Комментарии 154
Сделать пароль и TOTP строго обязательным и без возможности восстановления. Потерял - создавай новый акк.
Уверен, владельцы криптокошельков в telegram возрадуются этой возможности вдвойне.
то есть лучше отдать кому-нибудь ваши средства из телеграма чем потерять их? ооооочень странная логика!
то же самое, только без иронии. Технически, некастодиальный криптокошелек - это и есть сложный пароль без возможности восстановления. И лично я скорее поверю собственным мерам предосторожности, чем очередному доброму дяде с FTX.
Больше того, такая возможность у пользователей телеграма уже давно есть. Аутентификация виртуальных номеров (тех, которые куплены за крипту) производится именно при помощи криптокошелька. Правда цены сейчас кусаются, около 130 TON при курсе 7 долларов за штуку.
Почему вы эти кошельки назовёте крипто? Они же не хранятся в блокчейне.
Тут нужно ввести ещё одно свойство, по которому можно разделить все криптокошельки. Они бывают кастодиальные (приватным ключом владеет третья сторона, с соответствующим набором рисков) и некастодмальным (приватным ключом владеете непосредственно вы сами).
С точки зрения работы с блокчейном и криптовалютами они одинаковы, но с точки зрения управления финансами и рисками - совершенно разные. Но за кастодиальным кошельком все ещё где-то должен быть спрятан некастодиальный кошелек для работы с криптовалютами, при чем он может быть общий для всех клиентов сервиса предоставляющего этот самый кастодиальный кошелек.
Примеры некастодиальных кошельков: bitcoin core, metamask, trust wallet, tonkeeper
Примеры кастодиальных кошельков:
аккаунты на binance, coinbase, телеграм бот @wallet,аккаунт биржи FTX...
P.S. Насколько можно считать кастодиальные кошельки - кошельками, вопрос для дискуссии. Лично я не рассматриваю их как что-то, что имеет право на такое название. Но это моё личное, субъективное мнение
Только вот есть не нулевая вероятность что прилетит обновление и ваш некастодиальный metamask, trust wallet, etc и даже, омг, аппаратный ledger внезапно становится кастодиальным, как сотню байтов переслать
прилетит обновление
Не ставить обновление кто-то мешает?
Те, кто волнуется насчёт закладок в коде, текущем или в будущих обновлениях, имеют возможность использовать пару приложений: одно на устройстве без интернета имеющее доступ к приватным ключам кошелька и использующееся только для подписывания транзакций, и второе на устройстве с инетом/обновлениями но без доступа к приватным ключам, использующееся только для просмотра балансов и передачей транзакций "на подпись" второму устройству плюс выполнением подписанных вторым устройством транзакций. Но на практике это слишком неудобно, поэтому годится только для перевода раз в месяц крупных сумм на менее защищённые кошельки.
Тем не менее, все остальные варианты, хоть и менее надёжны, но не равны между собой: опенсорсному десктопному/мобильному некастодиальному кошельку доверия всё-равно намного больше, чем стороннему кастодиальному сервису (вроде биржи или @wallet в телеге). А вот где на этой шкале расположить браузерные Web3 плагины, пусть даже опенсорные и некастодиальные - сложно сказать, думаю где-то ближе к биржам.
Суть в том, что нужно соблюдать баланс между безопасностью, возможностями и размером балансов (которые подвергаются рискам). Если в браузерном Web3 кошельке или @wallet никогда не лежит больше $50 - удобство вполне может перевешивать риски.
А при чём тут криптокошельки? В телеге не криптокошелёк. Это же как на бирже общий кошелёк для кучи аккаунтов и ваши средства "хранятся" на нём, а не на вашем личном кошельке. Нет даже гарантии, что у вас они есть, это просто запись в закрытой БД.
В телеге не криптокошелёк
В телеге кастодиальный криптокошелек. Но, там ведь есть еще и TonSpace, внутри wallet. Вот он заявляется некастодиальным (я не знаю насколько правдиво это заявление), приватный ключ от которого находится под твоим непосредственным контролем, и даже импортируется в другие кошельки
Кастодиальный кошелёк уже нельзя назвать криптокошельком, если он лишь запись в обычной БД и не мапится в блокчейн.
Я ещё понимаю, если в блокчейне есть кошелёк и он только ваш, а ключи как-то генерятся или даже хранятся на стороне кастодиана, это можно назвать кастодиальным криптокошельком.
Но в телеге, если я не ошибаюсь, просто обычная база данных, не блокчейн, вы даже не знаете адрес своего криптокошелька и при перевод ваших средств другому аккаунту не создаётся запись в блокчейне. При переводе на сторонний адрес в блокчейне уже создаётся транзакция в блокчейне и видно, что в "вашем" кошельке монеты многих пользователей.
