что такое двухэтапная аутентификация в телеграмме
Активные сеансы и двухэтапная авторизация
Мы знаем, что вы любите Telegram за его бесшовную синхронизацию между несколькими устройствами. И, так как нативные приложения Telegram есть на всех основных мобильных и настольных операционных системах, многие заходят в свой аккаунт с нескольких устройств одновременно.
В сегодняшнем обновлении Telegram, в дополнение к предпросмотру ссылок, в настройки конфиденциальности и безопасности добавился раздел «Активные сеансы». Раздел, очевидно, показывает все ваши активные сеансы с информацией об IP-адресе. Вы можете завершить все сеансы, которые вам не нужны или (не дай Бог!) кажутся подозрительными.
Двухэтапная авторизация
Еще одно дополнение к разделу Конфиденциальности и безопасности представляет собой двухэтапную авторизацию (Two Step Verification). Она позволяет установить пароль, который будет запрашиваться каждый раз при входе в ваш аккаунт с нового устройства — в дополнение к коду, который вы получаете через SMS.
Будьте осторожны: если вы забудете пароль, вы не сможете получить доступ к своим аккаунту с других устройств. Мы рекомендуем вам настроить восстановление пароля по электронной почте или, по крайней мере, создать подсказку для пароля на случай, если вы решите включить двухэтапную авторизацию.
Почему двухфакторная авторизация в Telegram не работает
После недавних громких взломов Telegram-аккаунтов в России, основатель сервиса Павел Дуров сказал, что двухфакторная авторизация «позволяет защитить важную информацию».
Да, если двухфакторная авторизация в Telegram включена, то атакующий, угнавший ваш аккаунт, не получит историю ваших переписок — но от самого угона эта двухфакторная не защищает, хотя вроде как должна бы.
То есть если атакующий может получить вашу SMS с кодом для входа, то он гарантированно может угнать ваш аккаунт независимо от того, включена ли у вас двухфакторная авторизация или нет.
Под «угнать» я понимаю «может войти в приложение Telegram под вашим номером телефона» и писать от вашего имени сообщения вашим контактам.
Происходит это следующим образом:
1. Атакующий у себя в приложении указывает номер телефона жертвы и пытается войти в аккаунт. Тут он видит сообщение, что код отправлен не по SMS, а на приложение, зарегистрированное на этот номер, на другом устройстве:
2. В этот момент жертва получает системное уведомление у себя в приложении (или приложениях) Telegram:
3. Атакующий нажимает «Didn’t get the code?» и Telegram отправляет код через SMS:
4. Тут атакующий вводит код из SMS и узнает, что в настройках аккаунта включена двухфакторная авторизация и что ему нужно ввести пароль (в данном случае «10» это подсказка для пароля, выбранная при включении двухфакторной):
5. Далее атакующий притворяется, будто он забыл пароль — «Forgot password?». Тут атакующему сообщают, что код восстановления отправлен на электронную почту (если жертва при включении двухфакторной авторизации указала адрес электронной почты). Атакующий не видит адреса электронной почты — он видит лишь то, что после «собачки»:
6. В этот момент жертва получает код для сброса пароля на адрес электронный почты (если она указала адрес электронной почты при включении двухфакторной авторизации):
7. Атакующий нажимает «ok» и видит окошко, куда нужно ввести код для сброса пароля, который был отправлен на электронную почту. Тут атакующий говорит, что у него проблемы с доступом к своей почте — «Having trouble accessing your e-mail?». Тогда Telegram предлагает «reset your account»:
8. Атакующий нажимает «ok» и видит два варианта — или ввести пароль, или нажать «RESET MY ACCOUNT». Telegram объясняет, что при «переустановке» аккаунта потеряется вся переписка и файлы из всех чатов:
9. Атакующий нажимает «RESET MY ACCOUNT» и видит предупреждение, что это действие невозможно будет отменить и что при этом все сообщения и чаты будут удалены:
10. Атакующий нажимает «RESET» и Telegram просит указать имя для «переустановленного» аккаунта:
11. Собственно, все, атакующий успешно угнал аккаунт: он вошел под номером телефона жертвы и может писать от её имени сообщения:
12. Жертва при этом видит приложение таким, каким оно было сразу после установки. Приветственный экран рассказывает о Telegram и предлагает зарегистрироваться или войти в уже существующий аккаунт:
13. Когда атакующий пишет от имени жертвы кому-нибудь из контактов жертвы, этот контакт видит, что жертва только что присоединилась к Telegram (что подозрительно), а также новое сообщение (или сообщения) в новом чате от жертвы. Через 12–16 часов контакт также увидит, что в старых чатах вместо имени жертвы указано «Deleted Account»:
Если жертва имеет возможность получать SMS на этот номер телефона, она может войти в приложение Telegram на своём устройстве. Если атакующий на угнанном аккаунте не включил двухфакторную авторизацию, жертва может войти и в меню Settings => Privacy and Security => Active Sessions прекратить все остальные сессии (то есть сессии атакующего):
Если же атакующий на угнанном аккаунте включил двухфакторную авторизацию — жертва, в свою очередь, таким же образом может «угнать обратно» свой аккаунт.
