Comments 116
Фиг вам где-то сказали и деградировали сервера Вотсап т.к. как пугали и делали утечки несколько лет назад. И предложили получать коды Телеграмм через личный кабинет Госуслуг.
Надеюсь когда нибудь появится популярный мессенджер где будет вариант авторизации как в блокчейне, условно 15 слов и все. Без емейлов, без телефонов и прочего.
У телеграмма есть криптономера
Если нужна трехзвенка, то самое независимое - это будет Fido2 (Windows Hello и т.п.)
Что в этом случае (как и в случае с регистрацией через почту) помешает абьюзить систему и создавать огромное количество фейковых аккаунтов?
создавать огромное количество фейковых аккаунтов?
Смена дефолтной модели приема. Не 'разрешаем получать сообщения от незнакомых адресатов, но это можно запретить', а 'сообщения от незнакомых запрещены, но это можно разрешить'.
И создание огромного количество фейковых аккаунтов резко перестанут быть кому-то интересны.
Мне еще Амазон на днях присылал код через Whatsapp, что меня удивило.
Ну тут все просто , это жадность , за смс платить нужно, а тут нет. Ну не хватает Безосу , на свадьбу много потратился.
И тут платить нужно, WhatsApp Business API платный, на скриншоте явно указано Бизнес аккаунт. В бесплатном ватцапе быстро прилетит бан за рассылку сообщений в которых инициатором был рассылающий.
Уверен , платить нужно Mete намного меньше, чем операторам связи за рассылку СМС
Уверен , платить нужно Mete намного меньше
Уверен что мало кто платит Mete т.к. они не работают с организациями, а все платят официальным посредникам которые подключают к WABA и обеспечивают поддержку использования WABA.
В России многие с ужасом ждут блокировки WhatsApp т.к. аналога WABA нет, а кто-то решает обходить блокировки через него что вызывает вопросы в адекватности.
Безос и потратился?) Мне кажется этот жлобяра даже на собственную свадьбу зажмет каждую копейку))))
Но Цукер, видимо, пока еще не раздуплился, что лысый жлоб снова экономит, теперь уже на его рыжем горбу, так что пока не режет сообщения)))
Привязка входа в сервис к другому сервису не самое лучшее решение. Уникальный id + пароль + TOTP решили бы все эти проблемы. Восстановление входа через почту и телефон можно добавить, но только как дополнительную необязательную опцию
Нет, ежедневно краем глаза наблюдаю, как люди умудряются "утрачивать" TOTP в google auth в связи со сменой телефона, хотя он облачно пароли сохраняет
Если человек включив ТОТР умудрился его утратить - это должны быть проблемы конкретного человека. Почему весь сервис в плане безопасности должен ориентироваться на безалаберных людей, которые не соображают и не хотят ни в чём соображать и разбираться? Если человек включает ТОТР, то должен понимать какие последствия будут при утрате секрета. Три раза предупредить его при включении и всё. Бекапь секрет, распечатывай на листочке и убирай в сейф, фотографируй и заливай в своё облако. Всю планету в какой-то детский сад превратили...
ТОТР-клиенты не позволяют извлекать секреты с устройства. Как провернуть то, что вы предложили в Microsoft Authenticator или в Google Authenticator? Спрашиваю не ради тролинга, на днях сам задумался, что делать если TOTP-код к ГосУслугам потеряется вместе со смартфоном.
Aegis позволяет export
В Google Authenticator есть экспорт кодов.
Сам пользуюсь той самой Aegis, с автобэкапом и синхронизацией - но иногда думаю, что стоило бы скриншотить все QR-ы с сидами TOTP и хранить в зашифрованном контейнере.
стоило бы скриншотить все QR-ы с сидами TOTP
Строго говоря, их не надо скриншотить. Достаточно хранить в уже прочитанном виде - в виде строки. И в таком виде они отлично в менеджер паролей помещаются.
Вот иногда выбора нет, и сервис показывает только QR код. Еще не тестил что будет если отсканировать его просто QR-сканнером / камерой, а так эта строка отлично сохраняется в keepass xc, да, который уже генерит из нее QR в случае необходимости куда-то в телефон импортировать, без всяких консольных/питоновских pip install qrcode
Еще не тестил что будет если отсканировать его просто QR-сканнером / камерой,
Там URI со схемой otpauth, который все эти программы-аутентификаторы и ожидают. Ну кроме тех случаев, когда поставщик решил свой нестандартный генератор или вариант инициализации делать.