Т.е. криптокошелёк не ваш. Ваша только запись в БД.
Вопрос философский, это моё мнение по этому вопросу, вы можете не согласится, и остаться при своём мнении, я спорить не буду.
Если логин в телегу является единственным ключом к кошельку, то там вообще что-то хранить опасно, только как транзитный кошель.
Весь интернет и все сети и даже банки в интернете держатся на сотовых... Вы не представляете насколько это ужасно. Там ничего нельзя хранить. 1) Сотовый можно потерять. 2) У вас может быть несколько симок. Оператор требует платить за симку. Просто потому, что вам нужен доступ к аккаунту. Причем доступ в аккаунт часто не требует сим, а происходит автоматически. При смене устройства или утере потребуется сим. Тут обнаружится, что сим уже заблокирована. Может и вообще не быть доступа. Это всего полгода просрочку платежей за сим.
Главное: Оператор легко удалит ваш номер и все доступы на все сайты, просто потому, что вы не платили ему полгода. Его не интересует ваш паспорт. Всё безвозвратно потеряно. Даже деньги. Оператор крайне ненадёжен. Ничего не надо хранить в интернете. Вы можете... уехать в другую страну например на год. Всё будет потеряно.
Представьте, что за свой паспорт вы платите 200-500 руб каждый месяц. Если не платить 6 месяцев (у некоторых операторов), то паспорт просто сжигают. И всё, что к нему привязано: трудовую, диплом... Так делает оператор с вашим номером, ключом к важным сайтам. Это никого не волновало....
'паспорт' не сжигают, а дают отлежаться в 'отстойнике' какое то время, а потом отдают новому владельцу!
Какая обтекаемая формулировка - "какое-то время")) А если не дают? Какой-то закон на этот счёт есть? А если завтра "база номерных ёмкостей" иссякнет - тоже отлеживаться будут давать?
В одну из моих телег так-то при мне как-то вошёл счастливый обладатель "нового телефонного номера"...
Это стандартная практика, номер "отлёживается" в "отстойнике" ~от 3х месяцев до ~двух лет (зависит от страны и оператора), после чего становится доступен для продажи. В большинстве стран этот срок устанавливается законодательно. В РФ, емнип, это закон "О связи".
А если завтра "база номерных ёмкостей" иссякнет - тоже отлеживаться будут давать?
У нас - да. Если какая-то серия номеров заканчивается, то оператор обращается к соответствующему органу и получает новую серию. Думаю, в РФ тоже примерно так.
Я каждый год в начале года на все интересующие меня сервисы рассылаю обращения в ТП или формы предложений по улучшению о введении ТОТР. Везде обычно отписки, но если таких обращений было бы много, то может и заворочались бы. Ведь запилили ТОТР на госуслугах! Теперь я туда не пишу)
Напишите еще в банки чтобы к транзакциями разрешили использовать (и пополнять, и использовать общий) справочник организаций.
Вот я потратил 1230 рублей в ноябре в ИП Иванов. Что это было? Для налоговой, для ЦБ эти данные с названием лица, кодом терминала, ИНН - этого достаточно. А мне - нет. Я бы хотел чтобы один раз я ввел, что эта тразакция - "Магазин пива на Весенней, 12" - и все последующие транзакции мне пояснялись. А еще, чтобы если вы потом там купите пиво - чтобы у вас тоже было не ИП Иванов, а "Магазин пива на Весенней, 12".
Самое печальное, что тут, на хабре, полно народу, которые вещают: "а чо такого, удобно жеж".
Добавлю еще риск, который я не учитывал до недавнего времени. Поломка и ремонт телефона. У меня заблокирован телефон, это отчасти защищает от потери-кражи. Но когда из ремонта мне позвонили и спросили код.... ну пришлось дать, а как иначе?
А еще, нельзя чтобы пин-код разблокировки телефона совпадал с кодом входа в банковское приложение.
И у меня вроде бы все хорошо обошлось, деньги с карт никуда не ушли (все таки, мастер по ремонту - скорее мастер, а не мошенник). Но теоретически у него были все возможности чтобы войти в банковское приложение, посмотреть все мои операции (уже не очень хорошо) и списать все данные карты. А использовать данные карты он сможет уже через год, когда я про этот ремонт вообще забуду и все странности спишу на какие-то другие причины.
Зачем мастеру понадобился пин код для ремонта?
Как он мог зайти в банковское приложение, если у него отдельный код?
