двухэтапная аутентификация телеграмм что это
Почему нужно включить двухфакторную аутентификацию в Telegram
Можете называть меня жертвой влияния Павла Дурова, но мой любимый мессенджер – это Telegram. Несмотря на то, что начинал я, как и все, с WhatsApp, со временем я и мои знакомые дружно перешли в Telegram, который постепенно превратился из удобного инструмента общения в сочетание социальной сети, файлообменника, почтового клиента и много чего ещё. Не сказал бы, что меня слишком уж заботит перспектива быть прочитанным посторонними, будь то хакеры или спецслужбы, но ощущение защищённости, которое дарит Telegram, явно играет ему на руку. Но, оказывается, что даже такой мессенджер, как Telegram не защищён от взлома на 100%, особенно, если сами пользователи не заботятся о своей безопасности.
Telegram можно взломать, если не установлена двухфакторная аутентификация
Читайте также: Telegram научился скрывать номер, выделять часть сообщения и планировать их
Эксперты компании Group-IB, специализирующейся на проведении исследований в области информационной безопасности, узнали о нескольких случаях взлома аккаунтов в Telegram. По их словам, во всех случаях сценарий получения несанкционированного доступа к учётной записи был идентичным. Жертвы получили системное сообщение от Telegram с кодом авторизации, которые обычно приходит при попытке входа в мессенджер на новом устройстве, несмотря на то что сами они код не запрашивали, а затем получали оповещение об успешном входе в их аккаунт.
Как взламывают Telegram
Как именно злоумышленникам удалось взломать учётные записи пользователей, пока остаётся загадкой. Тем не менее, уже сейчас известно, что жертвами взлома стали пользователи и Android, и iOS, а в их устройствах, согласно заключению экспертов «Лаборатории Касперского», которые подключились к делу, отсутствовали какие-либо заражения. Это позволяет предположить, что уязвимость, позволившая посторонним получить доступ к учётным записям жертв, может скрываться в самом мессенджере.
Читайте также: Как вернуть себе занятый ник в Telegram
По другой версии, взлому могли поспособствовать и операторы связи, услугами которых Telegram иногда пользуется для отправки кодов авторизации. Пароли отправляются в СМС в случае, если пользователь не авторизован в мессенджере ни на одном из своих устройств и не имеет возможности получить системное сообщение, отправляемое в официальный сервисный канал. В противном случае, объяснить факт взлома как-то иначе не представляется возможным.
Как включить двухфакторную аутентификацию в Telegram
В Telegram тоже есть двухфакторная аутентификация, правда, называется она по-другому
Более детальное изучение проблемы показало, что ни одна жертва взлома не использовала двухфакторную аутентификацию, которая, по уверениям экспертов, могла бы спасти их. Дело в том, что Telegram, в отличие от других сервисов, использует в качестве второго шага при авторизации не код из СМС и не системное оповещение, а постоянный пароль, который пользователь задаёт сам. В результате даже если кто-то сумеет получить доступ к системным сообщениям Telegram, подтверждающим вход, без обязательного пароля авторизация будет невозможна.
Само собой, чтобы защитить свою учётную запись в Telegram, лучше всего использовать сложный пароль, состоящий из большого количества символов. Если придумать такую комбинацию и тем более запомнить её у вас не получается, воспользуйтесь менеджером паролей роде LastPass или 1Password либо обратитесь ко встроенной в iOS «Связке ключей». Для этого перейдите в «Настройки» — «Пароли и учётные записи» — «Пароли сайтов и ПО». Затем нажмите на «+» и внесите данные учётной записи Telegram. После этого откройте Telegram, перейдите в «Настройки» — «Конфиденциальность» — «Облачный пароль» и либо введите комбинацию вручную, либо вставьте её из «Связки ключей».
Как двухэтапная авторизация Телеграмм защищает данные пользователей
В связи с недовольством многих клиентов однофакторной аутентификацией на основе СМС-кода разработчики известного мессенджера добавили второй фактор проверки идентичности. В данной статье поговорим о том, что собой представляет двухэтапная авторизация Телеграмм и насколько она надежна в плане защиты клиентской информации.
Два фактора защиты данных
До апреля 2015 года пользователь мог авторизоваться в системе, введя полученный по СМС код. При этом дополнительной защиты от несанкционированного входа в мессенджер не существовало. Таким образом, злоумышленники могли перехватить сообщение, отосланное на телефон клиента, и обзавестись доступом к его переписке. И хотя массовых случаев подобных взломов не наблюдалось, разработчики во главе с Павлом Дуровым решили устранить подобную возможность.
Благодаря внедрению в Telegram двухэтапной авторизации теперь пользователь может установить дополнительный пароль, который вводится каждый раз при открытии приложения на новом девайсе. Помимо этого, осталась СМС-авторизация, выполняемая на первом этапе входа в систему.