А дальше - нормальный, не обрезанный(как в некоторых камерах), QR сканер просто предлагает 'поделиться' или скопировать.
Можно, но скрин проще - это дефолтный вариант как для многих сервисов, так и для приложений-генераторов.
А вот идея аттачить его к записям менеджера паролей интересная, спасибо.
Энивей, дело вкуса - главное тут подход: бэкап в случае TOTP возможен не только в виде базы конкретного приложения, но и в виде собственно сидов, прямо на стадии создания.
2fas
С помощью вот этого проекта удалось вытряхнуть секреты из Google Authenticator:
https://github.com/qistoph/otp_export
Достаточно было просто подсунуть скрипту содержимое QR-кода, который создаётся клиентом при экспорте секретов.
Можно и нужно делать бекапы таких важный приложений. Но можно забекапить ТОТР в обычный текстовой файлик. Я ниже уже писал и повторюсь - мои ТОТР'ы выглядят следующим образом: VDDJB75KCNDHFK49DHFBD3KFH5YDNCTHA / 30 / 6 / SHA1. Зная эту строчку берёте и на новом телефоне запускаете Aegis с последующим ручным добавлением нового кода: задаёте имя записи, указываете секрет (VDDJB75KCNDHFK49DHFBD3KFH5YDNCTHA), время обновления кода (30 секунд), длину кода (6 цифр), выбираете алгоритм SHA1. Всё - у вас есть коды доступа. На практике "нормальная" реализация ТОТР на разных сервисах определяется только секретом, так как 30 / 6 / SHA1 - практически везде стандарт.
это какой клиент? на ифончике OTP Auth вполне позволяет
Если человек включив ТОТР умудрился его утратить - это должны быть проблемы конкретного человека.
Увы, утративший с этим не согласен и потеряв доступ будет писать про вас гневные отзывы, и таких людей будет не мало. Чтобы понять насколько "обычный пользователь" мало понимает как всё работает достаточно зайти в отзывы на YouTube в Google Play, и посмотреть сколько людей поставило одну звезду за то, что "приложение виснет и не грузит видео". Если вы хотите монетизироться, вам придётся это учитывать.
Чтобы понять насколько "обычный пользователь" мало понимает как всё работает
Этот тезис мне кажется сомнительным в контексте атрибутов доступа. "Обычный пользователь" отлично понимает что вот этот кусок железа - это ключ от квартиры/сейфа. И если потеряешь - у тебя будут проблемы. Поэтому храним запасные.
Соответственно и тут - понять, что это 'ключ от мессеждера' не так уж и трудно. И нужно делать и хранить запасные.
Отличие только в том, что дверь можно взломать без ключа, а защиту учетки - далеко не факт. Но и тут есть вполне понятные ассоциации из физического мира - физические вещи постоянно имеют способность утрачиваются без возможности восстановления. Что отлично понимается.
Поэтому храним запасные. Соответственно и тут - понять, что это 'ключ от мессеждера' не так уж и трудно
Моя практика показывает, что такая ассоциация у людей не выстраивается сама собой. В свое время работал на производственном предприятии и много людей приходило со своими личными ноутами, так вот концепция логина/пароля многим была непонятна. Человек приходит и говорит, что у него "слетел Скайп", на деле его просто разлогинило, ты спрашиваешь у него логин, а в ответ либо непонимание, что это вообще за логин, либо дают любой произвольный логин явно от чего-то другого, ну и самый популярный ответ на вопрос про пароль "да я помню что ли?".
Ребенок сломал телефон, хныкает, пинается ножками, но никогда не признается сам себе что это он идиот и не надо было телефон в воду кидать. А взрослым ему об этом сказать нельзя - то невыгодно, то нетолерантно, то ещё чего-нибудь. Хотите развиваться - выбирайте ЦА и принципы (деньги в ущерб безопасности или безопасность в ущерб денег). Гневные отзывы, кстати, в любом случае писать будут)
А если человека вынуждают включить ТОТР?
Может хватит навязывать людям 2fa без альтернатив?
Тут, по крайней мере в теории, привязка не строго к одному сервису. И WA, и SMS, и ТГ - все используют единый идентификатор, который принадлежит (точнее, в какой-то момент принадлежал, что открывает уязвимость) одному человеку. Конкретный транспорт не так важен: нет возможности использовать один канал - есть другой.
В целом довольно изящно. Хоть да, не без уязвимости, но лучше чем только СМС.