На Samsung есть специальный режим ремонта без доступа к персональным данным
Понадобился. Полагаю, чтобы зайти в настройки. Я, как и, думаю 99% пользователей смартфонов, недостаточно квалифицирован, чтобы уверенно сказать "на этой модели смартфона при этой поломке пин-код не нужен, я лучше вас знаю, был бы паяльник - сам бы починил :-)". А вот про банковское приложение - это уже "мой вклад", пароль такой же, как и на смартфон (да, ССЗБ).
Так можно не указывать электронную почту для восстановления
Нужно вернуться к самой базе теории инфосека. Есть три важных качества информации:
Конфиденциальность
Целостность
Доступность
И есть угрозы для каждого из этих качеств, с разным ущербом. Например, личная коллекция порно с карликами-пожарными, если человек ее утратит (нарушена целостность) - он переживет. Но если вдруг все узнают что он, зам преседателя совета министров республики Уганда, смотрит такое порно - это будет неловко. В этом случае, человеку выгоднее пожертвовать целостностью (увеличить риски на нее), чтобы выиграть в конфиденциальности.
С семейным фотоархивом наоборот. Он никому не нужен. Человек может его все-таки закрыть паролем, но если даже его "вскроют" и найдут фото с дня рождения бабушки... это терпимо. Зато вот потерять его было бы очень неприятно. Нам очень дорога целостность ресурса, но мы готовы жертвовать конфиденциальностью.
Так вот, разработчик не может знать за пользователя, что там будет за информация, какого рода и какие риски для нее наиболее опасны.
Защита должна быть
1) Как минимум - Четко понятна пользователю (и не из этого непонятного поста на хабре, где автор поста может быть ошибся, может быть имеет не полную информацию, может быть даже намеренно врет или что-то преувеличивает, а может быть идеально точно описал, но это устарело неделю назад), а из официального надежного источника. Если при регистрации пользовател думает, что "ну номер тел у меня не украли, коды я никому не говорил, значит я в безопасности" (и как видим - ошибается), значит, это требование не выполняется.
2) Как максимум - настраиваема пользователем. Где-то пароль "qwerty123" БЕЗ 2FA - это идеальная защита (потому что не забудешь и не потеряешь второй фактор)
Что до аргумента с криптокошельком, то возможно, что хозяин кошелька не считает, что его кошелек с 20 баксами будут серьезно атаковать. Ему важно восстановление доступа. К тому же, восстановление доступа тоже требует каких-то усилий, проверок, и для хозяина кошелька схема восстановления может быть вполне подходящая. Если человек потерял доступ к кошельку, лучше чтобы кошелек оказался в некотором уязвимом состоянии, когда его легко может восстановить хозяин и (с большим трудом, сложно, но может) - взломщик. Тогда у хозяина есть хоть какие-то шансы восстановить доступ (против варианта без восстановления, когда шансов нет).
А нельзя как-то почту понадёжней защитить?
Регулярно сталкиваюсь с ситуациями, когда сразу у МНОЖЕСТВА пользователей уводят ящики на сервисе, который создал браузер "Амиго". И это очень похоже на слив баз с паролями, потому что уводят только у тех, кто по 5-9 лет не менял пароль в почте. Когда я это осознал, стал везде менять пароли раз в год-полтора.
Чемодан-вокзал-Баку.
Тьфу, то есть VPS-Docker-Mailserver.
Альтернатива. Если спамблок на сервере не нужен.
А, если домен сопрут?
У poste.io есть спамблок.
Вроде, только в платном?
Но не важно. Дело в том, что когда свой сервер есть, то лучший спамблок - это иметь отдельный адрес на каждый сервис. И общее правило, что письма на все незарегистрированные адреса пересылать на один секретный адрес. Тогда, если на какой-то ящик начинает сыпаться спам, то просто этот ящик добавляем в негр-лист, и нет спама.
За счёт этой практики я например точно знаю, что адреса из Госуслуг 4 года назад попали спамерам, а с тех пор вроде не попадали. И кстати на адреса root@, postmaster@, abuse@ спам вообще не шлют - видимо, совсем нулевая конверсия.
Точно так же использую разные ящики под разные конторы уже много лет. Знаю, что у издательства Питер была утечка, на тот адрес часто идёт спам.
В бесплатном. Платный дает возможность работы с логами в интерфейсе и, что самое полезное на мой взгляд, дает возможность создавать администратора домена. У меня 4 таких сервера работает и пока не было такого чтоб жить не мог без их платных фич. Как обстоят дела с мониторингом у Docker-Mailserver?(статистика отправлено/получено на домен/ящик)
Пароли вполне могли утечь из какого-нибудь другого места, где человек регистрировался с этим адресом. Или через фишинг.
Да, есть множество людей, у которых пароль от почты используется и в других местах.