Двухэтапная аутентификация Телеграмм позволяет установить пароль, запрашиваемый при входе в аккаунт с нового устройства.
Двухэтапный вход в мессенджер выполняется следующим образом:
Помогает ли двухэтапная авторизация Телеграмм от взлома аккаунта
На первый взгляд, данное нововведение является очень полезным для безопасного хранения информации на серверах мессенджера. Однако, как показала практика, даже с двумя факторами аутентификации возможность «угнать» аккаунт осталась. Как это происходит:
Хакерами была взломана двухэтапная авторизация Телеграмм, с помощью перехвата СМС кода.
По сути, для нейтрализации двухэтапной защиты, как и раньше, достаточно узнать СМС-код, отосланный на телефонный номер жертвы. Отличием является конечный результат. В этом случае атакующий имеет доступ к чистому аккаунту, тогда как взлом однофакторной защиты позволял прочитать всю переписку.
Случаи обнуления профиля известных деятелей
В апреле 2016 года произошел практически одновременный взлом аккаунтов Telegram Георгия Албурова (Фонд борьбы с коррупцией) и Олега Козловского (некоммерческая организация «Образ будущего»). Интересно, что несанкционированный доступ к аккаунтам был получен в результате отключения приема/передачи СМС на телефонах Албурова и Козловского. Позже, представители оператора сотовой связи (МТС) заявили, что техническая поддержка не производила отключение услуг на данных номерах, а проблемы со связью были вызваны вирусной атакой.
Три месяца спустя подобная неприятность случилась с журналистом Сергеем Пархоменко. По его словам, на мобильный номер стали приходить СМС с цифрами для авторизации. При попытке зайти на свой профиль журналист получил предложение пройти процедуру регистрации, как при первом посещении. Открыв аккаунт, Пархоменко обнаружил, что он полностью обнулен, а история переписки удалена. Таким образом, не помогли даже два этапа аутентификации, ведь злоумышленники смогли раздобыть необходимые данные у оператора связи.
Как подключить двухфакторную авторизацию в Телеграмм: пошаговая инструкция
Чтобы при входе в приложение с нового устройства система кроме СМС-кода запрашивала пароль, необходимо выполнить следующую процедуру:
Подобная инструкция справедлива для всех платформ, на которых работает Телеграмм. Чтобы убедиться, что новые настройки вступили в силу, следует попробовать войти в мессенджер с другого устройства. Если после ввода СМС-кода система запросила пароль, тогда авторизация работает корректно.
Дополнительная функция – Passcode
В одном из недавних обновлений Телеграмм для iOS и Android в меню появился пункт «Passcode». Данная функция позволяет настроить защиту для входа в приложение. Код может содержать как простую комбинацию из 4-х чисел, так и сложную с использование букв и прочих символов.
Подобная защита реализована достаточно гибко. Пользователь может установить запрос кода при каждом включении мессенджера или активировать функцию только в случае необходимости посредством нажатия специального значка в виде замка. Последний вариант удобен, если телефон на время остается без присмотра и существует вероятность, что переписка станет доступной постороннему человеку.
Кроме того, появилась возможность установки таймера автоблокировки, который заблокирует приложение и запросит код, если в течение определенного времени не производились активные действия. Система позволяет включить блокировку через 1 минуту, 5 минут, 1 час и 5 часов.
Функция Passcode защитит приложение от любопытных глаз
Ответ разработчиков
Павел Дуров заявил, что проблем с безопасностью мессенджера не было, а вину за взлом приложения полностью возложил на МТС. Тем не менее, служба поддержки на время отключила возможность обнуления активного профиля в случае забытого пароля. То есть, по сути, Дуров признал, что проблема существует и пообещал в ближайшее время решить ее «более элегантным путем».
На выставке Mobile World Congress 2016 Павел Дуров рассказал о проблеме безопасности Телеграмм.
По состоянию на конец августа 2016 года атака на аккаунт все так же возможна: атакующий, получив СМС-код клиента, может обнулить профиль и для этой операции ему не требуется пароль входа. Иными словами, двухфакторная аутентификация не работает, или работает не так надежно, как бы хотелось пользователям Telegram.
Как защитить Telegram от взлома: главные и простые правила
Современное программное обеспечение и онлайн-сервисы имеют достаточную степень защиты, которая обеспечивает неприкосновенность персональных данных. Иногда случаются утечки, однако обычно они прямо или косвенно связаны с наличием в цепочке «человеческого фактора». Сегодня напомним о некоторых базовых правилах обеспечения безопасности в мессенджере Telegram.
