добавить отпечаток пальца для разблокировки. Для этого переключить ползунок.
- Также можно установить время автоблокировки от 1 минуты до 5 часов или вовсе отключить ее. Если отключить автоблокировку, то необходимо блокировку приложения включать самостоятельно.
При отключенной автоблокировке управление защитой данных выполняется вручную. После того, как мы установили код-пароль, в мессенджере появится значок с замком, расположенный в правом верхнем углу. Нажимая на данный значок, мы блокируем доступ к приложению. Теперь при каждом выходе из приложения нужно будет нажать на замок. Или использовать «замок» только в важных случаях.
Для установки пароля на iPhone алгоритм тот же, что и для Android. Только у пользователей новых моделей iPhone есть возможность блокировки доступа к сообщениям через Face ID. Принцип работы не отличается от Touch ID.
Если забыли пароль, то нужно лишь удалить и заново скачать приложение Telegram на смартфон, а на ПК версии – выйти и заново авторизоваться через телефон. Есть нюанс в том, что все синхронизированные чаты, кроме секретных, будут восстановлены.
Двухэтапная аутентификация
Установка двухэтапной аутентификации на всех устройствах идентична. Эта защита является более усиленной для безопасности информации от злоумышленников. И требует определенных условий для получения доступа к мессенджеру.
Чтобы установить необходимо:
- Войти в мессенджер, зайти в «Настройки» через Меню;
- Выбрать пункт «Конфиденциальность», далее «Двухэтапная аутентификация»;
- Затем пункт «Задать пароль» и нужно ввести придуманный пароль в поле, при желании можно добавить «Подсказку», если есть вероятность забыть пароль;
- К тому же для того, чтобы не потерять и не забыть пароль можно еще добавить «Электронную почту».
Теперь при каждом входе на новом устройстве мессенджер будет запрашивать код из SMS для авторизации и также дополнительный пароль, который мы придумали.
Секретный чат
Использование сквозного шифрования подразумевает передачу данных только между собеседниками, сам Telegram не имеет доступа к этим данным. И в связи с этим содержимое секретного чата не сохраняется на серверах мессенджера. Поэтому при удалении приложения или выходе из него все созданные секретные чаты исчезают без возможности восстановления.
Для создания необходимо:
- Зайти в чат с собеседником;
- Открыть профиль собеседника;
- Нажать на три точки в верхнем правом углу;
- В открывшемся меню выбрать пункт «Начать секретный чат»;
- Далее для автоудаления сообщений можно выбрать опцию «Включить удаление по таймеру». Тем самым переписка будет очищаться через некоторое время. Например, через одну секунду или через одну неделю.
Стоит учитывать, что если время удаления сообщений поставлено через 10 сек, то голосовые сообщения записанные дольше, чем на 10 сек, не будут прослушаны до конца.
Сквозное шифрование доступно на iOS, Android и macOS, а для Windows «секретные» чаты не поддерживаются, так как нет надежности в обеспечении безопасного хранения переписки на устройстве.
Теперь вы под защитой! Приятного и безопасного пользования мессенджером Telegram.
Источник: linkbaza.com