Т.е. вы на полном серьезе считаете, что маил и прочие до сих пор хранят открытые пароли, а не хэши от них?
Я больше верю в то, что это множество пользователей использовало простые пароли, для которых хэши уже посчитаны десятилетие назад. А если хэш не посчитан и не соотнесен с секретом, то утечка хэша от секрета мало полезна злоумышленнику, ибо придется также брутфорсить этот самый хэш, пусть и достаточно быстро (если говорить об одном пароле длиной до 10 символов). И вот вопрос, заморочится ли злоумышленник брутфорсом ради возможно бесполезного мыла, или таки найдет кучу других жертв с просчитанным хэшами паролей?..
Т.е. вы на полном серьезе считаете, что маил и прочие до сих пор хранят открытые пароли, а не хэши от них?
Какая разница, если хеши несоленые?
Однажды мне во время аудита встретился такой сервис. Но это был сервис, который недавно запущен (даже сложно сказать, завершена ли разработка или это они на "черновике" летают и деньги зарабатывают), делался маленькой командой, и в целом - среднего уровня. Я не думаю, что для майлру настолько нелепая ситуация возможна.
У того же яндекса есть второй фактор.
В первую очередь Яндекс хочет заполучить номер телефона. Новый аккаунт без номера телефона даже не даст зарегистрировать.
У Яндекса своя собственная поделка для 2FA - приложение для телефона Яндекс.Ключ. Нет поддержки стандартного алгоритма TOTP и аппаратных ключей.
Так что, я бы не стал приводить в пример Яндекс.
Аппаратные ключи работают вполне, так же, как и во ВКонтакте. Я passkey при помощи Yubikey (Security Key Series - FIDO2/WebAuthn and FIDO U2F) подключил и проверил (во ВКонтакте работает уж точно). Правда, не обошлось без "танцев с бубном": на компе не подключалось, подключил на смартфоне Samsung Galaxy через кабель OTG. И на компьютере теперь вполне работает себе.
А как подключается аппаратный ключ к аккаунту? В настройках безопасности есть только "пароль + одноразовый пароль", и это работает только через их приложение Я.Ключ. То есть нужно ставить какое-то отдельное приложение для аутентификации, привязанное к смартфону. Я не могу просто добавить аппаратные ключи или активировать TOTP в настройках аккаунта, как сделано у всех остальных, Яндекс хочет, чтобы я установил их приложение-аутентификатор на смартфоне. В чём тогда смысл?
А как подключается аппаратный ключ к аккаунту?
Сейчас заглянул. Они WebAuthn приделали. Так что соответствующие ключи, по итде, должны подходить.
Они это назвали "Вход по лицу или отпечатку на устройстве". У меня активируется расширение Bitwarden если эту штуку включить и предлагает создать passkey для сохранённого в нём аккаунта. Работает точно так же как с Google-аккаунтами. А вот как добавить несколько YubiKey ключей, которые будут работать с любым устройством, например, не понятно.
У меня активируется расширение Bitwarden если эту штуку включить
По идее, если ОС поддерживает - будет работать без расширения и там можно уже выбирать, откуда ключ брать - из локального(возможно, синхронизируемого между устройствами) хранилища или с внешнего аппаратного ключа?
В общем, довольно кривой механизм с точки зрения UX. При "добавлении ключа" на винде активируется сначала расширение Bitwarden. Если его закрыть, открывается другой диалог где есть два пункта на выбор: "Windows Hello или внешний электронный ключ" и "Использовать телефон, планшет...". Если выбрать первый пункт, то винда предлагает добавить отпечаток пальца. Если закрыть этот диалог, активируется уже какой-то механизм браузера, который предлагает использовать подключенный аппаратный ключ, но сначала надо создать PIN-код. Это всё выглядит просто как набор костылей каких-то, особенно когда переход к другому способу активируется через закрытие предыдущего диалога. Но я так понимаю, это реализация WebAuthn так криво сделана by design.
Я помню как добавлял ключи для Bitwarden, просто жмешь кнопку "добавить ключ", прикладываешь палец к ключу и готово - ключ добавлен и так несколько раз, чтобы добавить несколько ключей. И все эти ключи будут работать на любом устройстве с которого заходишь в аккаунт.
Если его закрыть, открывается другой диалог где есть два пункта на выбор: "Windows Hello или внешний электронный ключ" и "Использовать телефон, планшет...". Если выбрать первый пункт, то винда предлагает добавить отпечаток пальца.
Ну так это, кажется, потому что этот самый Hello не проиницилизирован. Если им пользуешься - там вылазит тот способ открытия связки ключей, как в Hello настроено.