И да: сам стараюсь всё на TOTP перетащить, но верю, что не все осиливают.
А может просто перестать требовать что-то, что может быть потеряно?!
ТОТР, телефон, почта, паспорт - всё это может быть утрачено.
А что требовать? усы лапы и хвост?
Что-то, что удовлетворяет трём требованиям:
1) неотчуждаемость
2) сменяемость
3) неуникальность (не возможность одного сервиса связать твоего пользователя с аккаунтом другого сервиса)
Пока что, получается только пароль.
Не сочтите занудством.
Даже если утёкший из сервиса хеш пароля был хорошо посолен, его всё ещё можно сбрутить со скоростью 100500 хешей в секунду на GPU-фермах. В общем, с паролями без второго фактора пока никак не обойтись.
Имхо, ничего в этом контексте по-настоящему неотчуждаемого/надёжного просто не существует (биометрию для аутентификации не предлагать!), разве что Passkey довольно близок к идеалу: в наиболее безопасном варианте он существует только для конкретного устройства, и если и может быть утерян, то чаще всего вместе с самим девайсом, а не сам по себе. Но даже тут есть варианты: можно забыть пин-код устройства, потерять палец или, э-э, получить в жбан изменения в FaceID. Ну и поскольку Passkey — это не пароль, а пара ключей ассиметричной криптографии, то нужен запасной вариант входа на случай утери доступа к девайсу с ключом, либо хранить приватный ключ в менеджере паролей, доступ к которому в свою очередь тоже можно утратить. Есть ещё всякие штуки вроде FIDO2, но это, имхо, ещё больший экзот, чем TOTP — в смысле поддержки на сайтах и востребованности со стороны пользователей (лично я против иcпользования номера телефона как второго фактора, но надо признать, что массовый пользователь скорее вего не хочет заморачиваться с чем-то кроме SMS/звонков). И фидошки тоже можно терять.
В общем, только диверсификация рисков, только хардкор!
Я каждый альтернативный способ авторизации примеряю на сценарий, в котором сам как-то оказался.
Дело было в поездке. Нужно было оперативно перебронировать то ли гостиницу, то ли авиабилеты - а из всего коммуникационного под рукой был личный смартфон без интернета (роуминг сломался, wifi в той локации не было) и старый компьютер с инетом в публичном доступе со всеми вытекающими.
Тогда у меня в принципе 2ФА нигде не было, пришлось "скрипя сердцем" на том компе пароли вводить. Но реально в такой ситуации можно было бы рассчитывать только на TOTP. И то ещё девайс был с собой, в случае потери было бы совсем грустно.
старый компьютер с инетом в публичном доступе со всеми вытекающими.
Я бы задался вопросом, можно ли с того компа раздать интернет на телефон по шнурку или bluetooth.
Недавно телефон уехал в другой город, и нужно было хоть куда то зайти. Заходишь в тг - высылает код на телефон (или на почту сейчас), зайти на почту - код на телефон, или подтвердите действие с телефона. Сброс - подтвердите через почту... и всё в том же духе.
Перевыпустить симку вот здесь и сейчас - возможности нет, в данном городе офисы опсосов в принципе позакрывались.
Выглядит как конфликт двух разных безопасностей: security и, не знаю, safety или reliability.
И вообще, это же классика: хочется и безопасно и удобно/надёжно одновременно, но так не бывает. И приходится выбирать компромисс. Я потому и написал в конце про диверсификацию рисков. По-хорошему, нужно продумывать различные сценарии (например, самые вероятные или самые страшные) и подстраиваться под них, исходя из собственных представлений. Имхо, TOTP пока что выглядит достаточно универсальным/удобным и одновременно безопасным вариантом. Но если девайс с ним умер, то плохо, да. Надо иметь бекапы, правда хз, как бы вы воспользовались бекапом TOTP, потеряй вы девайс (начнём с того, как этот бекап таскать с собой). Сова не тактик — сова стратег :D
Некоторое время назад здесь, на Хабре, кто-то опубликовал статью, прямо крик души, что, дескать, разработчики сервисов, фашисты этакие, заставляют пользователей вот это всё и почему они настолько рьяно пекутся о безопасности, что прямо анальное рабство (ц). В то время как я стараюсь выступать за свободу выбора, меня всё же смущает аргументация в той статье. Кажется, в качестве одного из аргументов автор приводил пример, что вот поехал он куда-то за границу, а ему антифрод-система его банка нафиг заблокировала платёжную карту. И человеку, по-видимому, невдомёк, что это он сам должен был обо всём подобном позаботиться и диверсифицировать свои риски: взять не одну карту, а, скажем, две — и желательно разных банков, и не только карту, а ещё наличность в валюте региона пребывания или хотя бы в пресловутых баксах и т.д. и т.п. Просто потому что одну карту можно и потерять, например, или банк окажется нерукопожатным, или ещё что непредвиденное.
