В Телеграмм пропала двухэтапная аутентификация пользователя

После недавних громких взломов Telegram-аккаунтов в России, основатель сервиса Павел Дуров сказал, что двухфакторная авторизация «позволяет защитить важную информацию».

Да, если двухфакторная авторизация в Telegram включена, то атакующий, угнавший ваш аккаунт, не получит историю ваших переписок — но от самого угона эта двухфакторная не защищает, хотя вроде как должна бы.
То есть если атакующий может получить вашу SMS с кодом для входа, то он гарантированно может угнать ваш аккаунт независимо от того, включена ли у вас двухфакторная авторизация или нет.

Под «угнать» я понимаю «может войти в приложение Telegram под вашим номером телефона» и писать от вашего имени сообщения вашим контактам.

Происходит это следующим образом:

1. Атакующий у себя в приложении указывает номер телефона жертвы и пытается войти в аккаунт. Тут он видит сообщение, что код отправлен не по SMS, а на приложение, зарегистрированное на этот номер, на другом устройстве:

Как включить двухфакторную аутентификацию в телеграмм

2. В этот момент жертва получает системное уведомление у себя в приложении (или приложениях) Telegram:

3. Атакующий нажимает «Didn’t get the code?» и Telegram отправляет код через SMS:

4. Тут атакующий вводит код из SMS и узнает, что в настройках аккаунта включена двухфакторная авторизация и что ему нужно ввести пароль (в данном случае «10» это подсказка для пароля, выбранная при включении двухфакторной):

5. Далее атакующий притворяется, будто он забыл пароль — «Forgot password?». Тут атакующему сообщают, что код восстановления отправлен на электронную почту (если жертва при включении двухфакторной авторизации указала адрес электронной почты). Атакующий не видит адреса электронной почты — он видит лишь то, что после «собачки»:

6. В этот момент жертва получает код для сброса пароля на адрес электронный почты (если она указала адрес электронной почты при включении двухфакторной авторизации):

7. Атакующий нажимает «ok» и видит окошко, куда нужно ввести код для сброса пароля, который был отправлен на электронную почту. Тут атакующий говорит, что у него проблемы с доступом к своей почте — «Having trouble accessing your e-mail?». Тогда Telegram предлагает «reset your account»:

8. Атакующий нажимает «ok» и видит два варианта — или ввести пароль, или нажать «RESET MY ACCOUNT». Telegram объясняет, что при «переустановке» аккаунта потеряется вся переписка и файлы из всех чатов:

9. Атакующий нажимает «RESET MY ACCOUNT» и видит предупреждение, что это действие невозможно будет отменить и что при этом все сообщения и чаты будут удалены:

10. Атакующий нажимает «RESET» и Telegram просит указать имя для «переустановленного» аккаунта:

11. Собственно, все, атакующий успешно угнал аккаунт: он вошел под номером телефона жертвы и может писать от её имени сообщения:

12. Жертва при этом видит приложение таким, каким оно было сразу после установки. Приветственный экран рассказывает о Telegram и предлагает зарегистрироваться или войти в уже существующий аккаунт:

13. Когда атакующий пишет от имени жертвы кому-нибудь из контактов жертвы, этот контакт видит, что жертва только что присоединилась к Telegram (что подозрительно), а также новое сообщение (или сообщения) в новом чате от жертвы. Через 12–16 часов контакт также увидит, что в старых чатах вместо имени жертвы указано «Deleted Account»:

Если жертва имеет возможность получать SMS на этот номер телефона, она может войти в приложение Telegram на своём устройстве. Если атакующий на угнанном аккаунте не включил двухфакторную авторизацию, жертва может войти и в меню Settings => Privacy and Security => Active Sessions прекратить все остальные сессии (то есть сессии атакующего):

Если же атакующий на угнанном аккаунте включил двухфакторную авторизацию — жертва, в свою очередь, таким же образом может «угнать обратно» свой аккаунт.

Получается, что единственная польза от двухфакторной авторизации в Telegram — чтобы атакующий не получил переписку из обычных не секретных чатов (если угнать аккаунт без включенной двухфакторной, то атакующий получит всю историю переписок из несекретных чатов, из секретных чатов он и так и так ничего не получит). То есть Telegram с включённой двухфакторной авторизацией даёт приблизительно то же самое, что Signal и WhatsApp обеспечивают и так, без никакой двухфакторной авторизации.

Иными словами, двухфакторная авторизация в Telegram не совсем настоящая, Telegram все равно позволяет войти используя один лишь фактор — код из SMS.

