Двухфакторная авторизация в Telegram всё ещё/снова не работает

[SannX]

У телеграма не 2FA, а 2SV. Отсюда многие беды.

[dartraiden]

Уместно будет напомнить о разнице между ними.
Конечно, если у атакующего есть доступ к разблокированному телефону жертвы, то не спасёт ни код, полученный в SMS, ни код, сгенерированный приложением на телефоне. Но, способов получить доступ к SMS больше (перехватить по пути, переоформить сим-карту).

[eps]

А фактор всё так же один — возможность получать SMS на определённый номер телефона. А возможность эта, увы, есть у неопределённого круга лиц.

Система, где это — единственный фактор, не будет безопасной.

[alexpp]

Слишком маленький скриншот. Ничего не разглядеть.

[g_i]

Ещё чуть уменьшил

[Groosha]

Уточню: по-прежнему осуществлен "сброс" аккаунта с потерей обычных и секретных чатов, так?

[g_i]

Да, так, вся переписка из всех чатов потеряется;

Но атакующий может притвориться жертвой, писать её контактам, узнавать важные данные, распространять дезинформацию, провоцировать на какие-нибудь действия и так далее.

[Groosha]

Да, это крайне неприятный момент. Хотя факт создания нового обычного чата уже должен быть подозрительным для собеседника.

[g_i]

Новый чат совсем не должен быть обычным, атакующий может создать какой угодно чат.

В этом примере я просто создал и такой и такой для иллюстрации, совсем не обязательно создавать обычный чат.

[Groosha]

А что произойдет, если собеседник напишет "жертве" (под личностью которого скрывается атакующий) в тот обычный чат, что был до угона? Будет ли автоматически создан новый? Или сообщения будут получать одну галку и "зависать"?

Скажем так, как выглядит ситуация со стороны собеседников? (по сути, как определить, что у товарища угнали акк, ДО истечения 12 часов и замены контакта жертвы на DELETED)

[g_i]

Это всегда будет новый чат, не старый.
Или обычный, или секретный — но новый (на скриншоте выше вот это тоже можно увидеть).

Как собеседник может узнать? — WhatsApp, например, предупреждает, что вот у вашего контакта что-то изменилось, верифицируйте его пожалуйста; Signal тоже предупреждает.

Telegram не предупреждает — и всё, что мы можем сделать, это верифицировать собеседника каждый раз, когда создаётся новый чат. Позвонить ему, например, любым способом и спросить он ли этот чат создал.

[Groosha]

Создание нового обычного чата, полагаю, уже достаточно для беспокойства (невозможно удалить обычный, "облачный" чат, только очистить историю на своей стороне). Ибо эта ситуация проявляется только при переустановке учетной записи.

А секретный чат, конечно же, надо проверять лично или хотя бы убедиться, что он пришел кому надо.

[stardust1]

Не совсем по теме, но не даёт покоя такой вопрос: У меня емайл в гугле привязан к двухфакторной авторизации. Inbox на смарте пароль не спрашивает, что даёт легкий доступ к нему преступникам. Предположим, если я потеряю свой смарт или его у меня украдут, то как я потом могу быстро получить доступ к аккаунту, чтобы сменить пароль и удалить номер украденного смарта для авторизации? Знаю, что там можно занести запасной номер, но у меня его нет.

[melt]

Полагаю, вам помогут резервные коды (10 штук) в настройках безопасности аккаунта

Скриншоты где и как

[g_i]

Ну и защитить смартфон: зашифровать если андроид (настройки — безопасность),
поставить нормальный пароль на разблокировку экрана,
поставить 15 секунд (минимальное значение) чтоб уходил в сон при неактивности (для айфонов 30 сек минимальное время кажется),
поставить блокировку на «немедленно» после ухода в сон

[nett00n]

Простите, но где тут второй фактор?
СМС-код или код, отправленный на другое устройство — это первый фактор, вторым фактором для телеграм — является пароль. Ваш заголовок вводит в заблуждение.

[tsifra]

Неделю или две назад отправил в службу поддержки вопрос, но ответа не получил. Я на cyanogenmod через f-droid поставил telegram. И жил припеваючи много месяцев, пока не съездил в отпуск. Теперь у меня иногда сообщения в шифрованых чатах оказываются прочтенными раньше чем я их открою. Это вроде end-to-end из чего следует что проблема должна быть у меня на устройстве. Так же у меня каким-то образом исчезла та самая двухфакторная авторизация. Для снятия которой, насколько я понимаю, нужно знать как минимум пароль, как максимум иметь доступ к почтовому ящику. Вообщем я в растерянности, служба поддержки молчит минимум неделю. Аналогичных ситуаций описанны в паутине найти не смог. Никто не сталкивался?