Как это ни печально, кроме нас никто не позаботится о нашей безопасности — будь то security или safety/reliability.
Даже палец может быть утрачен )
Ну проблема пальца не в потенциальной утрате, а в том, что он может быть использован для аутентификации без ведома владельца))) На пьянке, к примеру, пока тот дрыхнет) С паролем такое сложнее провернуть)
Нет, самая большая проблема в том, что в случае компрометации (гипотетического создания копии) его нельзя сменить. Это фундаментальная уязвимость биометрии, которая делает любую систему на ней несекьюрной.
Только сейчас нельзя взломать биометрию как в фильме, отрезав палец или приложив выковырянный глаз учёного к сканеру. Современные сканеры проверяют пульс и прочие признаки "живости" сканируемого объекта. Поэтому создать какую-то неживую копию, насколько знаю, нельзя, а запариваться с перезаписью отпечатков у другого человека слишком дорого. Старый добрый ТРКА справится быстрее. От него ни одно средство защиты пока не помогает.
Есть куча нюансов. Был где-то судебный прецедент: в постановлении отмечалось, что требовать пароль от телефона нельзя, т.к. это противоречит праву хранить молчание. А вот требовать разблокировать биометрией - легально можно, поскольку отпечаток/лицо - не свидетельство, а свойство человека, которое и так на виду.
постановлении отмечалось, что требовать пароль от телефона нельзя, т.к. это противоречит праву хранить молчание. А вот требовать разблокировать биометрией - легально можно, поскольку отпечаток/лицо - не свидетельство, а свойство человека, которое и так на виду.
Что является в чистом виде артефактом сложившийся системы и юридической отмазкой. По хорошему где-то должно быть записано, что информация с личных устройств приравнивается к содержимому головы и не может быть использована/вытащена с устройства без явного согласия владельца.
Современные сканеры проверяют пульс и прочие признаки "живости" сканируемого объекта
Если это просто сканер под стеклом смартфона, или на боковой кнопке, то нет.
Если же злоумышленник свободно распоряжается чужим пальцем, то это сценарий, когда у него свободный доступ к сканеру, и он может модифицировать сканер, чтобы отключить проверки "живости".
Это да ). Или чуть менее радужный сценарий - при общении с "siloviki", когда "нет оснований доверять сотруднику полиции"
В этом вся суть фактора "то, чем я владею" - можно заменить в любой момент (при компрометации), но это же означает, что можно и утратить.
а что не может быть утрачено?
пароль.
Только не надо тут мне про "забыл", так можно забыть и сам факт наличия аккаунта. "забыл" должно находится за скобками вопросов секьюрности.
ДНК, но это дорого
Отпечаток пальца не утратишь, телефон потерять можно. Который в этих самых отпечатках ну вообще весь, было бы желание снять
Хранить гдесь на сервере сетчатку глаза не проблема, но снять её на камеру телефона получится не у всех
Забавно было бы, если это и через Мах сделали)))
Чего уж мелочиться, присылали бы сразу в макс
Через Макс пусть сделает.
Вот что угодно будут делать только лишь бы нормальный TOTP не делать.
А можно пример нормального ТОТР? До сих пор все решения для физиков выглядят либо как просто аккаунт у другого сервиса. Ну или физическое устройство без бэкапа, с утерей которого всё превращается в тыкву.
Вышеупомянутый Aegis - open source, без серверов, но с бэкапами, всё как полагается.
Ну и алгоритм генерации открытый, даже тут, на Хабре была статья про самоделку.