Ситуация несколько анекдотичная: вот вам, юзеры, двухфакторная авторизация. Первый фактор — код из SMS (что у меня есть), второй фактор — пароль (что я знаю). Звучит супер, но когда юзер говорит — а я вот забыл пароль, Telegram говорит — ну ничего, бывает, заходи без пароля и пользуйся на здоровье 🙂

Это удалось выяснить экспериментальным путём в рамках немножко более масштабного исследования о Telegram, WhatsApp и Signal — » Как «защищённые» мессенджеры защищены от кражи SMS»

Источник: h.amazingsoftworks.com

Как сделать двухфакторную авторизацию в «Telegram»

Введение подобной меры предназначено для более лучшей защиты конфиденциальных данных пользователей и аккаунта соответственно. Появилось, благодаря недовольству многих активных владельцев аккаунтов однофакторной степенью защиты с помощью кода, присылаемого по СМС.

В чем заключается и как происходит двушаговая авторизация пользователя в «Телеграмм»?

Принцип довольно прост. Вами задается дополнительный пароль, хранящийся в «облаке». При заходе на ваш аккаунт через открытие приложения с нового мобильного устройства, кроме смс-кода потребуется ввести кодовую комбинацию, придуманный вами ранее.

Поэтапно полная процедура авторизации в два этапа происходит следующим образом:

1. Пользователь скачивает мобильное приложение на новое устройство и заходит, указывая свой номер мобильного телефона.

2. На гаджет приходит СМС с кодовой комбинацией, которую необходимо ввести (первый шаг авторизации).

3. Если введенная комбинация совпадает с отправленной из SMS, открывается поле с вводом второго «облачного» пароля.

4. При правильном вводе доступ будет получен и пользователь может пользоваться приложением через свой аккаунт.

Отметим, что данная процедура будет проходить каждый раз при попытке входа на «очередном» новом устройстве, обеспечивая тем самым безопасность аккаунта.

Как включить двухфакторную авторизацию?

В онлайн-версии «Телеграмм» необходимо нажать на «бургер», находящийся в левом верхнем углу, и перейти во вкладку «Настройки».

Прокручиваем чуть вниз и выбираем подраздел «Установить дополнительный пароль».

Вводим, нажимаем кнопку «Сохранить». Готово!

В настольной версии и мобильном приложении принцип аналогичен, только добавляется несколько шагов. Для большей понятливости, рассмотрим настройку на ПК-версии.

Снова знакомый нам «бургер», находящийся слева от поля «Поиск», и раздел «Настройки».

Прокручиваем вниз до пункта «Конфиденциальность и безопасность» («Privacy and Security»), выбираем подраздел, называющийся «Настроить двухэтапную аутенфикацию» (в мобильном приложении название немного другое – «двуэтапная аутенфикация).

Вводим пароль, повторяем и указываем адрес электронной почты, необходимый в случаях, если пароль забыт. Если e-mail указан, то потребуется подтвердить адрес путем перехода по ссылке, которая будет в пришедшем для подтверждения письме.

В заключении отметим (некоторым читающим напомним) несколько полезных советов:

• комбинация должна быть хороша знакома и запоминаема только вам;
• желательно, чтобы в придуманном коде были не только цифры, но и буквы, прописанные, как в верхнем, так и нижнем регистре (строчные и заглавные);
• не забываем заполнять поле подсказки, которое поможет в случае вашей забывчивости;
• несмотря на то, что электронную почту можно не указывать, но настоятельно рекомендуем ее указать. Если вы забыли кодовую комбинацию и подсказка вам не помогает, то почта – единственный способ выполнения входа в систему.

Вышеописанные советы вы могли видеть и читать не один раз, но все же примите их к сведению, учитывайте и соблюдайте.

Источник: akiwa.ru

Двухфакторная аутентификация в Телеграмме: что это такое и как включить

Инструкции

Телеграмм считают самым безопасным мессенджером на сегодняшний день и простым в эксплуатации. В мессенджере можно найти каналы и группы согласно настроению и предпочтениям. Однако пользователи Телеграмма тоже подвергаются попыткам взлома злоумышленниками.

Эксперты советуют подключить двухфакторную аутентификацию для защиты данных от мошенников. Многие пользователи не знают, что это такое и зачем она нужна. Поэтому давайте узнаем, что такое двухфакторная аутентификация, как ее подключать и отключать по необходимости.

Что такое двухфакторная аутентификация

Двухфакторная аутентификация – это дополнительная защита от взлома. Применив этот инструмент, вы можете быть уверены, что ваш профиль в мессенджере никто не сможет взломать и проникнуть в него. Потому что после входа с нового устройства вы должны будете подтвердить вход вторым паролем.

То есть вначале вы вводите код, который приходит вам в виде смс на номер телефона. Затем вводите пароль, который придумали во время установки двухфакторной аутентификации.

Таким образом вы убережете себя не только от мошенников. Если вашим мессенджером и сим-картой завладеет третье лицо, этот человек не сможет попасть в ваш аккаунт. Потому что он не знает второго пароля.

