В связи с недовольством многих клиентов однофакторной аутентификацией на основе СМС-кода разработчики известного мессенджера добавили второй фактор проверки идентичности. В данной статье поговорим о том, что собой представляет двухэтапная авторизация Телеграмм и насколько она надежна в плане защиты клиентской информации.
До апреля 2015 года пользователь мог авторизоваться в системе, введя полученный по СМС код. При этом дополнительной защиты от несанкционированного входа в мессенджер не существовало. Таким образом, злоумышленники могли перехватить сообщение, отосланное на телефон клиента, и обзавестись доступом к его переписке. И хотя массовых случаев подобных взломов не наблюдалось, разработчики во главе с Павлом Дуровым решили устранить подобную возможность.
Благодаря внедрению в Telegram двухэтапной авторизации теперь пользователь может установить дополнительный пароль, который вводится каждый раз при открытии приложения на новом девайсе. Помимо этого, осталась СМС-авторизация, выполняемая на первом этапе входа в систему.
Двухэтапный вход в мессенджер выполняется следующим образом:
На первый взгляд, данное нововведение является очень полезным для безопасного хранения информации на серверах мессенджера. Однако, как показала практика, даже с двумя факторами аутентификации возможность «угнать» аккаунт осталась. Как это происходит:
По сути, для нейтрализации двухэтапной защиты, как и раньше, достаточно узнать СМС-код, отосланный на телефонный номер жертвы. Отличием является конечный результат. В этом случае атакующий имеет доступ к чистому аккаунту, тогда как взлом однофакторной защиты позволял прочитать всю переписку.
В апреле 2016 года произошел практически одновременный взлом аккаунтов Telegram Георгия Албурова (Фонд борьбы с коррупцией) и Олега Козловского (некоммерческая организация «Образ будущего»). Интересно, что несанкционированный доступ к аккаунтам был получен в результате отключения приема/передачи СМС на телефонах Албурова и Козловского. Позже, представители оператора сотовой связи (МТС) заявили, что техническая поддержка не производила отключение услуг на данных номерах, а проблемы со связью были вызваны вирусной атакой.
Три месяца спустя подобная неприятность случилась с журналистом Сергеем Пархоменко. По его словам, на мобильный номер стали приходить СМС с цифрами для авторизации. При попытке зайти на свой профиль журналист получил предложение пройти процедуру регистрации, как при первом посещении. Открыв аккаунт, Пархоменко обнаружил, что он полностью обнулен, а история переписки удалена. Таким образом, не помогли даже два этапа аутентификации, ведь злоумышленники смогли раздобыть необходимые данные у оператора связи.
Чтобы при входе в приложение с нового устройства система кроме СМС-кода запрашивала пароль, необходимо выполнить следующую процедуру:
Подобная инструкция справедлива для всех платформ, на которых работает Телеграмм. Чтобы убедиться, что новые настройки вступили в силу, следует попробовать войти в мессенджер с другого устройства. Если после ввода СМС-кода система запросила пароль, тогда авторизация работает корректно.
В одном из недавних обновлений Телеграмм для iOS и Android в меню появился пункт «Passcode». Данная функция позволяет настроить защиту для входа в приложение. Код может содержать как простую комбинацию из 4-х чисел, так и сложную с использование букв и прочих символов.
Подобная защита реализована достаточно гибко. Пользователь может установить запрос кода при каждом включении мессенджера или активировать функцию только в случае необходимости посредством нажатия специального значка в виде замка. Последний вариант удобен, если телефон на время остается без присмотра и существует вероятность, что переписка станет доступной постороннему человеку.
Кроме того, появилась возможность установки таймера автоблокировки, который заблокирует приложение и запросит код, если в течение определенного времени не производились активные действия. Система позволяет включить блокировку через 1 минуту, 5 минут, 1 час и 5 часов.
Павел Дуров заявил, что проблем с безопасностью мессенджера не было, а вину за взлом приложения полностью возложил на МТС. Тем не менее, служба поддержки на время отключила возможность обнуления активного профиля в случае забытого пароля. То есть, по сути, Дуров признал, что проблема существует и пообещал в ближайшее время решить ее «более элегантным путем».
По состоянию на конец августа 2016 года атака на аккаунт все так же возможна: атакующий, получив СМС-код клиента, может обнулить профиль и для этой операции ему не требуется пароль входа. Иными словами, двухфакторная аутентификация не работает, или работает не так надежно, как бы хотелось пользователям Telegram.
Проверьте панель загрузок вашего браузера