Использовать Hello, в общем, имеет смысл. Особых недостатков у него не видно. А стандартные логин/пароль оставить как резервный способ входа. Правда, не помню, насколько его сейчас зарезали для локальных учеток.
По идее, если ОС поддерживает - будет работать без расширения
У него стоит битварден, и он тупо перехватывает запрос на себя. С учетом того что оно кросплатформенное - в его случае это наверное плюс. Потому что хранилища ОС - пока только внутри платформы синхронизируются
При закрытии окошка битвардена уже срабатывает штатное
в "регионах с дорогими sms":
А что это за регионы?
Россия, кстати, входит в этот список)
Не так давно знакомого также взломали, враг не мешкал и почту в настройках сразу поменял, а облачный пароль не стоял изначально. "Общение" с людьми идет, и некоторые уже даже хотят отправлять деньги. И единственный способ вернуть доступ к аккаунту - получить смс, а регион оказывается дорогой и премиума нет)
В этот раз получилось подарить премиум на аккаунт, чтобы дало доступ к смс. Но и в этом случае там была потом какая-то проблема, что нужно ждать N времени, чтобы попытаться отправить смс снова.
В общем, отсутствие облачного пароля - может привести к печальным последствиям, не пренебрегайте такой несложной рекомендацией по безопасности.
Россия, кстати, входит в этот список)
Нет.
Буквально в прошлом месяце я завершил все сессии и попытался залогиниться на смартфоне. Прислали SMS.
Немного не тот сценарий: когда все сессии завершены, это как раз тот вариант, когда смс пришлют без вопросов (это же почти тоже самое что и регистрация нового аккаунта). Дорогим регион становится, когда есть хоть одна залогиненная сессия (а она как раз обычно у злоумышленника). Если облачного пароля не было, то плохой человек его установит и привяжет свою почту. Единственным вариантом восстановления остаётся - восстановление через смс, а ее не пришлют без премиума так как регион дорогой - круг замкнулся)
Увы, информации об этом в открытом доступе нет
Например, страны отправка OTP с СМС-кой дороже чем $0,3 https://cloud.google.com/identity-platform/pricing
в "регионах с дорогими sms":
Я же правильно понимаю что эта процедура запускается в случае если при попытке входа - пользователь (или хакер) в регионе с дорогими смс находится? Или номер должен принадлежать региону с дорогими смс?
Вот допустим Россия у нас с дорогими а Казахстан - нет. Пользователь А - регистрировался на Российский номер, пользователь Б - на Казахский. А теперь СМС получать не будет даже если он в роуминге в Казахстане а Б - будет даже если в Роуминге в России? Или в этом пример при нахождении в России - никто не будет а в Казахстане - оба?
А есть список регионов где такая параша происходит?
Ну как бы если взломали доверенный e-mail, то нечего уже плакать по телеге.
Двухфакторка через смс сделала людей ленивыми.
Кажется я что-то не понимаю, но разве можно в Telegram вообще заходить по email? Мне казалось, что только по номеру телефона, никогда не видел иных опций. Я даже в настройках не нашел, где можно email указать.
Тоже не припомню такой опции. И найти в настройках не удалось куда можно ввести свой Email (Я никогда не вводил)
Есть запрос на возможность входа по EMail в Telegram, но как я понимаю, такая фишка так и не реализована: https://bugs.telegram.org/c/858
Может автор мессендеры перепутал?
Не перепутал, Вы сможете убедиться в этом лично, если попробуете зарегистрировать аккаунт телеграм на зимбабвийский номер (я полагаю, что "дорогие смс" с точки зрения телеграм также во всех африканских странах, и во многих арабских).
Есть какте-то основания предположения что это касается " всех африканских странах, и во многих арабских"?
А то сверху пишут что РФ тоже в списке стран с "дорогими смс", но в интернетах тишина по этому поводу, а тут прям шок-новость что можно свой email к телеге привязывать и забыть про номер телефона.
Ездить по разным странам и таскать с собой кучу симок, и следить за их актуальностью - то ещё веселье...
Это только предположение, поскольку лично я тестировал только на зимбабвийском номере. Возникло предположение исходя из того, что в этих регионах действительно высокие цены на sms и звонки, со слов телефонистов, с которыми я общаля. Также, там сильно следят за нелегальной терминацией траффика, за счёт чего цены на телеком услуги остаются высокими.
А что будет? Если указать зимбабвийский номер, то не потребуется SMS-верификации для регистрации, и достаточно будет только емейла?
И найти в настройках не удалось куда можно ввести свой Email
Может автор мессенджеры перепутал?