Как включить двухфакторную аутентификацию в Телеграмме в мобильном приложении

Инструкция по включению двухфакторной аутентификации:

1. Откройте мессенджер Telegram.
2. Кликните по трем горизонтальным полоскам в левом верхнем углу приложения для общения.

1. Откроется список, в котором выберите вкладку «Настройки».

1. Выберите пункт «Конфиденциальность» в открывшемся списке.

1. Найдите пункт «Облачный пароль» и кликните по нему.

1. Откроется меню, где вы должны нажать кнопку «Задать пароль».

1. Пропишите еще один пароль для защиты мессенджера и подтвердите его.
2. Пропишите подсказку, чтобы вы могли быстро вспомнить комбинацию цифр и букв, которую введете.
3. Введите название электронного ящика, куда приходить запрос о сбросе пароля, если вы забудете его. Но этот шаг опционален. Вы его сможете пропустить.
4. Подтвердите ваши действия и войдите снова в мессенджер под двухфакторной аутентификацией.

Теперь на всех устройствах вам нужно будет подтвердить свой вход с помощью этого пароля.

Как включить двухфакторную аутентификацию в Телеграмме на ПК

Если у вас нет мобильного телефона сейчас, вы сможете установить двухфакторную аутентификацию для Телеграмма в приложения на персональном компьютере или ноутбуке. Также эту процедуру можно сделать в веб-интерфейсе Telegram в браузере. Принцип действия идентичен с установкой двухфакторной аутентификации на смартфоне.

Инструкция для ПК:

1. Войдите в мессенджер на компьютере или ноутбуке через приложение или веб-интерфейс.
2. Кликните по трем горизонтальным линиям, которые находятся в левом верхнем углу мессенджера.
3. В выпавшем списке выберите «Настройки».

1. Кликните по пункту «Конфиденциальность».

1. Откроется список, в котором вам нужно будет найти пункт «Облачный пароль». Нажмите по нему, чтобы включить двухфакторную аутентификацию.
2. Система откроет перед вами меню со специальным полем, в котором нужно прописать пароль, повторить его для подтверждения и прописать подсказку.
3. После описанных действий выше, система попросит ввести название электронного ящика, куда будет приходить запрос об обновлении пароля, если вы его забудете.
4. Пропишите его и подтвердите действия.

Войдите в мессенджер под двухфакторной аутентификацией. Повторите эти действия на всех устройствах, где есть ваш аккаунт Телеграм.

Как отключить двухфакторную аутентификацию

Инструкция по отключению ввода второго пароля в мессенджере Телеграмм:

1. Войдите в мессенджер Telegram.
2. Кликните по трем горизонтальным полоскам в левом верхнем углу.
3. В открывшемся списке выберите «Настройки».
4. Откройте пункт «Конфиденциальность».
5. Вы увидите вкладку «Облачный пароль». Кликните по ней, чтобы отключить ввод 2FA.

1. Вам нужно будет ввести пароль от двухфакторной аутентификации.
2. Система выдаст вам предложения того, что нужно сделать, в виде трех пунктов на экране. Среди них будет «Отключить пароль».

1. Нажмите на него.

Пароль будет отключен, а вы снова сможете входить в любое устройства без повторного подтверждения вторым паролем. Однако помните, что это довольно небезопасно.

Что делать, если забыл пароль от Телеграмм

Если вы забыли пароль от Телеграмма, то вы сможете восстановить его по электронной почте. Этот способ сработает, если вы прописывали свой электронный ящик, когда создавали двухфакторную аутентификацию.

Процедура восстановления первым способом выглядит так:

1. Войдите в мессенджер и кликните по трем горизонтальным полоскам в левом углу экрана.
2. В открывшемся списке выберите «Настройки» и перейдите в «Конфиденциальность».
3. Кликните по вкладке «Облачный пароль».
4. Выберите «Забыли пароль».

1. Система отправит код доступа на почту.

Если вы не знаете, как войти в почту или вы не прописывали название электронного ящика, то выберите «Сбросить пароль». В течение 7 дней пароль будет сброшен, и вы снова сможете войти в мессенджер Телеграмм без ввода пароля двухфакторной аутентификации.

Также вы сможете удалить старый профиль и зарегистрировать на этот номер новый аккаунт Телеграмм. Поэтому, если нет возможности сбросить пароль с 7-дневным ожиданием, а почта утеряна навсегда или вы ее не прописывали, то лучший способ восстановления – это перерегистрация. Так как других методов восстановления аккаунта мессенджер не имеет.

Поэтому опытные пользователи советуют хранить все пароли и названия мэйл-адресов в надежном месте.

Заключение

Теперь вы знаете, как включить двухфакторную аутентификацию и как отключить ее за ненадобностью. Однако эксперты советуют всегда использовать дополнительную защиту от злоумышленников. Таким образом ваш профиль и личные данные будет находится в безопасности.

Источник: tgrminfo.ru