Вам когда показывается QR код для подключения этого самого ТОТР - там не магия какая-то, там в человеко-неприветливом виде передаются основные данные: имя сервиса, секрет (строка из некоторого количества символов), время обновления кода 30 секунд, длина кода в 6 цифр, алгоритм хеширования SHA1. Соответственно "нормальный ТОТР" записывается вот так: VDDJB75KCNDHFK49DHFBD3KFH5YDNCTHA / 30 / 6 / SHA1. Зная это берёте приложение-аутентификатор хоть на андроиде, хоть на винде, хоть в линуксе и вручную (!) вводите параметры алгоритма. Всё - у вас есть коды доступа)
Есть, конечно, сервисы типа яндекса, которым страсть как неймется изобретить постоянно свой велосипед. Это пример "ненормального ТОТР" - непонятно какой алгоритм, какие параметры, как сделать экспорт и потом импорт. Такой ТОТР надо отчаянно порицать и тыкать имъ в создателя чтобы ему нескучно было.
Microsoft и Google аутентификаторы имеют интересную фичу. Например, при входе в Azure (или при подтверждении google-аккаунта через устройство) после ввода 6-значного кода на сайте, куда входишь, надо ввести 2-значный код на устройстве с аутентификатором. Интересно, эта фича стандартизована? Может ли Aegis так?
Я такого нигде не встречал, хотя ТОТР активно подключаю везде где он появляется. Правда с гуглом и яндексом как-то сразу не задалось по вышеописанным причинам. Но это было когда только всё появлялось, а сейчас вон и вы пишите, что можно всё вытянуть - может сервисы стали погуманее к пользователям.
это как раз второй этап, и сейчас у гугла чаще выбрать из списка. т.е. на экране они показывают один номер, а во всплывающем окне андроид с активной сессией - список на выбор. По крайней мере у меня последнее время только так.
Если вы о менеджере паролей яндекса, то они сами рассказывали здесь
Как мы создавали менеджер паролей со стойкой криптографией и мастер-паролем. Опыт команды Яндекс.Браузера
Обратите внимание, пару лет назад РКН публично начал гонения на ТГ и после пары недель, признал попытки его блокировки неудачными, сказав, что невозможно технически это сделать. И все в рунете сказали - ура, наша переписка очень хорошо защищена и ничто на неё повлиять не сможет. Проходит пару лет и тут... хотят только звонки в ТГ блокируют, хотят кода авторизации, хотят, целые регионы от него отключают. Научились так филигранно работать? Не думаю. Выводы делайте сами...
пару лет назад РКН
Почти 8 лет назад.
Научились так филигранно работать?
Филигранности не видно, но что-то теперь умеют, да.
все в рунете сказали - ура, наша переписка очень хорошо защищена и ничто на неё повлиять не сможет
Кто эти "все"?
Выводы делайте сами...
Вывод: необходимо думать, перед тем как что-то говорить.
Так что в итоге, можно сейчас, пользуясь случаем, создать полностью анонимный аккаунт в Телеграме?
А кто/что является первоисточником утверждения что смс блокируются? Лично я не видел ни комментариев операторов связи ни новостей на сайтах с лицензией СМИ. Я еще в августе столкнулся с ситуацией когда не смог войти в свой аккаунт телеграм. Причем почта была пристегнута. И приложение утверждало, что сообщения туда отправляются. Как по мне - так телеграм просто не рассматривает рынок РФ как перспективный и всеми способами снижает расходы. РКН, кстати, тоже не комментировал ситуацию. Законов о блокировке смс у нас вроде бы не было
Не подскажите, что там с ютубом? Законов о замедлении тоже не видно что-то. И вообще, это злой Гугл все и деградация серверов, ага. И никакие модификации пакетов/впны не помогут, проблема ведь в серверах, верно?
Про законы о замедлении не скажу, но, насколько я помню, официальные заявления были. В данном же случае наблюдаю кучу сообщений что в РФ блокируют смс от телеграм, но не вижу никакой официальной информации совсем. На мой взгляд все намного проще. Смс стоят денег, одноразовые коды через звонок-сброс-последние цифры тоже не бесплатные. А рынок очень быстро уходит под Max. Вероятно, у telegram есть какая-то выгода в сокращении расходов при стремительно сокращающейся доле рынка.
Официальные заявления подоспели через пару месяцев после того, как сервера деградировали. До этого рекомендовали обращаться в Гугл.
А рынок очень быстро уходит под Max
И ссылки приложить к сему утверждению вас, конечно же, не затруднит?
Вероятно, у telegram есть какая-то выгода в сокращении расходов при стремительно сокращающейся доле рынка.
Вы серьёзно думаете, что телеграм втихую выборочно отключил смс для некоторых регионов и некоторых операторов? Ну вот прям серьёзно?