Получается, что единственная польза от двухфакторной авторизации в Telegram — чтобы атакующий не получил переписку из обычных не секретных чатов (если угнать аккаунт без включенной двухфакторной, то атакующий получит всю историю переписок из несекретных чатов, из секретных чатов он и так и так ничего не получит). То есть Telegram с включённой двухфакторной авторизацией даёт приблизительно то же самое, что Signal и WhatsApp обеспечивают и так, без никакой двухфакторной авторизации.
Иными словами, двухфакторная авторизация в Telegram не совсем настоящая, Telegram все равно позволяет войти используя один лишь фактор — код из SMS.
Ситуация несколько анекдотичная: вот вам, юзеры, двухфакторная авторизация. Первый фактор — код из SMS (что у меня есть), второй фактор — пароль (что я знаю). Звучит супер, но когда юзер говорит — а я вот забыл пароль, Telegram говорит — ну ничего, бывает, заходи без пароля и пользуйся на здоровье 🙂
Это удалось выяснить экспериментальным путём в рамках немножко более масштабного исследования о Telegram, WhatsApp и Signal — «Как «защищённые» мессенджеры защищены от кражи SMS»
Как включить двухэтапную аутентификацию в Telegram для Android
Telegram позволяет защитить учетную запись с помощью двухэтапной проверки. Это позволяет Вам добавить второй пароль, который Вам нужно будет использовать всякий раз, когда Вы входите в свою учетную запись Telegram. Вот как можно легко включить двухфакторную проверку в Telegram.
По умолчанию для входа в Telegram требуется, чтобы Вы использовали одноразовый пароль, отправленный по SMS или через сообщение Telegram на другое устройство, на котором Вы ранее вошли в систему. Однако, чтобы лучше защитить свою учетную запись Telegram, Вы должны использовать функцию двухэтапной проверки в приложении.
Если Вы забыли второй пароль, Вы можете сбросить его, используя свою электронную почту. Этот пароль синхронизируется между устройствами и связан с Вашей учетной записью Telegram.
Как включить двухэтапную аутентификацию в Telegram для Android
Включить двухэтапную проверку в Telegram для Android довольно просто. Сначала откройте Telegram и коснитесь значка меню в верхнем левом углу приложения.
Откроется меню с множеством опций. Выберите «Настройки».
Теперь перейдите в «Конфиденциальность».
Выберите «Двухэтапная аутентификация».
На следующем экране нажмите «Задать пароль».
Введите пароль для двухфакторной аутентификации. Мы рекомендуем использовать хороший менеджер паролей для создания безопасных паролей. Нажмите «Продолжить».
Повторно введите свой пароль и нажмите кнопку «Продолжить».
Задайте подсказку для пароля, затем нажмите «Продолжить».
Теперь Вам будет предложено ввести свой адрес электронной почты, который будет использоваться, если Вы захотите сбросить свой пароль Telegram в будущем. Нажмите «Продолжить».
Telegram отправит подтверждение на только что введенный адрес электронной почты. Введите код, чтобы продолжить.
Вы только что добавили дополнительный уровень безопасности в свою учетную запись Telegram. Нажмите кнопку «Вернуться к настройкам».
4 способа надежно защитить свой Telegram от взлома
Вчера Павел Дуров объявил о неуспешной попытке взлома Telegram-аккаунтов журналистов. Это далеко не первый случай, когда злоумышленники пытались получить доступ к закрытым перепискам.
Расскажем, как защитить свой профиль от взлома.
Как себя обезопасить
С помощью того же фишинга злоумышленник, например, может обманом заставить вас ввести данные от учетной записи, создав поддельный сайт Telegram. Чтобы не потерять доступ к своей учетке, нужно:
1. Включить двухфакторную аутентификацию.