1. Включите двухфакторную авторизацию (иначе — двухэтапная аутентификация)
Если вы не впитали с молоком матери правило активировать двухфакторную авторизацию в абсолютно любом приложении или сервисе, нужно сделать это прямо сейчас. У вас не должно быть иллюзий о том, что раз ваш телефон у вас в кармане и в Telegram стоит сложный пароль уровня 1q2w3e4r5t6y, вас не взломают. Сегодня важнее не пароль, который можно потерять или засветить, а дополнительные инструменты.
Telegram сделал все, чтобы настроить безопасность в один присест: не нужно лазить по меню, достаточно войти в настройки и перейти в «Конфиденциальность».
Здесь вы активируете двухэтапную аутентификацию, задаете пароль и почту для его получения. Желательно выбрать новый и неизвестный ранее пароль: мошенники знают, что обычно люди используют одно кодовое слово для всего.
Отметим, что на Android двухфакторная аутентификация в настройках именно так и называется. А на iOS в русскоязычной версии приложения Telegram «двухфакторка» указана как «облачный пароль».
2. Проверяйте «Активные сеансы»: в них перечислены все устройства, с которых вы входили в учетную запись Telegram. Это могут быть компьютеры и смартфоны ваших друзей, рабочие компьютеры, где вы, например, воспользовались веб-версией Telegram, ваши старые телефоны и так далее. Здесь можно завершить все остальные сессии, оставив авторизованной лишь на том устройстве, с которого вы проводите настройки мессенджера.
3. Пройдитесь по всем пунктам в закладке «Конфиденциальность»: здесь есть подробное описание каждой функции. В частности, есть запрет на просмотр вашего номер телефона (найти вас можно будет только по никнейму, если это, опять же, разрешено в настройках). В настройках можно посмотреть, кто уже видит ваш номер.
4. Запретите включения вас в группы, каналы — такие действия не стоит разрешать для всех, в лучшем случае — для ваших контактов. Можно отключить данные функции вовсе и лишь при необходимости активировать — доверенное лицо добавило вас в чат, например, после чего вы снова активируете запрет на такие действия. Да, это требует лишних телодвижений и времени, но потеря аккаунта — хуже. Запретите звонки тем, кто не включен в список контактов.
5. Важный пункт — «Пересылка сообщений». В нем стоит полностью отключить ссылку на вашу учетную запись, а ваши контакты и так вас знают. Тогда, если кто-то процитирует ваше сообщение или перешлет его в сторонний чат, группу и так далее, никто не сможет перейти в ваш профиль по ссылке, «привязанной» к имени (никнейму).
6. Скройте фотографию профиля вашей учетной записи либо для всех, либо (и это обязательный минимум) для тех, кто не внесен в список ваших контактов.
7. Проверьте «синхронизацию контактов» — она обеспечивает хранение данных в облаке и синхронизацию списков контактов с адресной книгой телефона. Если функция активна, все, кто записан в вашей телефонной книге (не Telegram, а именно мобильника), смогут связаться с вами через мессенджер (как и вы с ними). Иногда данную функцию рекомендуют отключить, так как обычно в телефонной книге есть немало малознакомых людей, в том числе случайных.
Наш канал в Telegram. Присоединяйтесь!
Есть о чем рассказать? Пишите в наш телеграм-бот. Это анонимно и быстро
Почему двухфакторная авторизация в Telegram не работает
После недавних громких взломов Telegram-аккаунтов в России, основатель сервиса Павел Дуров сказал, что двухфакторная авторизация «позволяет защитить важную информацию».
Да, если двухфакторная авторизация в Telegram включена, то атакующий, угнавший ваш аккаунт, не получит историю ваших переписок — но от самого угона эта двухфакторная не защищает, хотя вроде как должна бы.
То есть если атакующий может получить вашу SMS с кодом для входа, то он гарантированно может угнать ваш аккаунт независимо от того, включена ли у вас двухфакторная авторизация или нет.
Под «угнать» я понимаю «может войти в приложение Telegram под вашим номером телефона» и писать от вашего имени сообщения вашим контактам.