Ссылок у меня, разумеется, нет. Есть только заявления оператора Макс и наблюдения среди знакомых, общение которых перешло в макс. А по поводу того где именно отключились смс я ничего сказать не могу. Полагаю что телеграм себе не сам инфраструктуру для их рассылки здесь создавал, а пользовался услугами каких-то компаний-посредников.
Есть только заявления оператора Макс
Этому, разумеется, мы верим. Различать 'рынок уходит' и 'загоняют бюджетников для красивых цифр' не обязательно.
Ради интереса: приведите, пожалуйста, ссылки на эти заявления?
наблюдения среди знакомых, общение которых перешло в макс
Ни один из моих знакомых не перешёл туда. По моим наблюдениям, большинство сопротивляются как могут.
А по поводу того где именно отключились смс я ничего сказать не могу
Но зачем-то говорите. Расскажите, пожалуйста, почему на мой номер Билайна перестали приходить смс, а на второй, который мегафон, все работало? Насколько вы уверены в том, что это телеграмм перестал отсылать только на Билайн, от 1 до 10?
Полагаю что телеграм себе не сам инфраструктуру для их рассылки здесь создавал, а пользовался услугами каких-то компаний-посредников.
Неужели? Именно тех посредников, которые стали блокировать его сообщения? И которые, совершенно случайно, находятся в нашей юрисдикции? И все это так случайно совпало с проталкиванием некоего нового мессенджера?
Вот серьёзно, вам самому не противно вещать вот это 'не все так однозначно' и 'макс в еюконкурентной борьбе отжимает рынок'? Вы ведь прекрасно понимаете, что происходит на самом деле и сколько сервисов уже заблокировано/замедлено силами наших законов. В интернет уже нельзя зайти так, чтобы не столкнуться с препонами, возведенными нашими законами
Пресс-релизы макс вы без труда найдете самостоятельно. Так же вам следует перечитать самое первое сообщение за которое вы зацепились. Я еще в августе видел эту ситуацию, когда телеграм (именно он, а не операторы) не отправлял мне ни смс коды, ни коды на эмейл, хотя приложение писало что все отправлено. Так что вопрос кто в этом виноват имеет вполне неоднозначный ответ. И транслировать в публично пространстве то, что нельзя хоть как-то проверить по меньшей мере глупо.
Пресс-релизы макс вы без труда найдете самостоятельно
Ну, то есть, ссылок нет. Понятно.
Я еще в августе видел эту ситуацию, когда телеграм (именно он, а не операторы) не отправлял мне ни смс коды, ни коды на эмейл, хотя приложение писало что все отправлено.
Ну то есть, на мой вопрос "почему на билайне упало, а на мегафоне нет?" вы отвечать не хотите. Понятно.
Так что вопрос кто в этом виноват имеет вполне неоднозначный ответ.
Ну то есть 2+2 сложить мы не хотим, с учетом предыдущих действий. И даже блокировка голосовых в телеграмме и ватсаппе вас не смущает. Понятно.
Хорошего вам дня(или что там у вас сейчас), оппонировать выдуманным вами аргументам я дальше не намерен.
Ну тут, кстати, я могу принять в качестве рабочей гипотезы, что запрет на работу с Телеграмом действительно прошёл на уровне СМС-шлюзов. С пользовательской стороны этот сценарий от запрета на стороне операторов неотличим.
При этом а) запрет остаётся запретом; б) одно другого вот вообще не исключает)
Честно говоря, разницы нет никакой. Телеграм решил тратить меньше, региональный смс-сервис платеж не получили или была разнарядка от надзорных органов - итог один. Телеграм - система ненадежная. Я в августе когда 5 дней к ряду не мог войти в аккаунт думал уже плюнуть на это дело. А потом вдруг заработало. Радость? Нет. Бэкап данных. Так что пока работает - хорошо, заблочат - да и пусть. Очередная централизованная система, с рисками полной утраты доступа. Будет вместо него max, chatti, tox, matrix, delta chat или что-то иное вообще не принципиально.
В случае окирпичивания единственного устройства с обоими мессенджерами они друг друга не спасут.
Не вижу в конфиденциальности никакого намека на почту, негде ее ввести. При авторизации на сайте затребовали телефон и код отправили в активный сеанс в ТГ. Почту в настройках нигде не вижу, ее также при входе никто не спросил...
Где вы там увидели вход по почте, фиг знает, может только для вновь создаваемых аккаунтов такое ввели...
«Код Дурова»: коды авторизации для Telegram начали приходить в WhatsApp