Это позволит входить в аккаунт через подтверждение кода в SMS.
2. Защитить приложение паролем.
Чтобы никто не смог получить доступ к перепискам, кроме вас.
3. Отследить, с какого устройства вошли в ваш Telegram.
Здесь можно удаленно отключить определенные сеансы свайпом влево по девайсу. Или завершить все сеансы, кроме текущего.
4. Настроить автоудаление данных.
Настраиваем 1, 3, 6 или 12 месяцев. Потом вся информация сотрется и никто не сможет получить доступ к вашим перепискам.
Как защитить Telegram от взлома: главные и простые правила
Современное программное обеспечение и онлайн-сервисы имеют достаточную степень защиты, которая обеспечивает неприкосновенность персональных данных. Иногда случаются утечки, однако обычно они прямо или косвенно связаны с наличием в цепочке «человеческого фактора». Сегодня напомним о некоторых базовых правилах обеспечения безопасности в мессенджере Telegram.
1. Включите двухфакторную авторизацию (иначе — двухэтапная аутентификация)
Если вы не впитали с молоком матери правило активировать двухфакторную авторизацию в абсолютно любом приложении или сервисе, нужно сделать это прямо сейчас. У вас не должно быть иллюзий о том, что раз ваш телефон у вас в кармане и в Telegram стоит сложный пароль уровня 1q2w3e4r5t6y, вас не взломают. Сегодня важнее не пароль, который можно потерять или засветить, а дополнительные инструменты.
Telegram сделал все, чтобы настроить безопасность в один присест: не нужно лазить по меню, достаточно войти в настройки и перейти в «Конфиденциальность».
Здесь вы активируете двухэтапную аутентификацию, задаете пароль и почту для его получения. Желательно выбрать новый и неизвестный ранее пароль: мошенники знают, что обычно люди используют одно кодовое слово для всего.
Отметим, что на Android двухфакторная аутентификация в настройках именно так и называется. А на iOS в русскоязычной версии приложения Telegram «двухфакторка» указана как «облачный пароль».
2. Проверяйте «Активные сеансы»: в них перечислены все устройства, с которых вы входили в учетную запись Telegram. Это могут быть компьютеры и смартфоны ваших друзей, рабочие компьютеры, где вы, например, воспользовались веб-версией Telegram, ваши старые телефоны и так далее. Здесь можно завершить все остальные сессии, оставив авторизованной лишь на том устройстве, с которого вы проводите настройки мессенджера.
3. Пройдитесь по всем пунктам в закладке «Конфиденциальность»: здесь есть подробное описание каждой функции. В частности, есть запрет на просмотр вашего номер телефона (найти вас можно будет только по никнейму, если это, опять же, разрешено в настройках). В настройках можно посмотреть, кто уже видит ваш номер.
4. Запретите включения вас в группы, каналы — такие действия не стоит разрешать для всех, в лучшем случае — для ваших контактов. Можно отключить данные функции вовсе и лишь при необходимости активировать — доверенное лицо добавило вас в чат, например, после чего вы снова активируете запрет на такие действия. Да, это требует лишних телодвижений и времени, но потеря аккаунта — хуже. Запретите звонки тем, кто не включен в список контактов.
5. Важный пункт — «Пересылка сообщений». В нем стоит полностью отключить ссылку на вашу учетную запись, а ваши контакты и так вас знают. Тогда, если кто-то процитирует ваше сообщение или перешлет его в сторонний чат, группу и так далее, никто не сможет перейти в ваш профиль по ссылке, «привязанной» к имени (никнейму).
6. Скройте фотографию профиля вашей учетной записи либо для всех, либо (и это обязательный минимум) для тех, кто не внесен в список ваших контактов.
7. Проверьте «синхронизацию контактов» — она обеспечивает хранение данных в облаке и синхронизацию списков контактов с адресной книгой телефона. Если функция активна, все, кто записан в вашей телефонной книге (не Telegram, а именно мобильника), смогут связаться с вами через мессенджер (как и вы с ними). Иногда данную функцию рекомендуют отключить, так как обычно в телефонной книге есть немало малознакомых людей, в том числе случайных.
Наш канал в Telegram. Присоединяйтесь!
Есть о чем рассказать? Пишите в наш телеграм-бот. Это анонимно и быстро