Изначально дополнительная авторизация, выступающая в роли пароля, служит для защиты от несанкционированного входа в аккаунт при перехвате СМС с кодом авторизации или получении физического доступа к SIM-карте.
До недавнего времени пароль нигде не запрашивался, кроме как при входе в аккаунт. Все изменилось, когда добавили возможность переноса канала на другой аккаунт, а сегодня добавили еще и возможность переноса ботов.
Для переноса требуется не только соответствие критериям, например, наличие включенного 2FA и пребывание с ним в течение 7 дней, не смена пароля и т. д., но и повторный ввод пароля при передаче статуса владельца канала.
И это здорово! Каково же было мое удивление, когда я решил сменить номер мобильного телефона в своем основном аккаунте.
Следуйте действиям: заходим в настройки, нажимаем редактировать, тапаем по номеру, подтверждаем свои намерения, вводим новый номер, вводим код, пришедший по СМС.
новый номер , Все… 
Чего-то не хватает. Как-то слишком просто.
Ах да, где 2FA как при переносе канала? У меня он включен! Было бы хорошо, если бы я этим не пользовался! И что происходит. Лицо, получившее доступ к нашему устройству, принудительно приложив палец или используя лицо.
Мне удалось полностью забрать твой аккаунт , без необходимости знать пароль и доступ к старому номеру.
Теперь никто не может войти в аккаунт. После смены номера человек закрыл все сеансы на других ваших устройствах, оставив только тот, который он взял.
Вы не можете войти в свой аккаунт, так как вам нужен код из СМС на незнакомый вам номер.
Злоумышленник не может войти в систему с другого устройства, поскольку ему нужен пароль 2FA, но у него есть доступ к вашей учетной записи! Ему больше ничего не нужно! Очевидно, было бы здорово добавить подтверждение пароля при смене номера, когда он установлен .
Случай не только с насильственным изъятием телефона, но и сценарий «дать человеку прочитать пост» также лишит аккаунта всех.
Измените номер и закройте все сессии, включая активную.
В Telegram есть механизмы удаления аккаунтов, когда оператор сотовой связи передал номер другому владельцу, а номер оказался зарегистрированным на 2FA. Я с этим столкнулся лично.
У меня было 7 дней, чтобы отменить всю процедуру.
Для его отмены мне нужно ввести код из СМС с номера, к которому у меня больше нет доступа.
Другой вариант — сменить номер телефона на другой.
Я просто перенес все с этого аккаунта на другие.
оно удалилось.
Понятно, что просить подтверждения своего старого номера для смены на новый – плохая идея.
Это убивает решения различных проблемных случаев.
Активные сессии и 2FA должны быть гарантией, а от привязки телефонов вообще надо куда-то уходить, но пока некуда.
Только что вышло обновление API бота 5.0 ! Очень пикантно, за это отдельное спасибо, но помимо этого мы вывели на маркет возможность передачи прав на ботов между аккаунтами.
И хоть все контролируется через BotFather (официальный бот), ему удается запросить 2FA ! Этот тип встроенные кнопки не документированы .
При нажатии выскакивает окно ввода пароля.
Скриншот всплывающего окна во время процесса переноса
Посмотрев всякие кейсы, увидев разные подходы в Телеграме, можно задать вопрос Павлу( @durov ) только об одном.
Давайте использовать 2FA подтверждение не только при входе и смене владельца бота/канала, но и при смене номера телефона и удаление учетной записи по крайней мере, когда он включен.
Конечно, что говорить о возможности удаления аккаунта без 2FA, когда его еще можно удалить, переименовав аккаунт в «Сохраненные сообщения».
Обновление 16.11.2020 .
Он не удаляет аккаунты, а блокирует спам.
Видео с удалением аккаунта при переименовании Это моя самая маленькая статья, поэтому без обычного «спасибо, что дочитали до сюда».
P.S. Мы не используем Face ID и сканеры отпечатков пальцев.
Мы не храним пароли в голове.
Генерируйте случайные пароли и храните их в менеджерах паролей.
Хоть что-то, хоть как-то.
Оно никогда не будет идеальным.
P.S.S. Спасибо Олег , за удаление двух аккаунтов под видеоматериал этой статьи.
Теги: #информационная безопасность #мессенджеры #Социальные сети и сообщества #Telegram #2FA #удаление аккаунта #смена номера телефона #защита паролем
-
Дешевые Планшеты Лучше Ноутбуков Или Нет
19 Oct, 24 -
Читабельные Ссылки Внутри Хабра
19 Oct, 24 -
Hashlife На Коленке
19 Oct, 24 -
Hp Envy 14 — Компьютер Года По Версии Wired
19 Oct, 24 -
Википедия Добавлена В Google Maps
19 Oct, 24 -
Юный Ботаник: Внутренняя Жизнь Клетки
19 Oct, 24 -
Итак, Частный Https?
19 Oct, 24