Можно ввести если несколько раз при восстановлении пароля нажать что "не приходит смс", тогда Telegram предлагает ввести e-mail и высылает на него код подтверждения, после этого почта привязывается к аккаунту.
Собственно такое поведение и является вектором атаки.
Я совершенно случайно об этом узнал когда тестировал приложение работающее с Telegram через Telethon, по итогу меня разлогинило отовсюду (хорошо хоть не на основном аккаунте тестировал), во время многочисленных попыток зайти обратно мне и удалось привязать e-mail.
Хм, интересно...
Т.е. владелец взломанного аккаунта в статье специально нашёл эту незадокументированную фичу чтобы указать свой Email адрес для восстановления пароля прежде чем аккаунт был похищен?
Тут можно было уже писать новость что телеграмм предлагает возможность регистрироваться по Email'у, ибо про это нет информации даже на самом сайте телеграма.
А то у меня есть паксистанский номер на который зарегистрирована телега, но если номер протухнет, то доступ к аккаунту я потеряю.
Т.е. владелец взломанного аккаунта в статье специально нашёл эту незадокументированную фичу чтобы указать свой Email адрес для восстановления пароля прежде чем аккаунт был похищен?
мне кажется что на самом деле вектор атаки был именно в том, что на существующий аккаунт без e-mail привязали какой-то левый e-mail, потом с помощью каких-то манипуляций добились что Telegram "прибил" все активные сессии (что у меня получилось случайно сделать при работе с Telethon), а потом уже используя аутентификацию по e-mail зашли в аккаунт и начали там "хозяйничать".
А то у меня есть паксистанский номер на который зарегистрирована телега, но если номер протухнет, то доступ к аккаунту я потеряю.
вот можно такой трюк с привязкой к e-mail и попробовать провернуть, потому что мой тестовый аккаунт Telegram был привязан к неактивному номеру телефона, точной последовательности действий я уж не помню, но в итоге я в него залогинился используя e-mail.
В некоторых регионах telegram просит ввести e-mail сразу на этапе создания аккаунта
незадокументированную фичу
При установке облачного пароля, телега спрашивает почту. Уже пару лет как
Относительно недавно спрашивает почту либо аккаунт Гугла при регистрации (и вроде логине, но я не уверен) (в РФ)
То есть можно сменить пароль у любой учетной записи Телеграм, отказавшись получать SMS и указав свою электронную почту для получения кода?
То есть злоумышленник может вообще любой email привязать к вообще любому аккаунту? Это посерьезнее дыра будет, чем то, что в посте написано.
Мне мне кажется что не всё так плохо и просто номер знать недостаточно, нужно что бы был установлен пароль как второй фактор и злоумышленник должен его знать, но часто это не проблема (см. мой коммент выше).
Если у кого есть ненужный аккаунт, то можно протестировать, у меня, к сожалению, такой возможности нет.
У меня не получилось: заставляет вводить код из самого приложения Telegram на другом устройстве, даже СМС отказывается присылать.
вот только что зашел на https://web.telegram.org - Настройки - Privacy and Security - Two step verification и там указал recovery email. Вспомнил, почему сразу не указал - тогда подумал, что зачем мне recovery, когда пароль я не забуду - а кто-то вдруг за меня его захочет восстановить...
Но, почитав истории выше, подумал, что лучше я этот емейл сам заполню, чем кто-то другой за меня :)
Поддержу. У меня две симки на телефоне. На одной был зарегистрирован Телеграм, на другой не стал: "зачем мне". Однажды звонок на вторую симку, трубку поднял, но слушать не стал - цифры, насколько помню, какие-то называли. Сбросил звонок. А через несколько секунд приходит оповещение в Телеграм на первую симку, что я со второй зарегистрировал Телеграм тоже. Я бросился разблокировать, искать контакты мессенджера, чтобы сообщить о проблеме. В общем, через неделю удалось зарегистрировать аккаунт, которым до сих пор практически не пользуюсь. Но 2FA подключил и там и там. Только понимаю, что успокаиваться не стоит. Это как во Вторую мировую: враг подошёл к стенам города, а потом ушёл - повезло, мы победили, но на самом деле, мне кажется он победил: когда все дела сделал - притворился проигравшим :( Наблюдаю иногда поведение телефона, которое заставляет смириться с неизбежным в наши дни внешним контролем неопределённого круга лиц. Опять про прошлый век отвлекусь: была страшная болезнь "инфлюенца", что можно интерпретировать как внешнее злонамеренное влияние, люди гибли миллионами, а теперь это обычный "грипп" на который и внимания не обращают. А зарегистрировать на свои номера все соцсети не удастся, так и придётся жить с пониманием того, что кто-то вполне от твоего имени что угодно может делать. В Телеграме, насколько знаю, меньше сотни технических специалистов на настоящий момент - отсюда и часть проблем. В Фейсбуке, пока не запретили, похожие проблемы были: то и дело роботы выискивали нарушения, подавал апелляцию или как там, не всегда выигрывал, хотя нарушений, мне кажется, не было. Вот так выглядит "светлое будущее" с автоматизацией без участия "предвзятого" человека. Несколько не комфортно, мне кажется. Надеюсь, всё же в основном по теме высказался.