Происходит это следующим образом:
1. Атакующий у себя в приложении указывает номер телефона жертвы и пытается войти в аккаунт. Тут он видит сообщение, что код отправлен не по SMS, а на приложение, зарегистрированное на этот номер, на другом устройстве:
2. В этот момент жертва получает системное уведомление у себя в приложении (или приложениях) Telegram:
3. Атакующий нажимает «Didn’t get the code?» и Telegram отправляет код через SMS:
4. Тут атакующий вводит код из SMS и узнает, что в настройках аккаунта включена двухфакторная авторизация и что ему нужно ввести пароль (в данном случае «10» это подсказка для пароля, выбранная при включении двухфакторной):
5. Далее атакующий притворяется, будто он забыл пароль — «Forgot password?». Тут атакующему сообщают, что код восстановления отправлен на электронную почту (если жертва при включении двухфакторной авторизации указала адрес электронной почты). Атакующий не видит адреса электронной почты — он видит лишь то, что после «собачки»:
6. В этот момент жертва получает код для сброса пароля на адрес электронный почты (если она указала адрес электронной почты при включении двухфакторной авторизации):
7. Атакующий нажимает «ok» и видит окошко, куда нужно ввести код для сброса пароля, который был отправлен на электронную почту. Тут атакующий говорит, что у него проблемы с доступом к своей почте — «Having trouble accessing your e-mail?». Тогда Telegram предлагает «reset your account»:
8. Атакующий нажимает «ok» и видит два варианта — или ввести пароль, или нажать «RESET MY ACCOUNT». Telegram объясняет, что при «переустановке» аккаунта потеряется вся переписка и файлы из всех чатов:
9. Атакующий нажимает «RESET MY ACCOUNT» и видит предупреждение, что это действие невозможно будет отменить и что при этом все сообщения и чаты будут удалены:
10. Атакующий нажимает «RESET» и Telegram просит указать имя для «переустановленного» аккаунта:
11. Собственно, все, атакующий успешно угнал аккаунт: он вошел под номером телефона жертвы и может писать от её имени сообщения:
12. Жертва при этом видит приложение таким, каким оно было сразу после установки. Приветственный экран рассказывает о Telegram и предлагает зарегистрироваться или войти в уже существующий аккаунт:
13. Когда атакующий пишет от имени жертвы кому-нибудь из контактов жертвы, этот контакт видит, что жертва только что присоединилась к Telegram (что подозрительно), а также новое сообщение (или сообщения) в новом чате от жертвы. Через 12–16 часов контакт также увидит, что в старых чатах вместо имени жертвы указано «Deleted Account»:
Если жертва имеет возможность получать SMS на этот номер телефона, она может войти в приложение Telegram на своём устройстве. Если атакующий на угнанном аккаунте не включил двухфакторную авторизацию, жертва может войти и в меню Settings => Privacy and Security => Active Sessions прекратить все остальные сессии (то есть сессии атакующего):
Если же атакующий на угнанном аккаунте включил двухфакторную авторизацию — жертва, в свою очередь, таким же образом может «угнать обратно» свой аккаунт.
Получается, что единственная польза от двухфакторной авторизации в Telegram — чтобы атакующий не получил переписку из обычных не секретных чатов (если угнать аккаунт без включенной двухфакторной, то атакующий получит всю историю переписок из несекретных чатов, из секретных чатов он и так и так ничего не получит). То есть Telegram с включённой двухфакторной авторизацией даёт приблизительно то же самое, что Signal и WhatsApp обеспечивают и так, без никакой двухфакторной авторизации.
Иными словами, двухфакторная авторизация в Telegram не совсем настоящая, Telegram все равно позволяет войти используя один лишь фактор — код из SMS.
Ситуация несколько анекдотичная: вот вам, юзеры, двухфакторная авторизация. Первый фактор — код из SMS (что у меня есть), второй фактор — пароль (что я знаю). Звучит супер, но когда юзер говорит — а я вот забыл пароль, Telegram говорит — ну ничего, бывает, заходи без пароля и пользуйся на здоровье 🙂
Это удалось выяснить экспериментальным путём в рамках немножко более масштабного исследования о Telegram, WhatsApp и Signal — «Как «защищённые» мессенджеры защищены от кражи SMS»
Активные сеансы и двухэтапная авторизация
Мы знаем, что вы любите Telegram за его бесшовную синхронизацию между несколькими устройствами. И, так как нативные приложения Telegram есть на всех основных мобильных и настольных операционных системах, многие заходят в свой аккаунт с нескольких устройств одновременно.
В сегодняшнем обновлении Telegram, в дополнение к предпросмотру ссылок, в настройки конфиденциальности и безопасности добавился раздел «Активные сеансы». Раздел, очевидно, показывает все ваши активные сеансы с информацией об IP-адресе. Вы можете завершить все сеансы, которые вам не нужны или (не дай Бог!) кажутся подозрительными.
Двухэтапная авторизация
Еще одно дополнение к разделу Конфиденциальности и безопасности представляет собой двухэтапную авторизацию (Two Step Verification). Она позволяет установить пароль, который будет запрашиваться каждый раз при входе в ваш аккаунт с нового устройства — в дополнение к коду, который вы получаете через SMS.
Будьте осторожны: если вы забудете пароль, вы не сможете получить доступ к своим аккаунту с других устройств. Мы рекомендуем вам настроить восстановление пароля по электронной почте или, по крайней мере, создать подсказку для пароля на случай, если вы решите включить двухэтапную авторизацию.