Як двоетапна верифікація захищає дані користувачів у Telegram

2016-10-28 15:14:09

в:

Враховуючи невдоволення багатьох клієнтів однофакторною верифікацією на основі SMS-коду, розробники відомого месенджера додали другий фактор перевірки особи. У цій статті ми поговоримо про двоетапну верифікацію в Telegram та її надійність з точки зору інформаційної безпеки клієнтів.

;

Два фактори безпеки даних

До квітня 2015 року користувач міг увійти в систему, ввівши код, отриманий у текстовому повідомленні. При цьому додаткового захисту від несанкціонованого входу не існувало. Таким чином, зловмисники могли перехопити повідомлення, надіслане на телефон клієнта, і отримати доступ до його розмов. Хоча масових випадків таких зломів не було зареєстровано, розробники на чолі з Павлом Дуровим вирішили усунути цю можливість. І ось, що вони зробили; Завдяки впровадженню двоетапної верифікації в Telegram, сьогодні користувач може встановити додатковий пароль, який буде вводитися в разі відкриття додатку на новому пристрої. При цьому SMS-верифікація, що здійснюється на першому етапі входу в систему, залишилася. Двоетапний вхід здійснюється наступним чином:

При вході в обліковий запис
При вході в даний додаток клієнт вводить свій номер телефону.

Далі йому приходить смс-повідомлення з перевірочним кодом, який необхідно ввести у відповідне поле.

Якщо він правильний, клієнт побачить поле для введення пароля (комбінацію символів він обирає самостійно на етапі реєстрації).

У разі правильної комбінації користувач отримує доступ до своєї сторінки.

Чи допомагає двоетапна верифікація у випадку злому акаунта?
На перший погляд, дане нововведення дуже корисне для безпечного зберігання інформації на серверах Telegram. Однак, як показала практика, навіть незважаючи на два фактори верифікації, можливість злому акаунта все ще існує. Отже, ось як це працює:

Зловмисник вводить номер телефону своєї жертви і надсилає запит на аутентифікацію.

Жертва отримує код підтвердження, який стає відомим зловмиснику (один з варіантів перехоплення SMS - проникнення хакера в службу технічної підтримки оператора мобільного зв'язку).

Зловмисник вводить отримані номери та отримує доступ до сторінки введення паролю.

Під приводом забудькуватості зловмисник натискає відповідне посилання "Забули пароль?" і отримує повідомлення про відправку коду відновлення на електронну адресу, яка була вказана при реєстрації.

Оскільки зловмисник не має можливості увійти до поштової скриньки своєї жертви, він натискає посилання "Виникли проблеми з доступом до електронної пошти?", зазначаючи, що у нього виникли проблеми з
.
Система пропонує йому здійснити повне скидання облікового запису, видаливши всі листування. Хакер приймає ці умови і отримує доступ до акаунту своєї жертви, а також можливість надсилати повідомлення від її імені.

При цьому він отримує доступ до акаунту своєї жертви.
. Насправді, для того, щоб нейтралізувати двоетапний захист, достатньо дізнатися код SMS, надісланий на номер телефону жертви. Різниця - в кінцевому результаті. У цьому випадку хакер отримує доступ до порожньої сторінки, тоді як злом однофакторного захисту дозволяє прочитати всі розмови.
Кейси зі скиданням акаунтів відомих особистостей
У квітні 2016 року практично одночасно були зламані Telegram-акаунти Георгія Албурова (Фонд боротьби з корупцією) та Олега Козловського (некомерційна організація "Візія завтрашнього дня"). Цікаво, що несанкціонований доступ до їхніх сторінок було отримано в результаті відключення на смартфонах Албурова та Козловського опції прийому та відправки SMS-повідомлень. Крім того, представники оператора мобільного зв'язку (МТС) заявили, що їхня служба технічної підтримки не відключала послуги на зазначених номерах телефонів, а проблеми зі зв'язком були викликані вірусною атакою. Через три місяці подібна неприємність сталася з російським журналістом Сергієм Пархоменком. За його версією, він отримав смс-повідомлення з перевірочними номерами. При спробі увійти до свого профілю журналісту запропонували авторизуватися, ніби він завітав на сервіс вперше. Відкривши свій акаунт, Сергій виявив, що він був обнулений, а вся історія повідомлень видалена. Таким чином, навіть двоетапна верифікація не допомогла, оскільки хакери встигли отримати необхідні дані від оператора мобільного зв'язку.
Покрокова інструкція з налаштування двоетапної верифікації в Telegram
Якщо ви хочете, щоб система запитувала і SMS-код, і пароль при вході в додаток з якогось нового пристрою, необхідно виконати наступну процедуру:

Зайти в налаштування
Зайти в налаштування і вибрати пункт "Конфіденційність і безпека"

Далі потрібно знайти рядок "Двоетапна перевірка" в підрозділі під назвою "Безпека" і натиснути його. Крім того, одним рядком нижче є також розділ "Активні сесії". Він буде корисний, якщо ви захочете переглянути всі сесії та закрити відкриті на інших пристроях, якщо виникне така необхідність.

Далі відкриється сторінка з полем для введення пароля. Бажано, щоб обрана вами комбінація містила цифри і символи, що мають верхній і нижній регістр.

Після введення пароля необхідно його підтвердити, щоб виключити помилки.

Щоб убезпечити вас від забудькуватості, сервіс пропонує вам вказати підказку до паролю, яка направить ваші думки в потрібне русло і допоможе згадати необхідну комбінацію символів.

На наступному етапі необхідно ввести адресу електронної пошти, яка необхідна для проведення процедури відновлення пароля. Ви можете пропустити цей крок, але пам'ятайте, що це єдиний спосіб увійти в систему, якщо ви не можете згадати початкову комбінацію навіть за допомогою підказки пароля.

Після цього на вашу електронну пошту буде надіслано посилання для підтвердження змін. Перейдіть за цим посиланням, і ви побачите повідомлення про те, що двоетапна перевірка для даного облікового запису ввімкнена.

Така інструкція підходить для всіх платформ Telegram. Щоб переконатися, що нові налаштування вступили в силу, потрібно спробувати зайти в месенджер з якогось іншого пристрою. Якщо після введення SMS-коду система запросить пароль, це означає, що аутентифікація працює коректно.
Додаткова опція "Парольний код"
Розділ "Пароль" з'явився в одному з останніх оновлень Telegram для iOS і Android. Дана опція дозволяє налаштувати безпеку для входу в додаток. Код може містити як просту комбінацію з 4 цифр, так і більш складну, що складається з букв та інших символів. Реалізація такого захисту досить гнучка. Користувач може вмикати опцію запиту коду при кожному перемиканні Telegram або активувати її лише за необхідності, натиснувши на спеціальну іконку, що нагадує замок. Останній варіант дуже зручний у випадку, якщо ви тимчасово залишаєте телефон без нагляду і є ймовірність, що ваші розмови можуть стати доступними сторонній особі. І останнє; Крім того, є можливість налаштувати таймер автоматичного блокування, який буде блокувати додаток і запитувати код у разі бездіяльності протягом певного періоду часу. Система дозволяє увімкнути блокування через 1,5 хвилини або 1,5 години.
Відповідь розробників
Як пояснив Павло Дуров, жодних проблем із безпекою месенджера не було. Більше того, він поклав провину за злам додатку на компанію МТС. Тим не менш, служба підтримки тимчасово відключила можливість скидання активного профілю в разі забуття пароля. Іншими словами, Дуров фактично визнав існування проблеми і пообіцяв якнайшвидше вирішити її в більш елегантний спосіб. Станом на кінець серпня 2016 року злом акаунту все ще можливий: отримавши SMS-код клієнта, хакер може скинути його профіль без використання пароля для входу. Інакше кажучи, двоетапна верифікація не працює або вона не настільки безпечна, як хотілося б користувачам Telegram.