>>так и придётся жить с пониманием того, что кто-то вполне от твоего имени что угодно может делать.
я давно, когда только поиск по картинкам появился (ну или я о его существовании узнал), больше 10 лет уже назад, сделал поиск по своей ФБ фотке, и с удивлением обнаружил чужой аккаунт в Линкедине с нею.
И с этим тоже надо жить :)
3.Требуется ввести код с e-mail или войти через google аккаунт (этот шаг обязательный)
Это если заведен облачный пароль или привязан аккаунт гугл.
Наверняка, регистрируя аккаунт на номер сотового, вы ожидаете, что он будет ключом доступа в ваш мессенджер, поскольку так делают все популярные мессенджеры. Но, как видите, в случае с telegram это работает не всегда.
Вроде бы когда-то пытался на своей симке но другом устройстве, которого уже давно нет пытался поставить телегу.
Теперь сратая телега при попытке зарегаться высылает код на какое-то другое устрйоство, и на этом всё. Техподдержка разумеется всё игнорирует.
Можно удалить аккаунт же сначала
Чтобы удалит аккаунт в него надо сначала зайти, а зайти невозможно, код для зайти оно шлет в неизвестном направлении.
Можно ещё тут удалить
Удалить таки можно. (не через "зайденный" телеграм).
https://my.telegram.org/delete
Enter your number and we will send you a confirmation code via Telegram (not SMS).
Да, похоже, что так тоже нельзя. Кажется вспомнил: Еще в марте я специально пользовался этой функцией (на 100% не уверен в ссылке, но вряд ли на офсайте телеги их несколько) - как раз угнали аккаунт и пришлось удалить его. Хотя.... в то время я таки мог зайти с основным номером тел, просто взломщик (видимо, скриптом) каждые несколько секунд сбрасывал.... ну вот этих нескольких секунд мне один раз хватило чтобы войти и подсмотреть код.
Напоминаю о возможности регистрации в телеграм с помощью nft-номера на криптокошельке. Жаль что телега решила поспекулировать и больше не продает их свободно
Вообще использование ьелефонного номера, почнты и т.д. в качестве имени пользователя - это огромная уязвимость. А тут еще типичное ВКшное "сделаем десять разных процедур"
У телеграм еще есть процедуры входа в аккаунт с компа когда телефона нет (в принципе)
А что тогда использовать?
Отдельный логин, который никому, кроме пользователя, не известен. См. реализацию этого у Майкрософта (опциональный alias): https://habr.com/ru/articles/820569/comments/#comment_26918677
Пращуры в эпоху утеряных технологий использовали логин. Это такая уникальная строка, но не имейл или номер телефона, представляете? Концепция невероятно сложная, но можно попробовать осознать. Сейчас это не доступно современным пользователям, но тогда люди были с феноменальными памятью и IQ, они были способны этот самый логин запомнить или записать...
Людям с посредственной памятью достаточно пользоваться менеджером паролей и запомнить один мастер пароль.
Лучше раздавать 7-9 значные UIN'ы при регистрации ;)
username - это, конечно, хорошо, но надо ещё как-то пароль восстанавливать. Самый простой способ для пользователей оказался через почту/sms. Так зачем тогда нужен username если всё равно почту/телефон приходится привязывать, вот и получили, что login теперь это почта или номер телефона. А 2FA, коды восстановления и т. п. - это уже слишком сложно для большинства.
Тут одно из двух: либо безопасно, либо удобно. Люди выбирают удобство и простоту, а не безопасность, особенно там где это не особо критично (как им кажется).
В половине сервисов, где я зарегистрирован, я готов не привязывать имейл и, тем более телефон и не восстанавливать пароль, в случае чего.
Для всяких банков и госуслуг восстановление пароля должно быть исключительно с личной явкой, как по мне. Сброс пароля по смс, это самая лютая дичь, какую только можно пиидумать.
Люди выбирают удобство и простоту, а не безопасность
Не люди должны выбирать, а специалист по безопасности. Лечиться, почему-то к врачу ходят, а тут у нас кмждый суслик - агроном.
