В связи с недовольством многих клиентов однофакторной аутентификацией на основе СМС-кода разработчики известного мессенджера добавили второй фактор проверки идентичности. В данной статье поговорим о том, что собой представляет двухэтапная авторизация Телеграмм и насколько она надежна в плане защиты клиентской информации.

Два фактора защиты данных

До апреля 2015 года пользователь мог авторизоваться в системе, введя полученный по СМС код. При этом дополнительной защиты от несанкционированного входа в мессенджер не существовало. Таким образом, злоумышленники могли перехватить сообщение, отосланное на телефон клиента, и обзавестись доступом к его переписке. И хотя массовых случаев подобных взломов не наблюдалось, разработчики во главе с Павлом Дуровым решили устранить подобную возможность.

Благодаря внедрению в Telegram двухэтапной авторизации теперь пользователь может установить дополнительный пароль, который вводится каждый раз при открытии приложения на новом девайсе. Помимо этого, осталась СМС-авторизация, выполняемая на первом этапе входа в систему.

Двухэтапный вход в мессенджер выполняется следующим образом:

1. Зайдя в приложение, клиент указывает свой мобильный номер.
2. На указанный телефон приходит СМС с кодом подтверждения, который необходимо ввести в соответствующее поле.
3. Если код верный, открывается поле с вводом пароля (клиент сам выбирает комбинацию символов на этапе регистрации).
4. Указав правильную комбинацию, пользователь получает доступ к своему аккаунту.

Помогает ли двухэтапная авторизация Телеграмм от взлома аккаунта

На первый взгляд, данное нововведение является очень полезным для безопасного хранения информации на серверах мессенджера. Однако, как показала практика, даже с двумя факторами аутентификации возможность «угнать» аккаунт осталась. Как это происходит:

1. Злоумышленник вводит телефон жертвы и отправляет запрос на авторизацию.
2. Жертве приходит код подтверждения, который каким-то образом становится известен злоумышленнику.
3. Атакующий вводит полученные цифры и попадает на страницу ввода пароля.
4. Сославшись на забывчивость, злоумышленник нажимает соответствующую ссылку «Forgot Password?», на что получает уведомление об отправке кода восстановления на e-mail, указанный при регистрации.
5. Поскольку атакующий не имеет возможность зайти на электронную почту жертвы, он нажимает ссылку «Having trouble accessing your e-mail?», указывая, что у него возникли проблемы со «своим» почтовым ящиком.
6. Система предлагает сделать полный сброс профиля, удалив всю переписку. Атакующий соглашается и получает доступ к аккаунту жертвы с возможностью писать сообщения от ее имени (номера телефона).

По сути, для нейтрализации двухэтапной защиты, как и раньше, достаточно узнать СМС-код, отосланный на телефонный номер жертвы. Отличием является конечный результат. В этом случае атакующий имеет доступ к чистому аккаунту, тогда как взлом однофакторной защиты позволял прочитать всю переписку.

Случаи обнуления профиля известных деятелей

В апреле 2016 года произошел практически одновременный взлом аккаунтов Telegram Георгия Албурова (Фонд борьбы с коррупцией) и Олега Козловского (некоммерческая организация «Образ будущего»). Интересно, что несанкционированный доступ к аккаунтам был получен в результате отключения приема/передачи СМС на телефонах Албурова и Козловского. Позже, представители оператора сотовой связи (МТС) заявили, что техническая поддержка не производила отключение услуг на данных номерах, а проблемы со связью были вызваны вирусной атакой.

Три месяца спустя подобная неприятность случилась с журналистом Сергеем Пархоменко. По его словам, на мобильный номер стали приходить СМС с цифрами для авторизации. При попытке зайти на свой профиль журналист получил предложение пройти процедуру регистрации, как при первом посещении. Открыв аккаунт, Пархоменко обнаружил, что он полностью обнулен, а история переписки удалена. Таким образом, не помогли даже два этапа аутентификации, ведь злоумышленники смогли раздобыть необходимые данные у оператора связи.

Как подключить двухфакторную авторизацию в Телеграмм: пошаговая инструкция

Чтобы при входе в приложение с нового устройства система кроме СМС-кода запрашивала пароль, необходимо выполнить следующую процедуру:

1. Заходим в меню «Настройки» и выбираем пункт «Приватность и безопасность» (Privacy and Security).
2. В подразделе «Безопасность» ищем строку «Двухэтапная авторизация» (Two-Step Verification) и нажимаем на нее. Кстати, на одну строку ниже находится пункт «Активные сеансы», с помощью которого можно просмотреть и при желании отключить все сессии, открытые на других устройствах.
3. Открывается страница с полем для ввода пароля. Желательно, чтобы придуманная комбинация содержала цифры и символы с разным регистром.

   

    

4. После ввода пароля необходимо его подтвердить для исключения ошибок.
5. Для защиты от забывчивости сервис предлагает указать подсказку, которая направит мысли в правильное русло и позволит вспомнить комбинацию символов.
6.  Следующий этап – ввод адреса электронной почты, с помощью которого осуществляется процедура восстановления пароля. Данный шаг можно пропустить, однако это единственный способ осуществить вход в систему, если вспомнить исходную комбинацию не помогает даже подсказка.

   

    

7. На указанный e-mail придет ссылка для подтверждения изменений. Нажимаем ссылку, после чего должно появиться сообщение о том, что двухфакторная верификация для данного аккаунта включена.

Подобная инструкция справедлива для всех платформ, на которых работает Телеграмм. Чтобы убедиться, что новые настройки вступили в силу, следует попробовать войти в мессенджер с другого устройства. Если после ввода СМС-кода система запросила пароль, тогда авторизация работает корректно.

Дополнительная функция – Passcode

В одном из недавних обновлений Телеграмм для iOS и Android в меню появился пункт «Passcode». Данная функция позволяет настроить защиту для входа в приложение. Код может содержать как простую комбинацию из 4-х чисел, так и сложную с использование букв и прочих символов.
Подобная защита реализована достаточно гибко. Пользователь может установить запрос кода при каждом включении мессенджера или активировать функцию только в случае необходимости посредством нажатия специального значка в виде замка. Последний вариант удобен, если телефон на время остается без присмотра и существует вероятность, что переписка станет доступной постороннему человеку.
Кроме того, появилась возможность установки таймера автоблокировки, который заблокирует приложение и запросит код, если в течение определенного времени не производились активные действия. Система позволяет включить блокировку через 1 минуту, 5 минут, 1 час и 5 часов.

Ответ разработчиков

Павел Дуров заявил, что проблем с безопасностью мессенджера не было, а вину за взлом приложения полностью возложил на МТС. Тем не менее, служба поддержки на время отключила возможность обнуления активного профиля в случае забытого пароля. То есть, по сути, Дуров признал, что проблема существует и пообещал в ближайшее время решить ее «более элегантным путем».

По состоянию на конец августа 2016 года атака на аккаунт все так же возможна: атакующий, получив СМС-код клиента, может обнулить профиль и для этой операции ему не требуется пароль входа. Иными словами, двухфакторная аутентификация не работает, или работает не так надежно, как бы хотелось пользователям Telegram.