Для тех, кто хочет привязать email address к аккаунту Телеграм: неплохой способ уменьшить вероятность взлома email-a (100%-защиты, как известно, нет):
Нужен аккаунт на hotmail.com/outlook.com
Create an alias https://account.live.com/AddAssocId
Designate this alias as the primary alias at:
https://account.live.com/names/manage
then disable sign-in capability for the other aliases here:
https://account.live.com/SignInPreferences
You can still send and receive email from the old address. Do not use the new alias for anything except login.
When someone tries to login to your account, they will receive a message that the username does not exist. They can't hack your account if they don't even know your username.
Попытки взломать аккаунт (залогинится) по вашему основному email адресу ни к чему не приведут
Ха-ха, классный способ! :)
алиас даже на мейл ру есть
Причем гораздо удобнее, чем у Мелкософта. У Мелкософта в outlook дурацкое ограничение на создание 2 новых алиасов в неделю и 10 в год. И доменов меньше, чем у мейл ру
Для использования меил.ру надо максимально себя ненавидеть.
Для использования меил.ру надо максимально себя ненавидеть.
Вау, сколько пафоса. А можно поинтересоваться, что такого в меил.ру, что я должен себя ненавидеть?
Нет приватности. Нет уверенности, что завтра этот акк просто не отберут. Они сами сливают ваши акки спамерам. Реклама и слежка.
Ну да, ну да, маил ру такой ужасный, а всякие Гуглы с Мелкософтами белые и пушистые.
Вообще-то, то что вы перечислили, касается всех почтовых сервисов, кроме "самодельных"(свой домашний, рукотворный хост, почтовый сервер) Даже такой распиаренный, типа суперпупер приватный анонимный и конфиденциальный(Мамой клянусь) Proton Mail и тот прокололся: Proton Mail раскрыла данные пользователя... Что уж говорить за Google, который просто знает о вас ВСЕ и этим живет и зарабатывает. Так что уже можете начинать(по вашим же словам) "максимально себя ненавидеть."
Вас никто не заставляет под дулом пистолета выкладывать приватные данные почтовому сервису. Все пользователи почтовых сервисов, да собственно всех сервисов в интернете и в смартфонах, которые сами выкладывают о себе всю свою подноготную, ССЗБ(сами себе злобные буратины) Кто ж им самим виноват и чего тогда ныть о приватности и конфиденциальности. Соблюдайте цифровую гигиену. Не выкладывайте где попало свои персональные или чувствительные вам данные и на меил ру тоже и пользуйтесь ими на здоровье. И максимально любите себя.
В российских сервисах эти опасности выше.
А так да, пользуюсь ТОЛЬКО своим почтовым сервером уже лет 12.
В российских сервисах эти опасности выше.
И весомые доказательства вашему утверждению естественно есть. ;)
Все относительно. Вы небось в России живете и вам так. А я в дальнем забугре, мне наоборот.
В дополнение. Так как мне супостаты порушили карму, то я не могу часто отвечать в комментариях, не чаще раза в час(привет самому демократичному Хабру). Поэтому отвечаю ув. Kiborg777 на его вопрос ниже:
"Где можно прочитать об этом ограничении?"(ограничении почтовых алиасов у Мелкософта):
На реддите народ возмущался. Кто-то нарвался, спросил у Мелкософта и они ему ответили:
Это не так. Protonmail не выдал содерживое переписки, он выдал метаданные (вроде IP адреса). Никто не утверждал, что Protonmail - анонимный. Protonmail - конфиденциальный (end-to-end encryption), но не анонимный.
В отличии от mail.ru, где согласно российскому законодательству (хорошему или плохому - не мне обсуждать это, я не гражданин РФ и во внутренние дела чужой страны не лезу) соответствующие организации и лица могут получить доступ ко всему содержанию переписки "просто так".
Плюс достаточно веские подозрения, что mail.ru сливает данные третьим лицам
Такого нет даже у Гугла/Майкрософта, где о приватности даже никто не заикается, но все же данные аккаунтов они не сливают третьим лицам и неограниченного доступа к аккаунтам компетентным органам они не предоставляют (и не дают положительного ответа на все запросы подряд).
Для рекламы используют, это да (хотя я не вижу рекламу в своем Gmail-e даже без AdBlock-a, возможно потому, что я плачу за дополнительное место на Google Drive), но вот слива данных не просматривается. Практически ноль спама в засвеченной везде почте, которой больше 20 лет ( мой gmail аккаунт - один из первых, получил его через инвайт).
А на mail.ru аккаунт, который нигде не используется уже 10 лет (да и раньше почти нигде не использовался) спам сыпется, как проливной дождь. Кстати, я Yandex Mail такого нет, это особенность mail.ru, как мне кажется.
Где можно прочитать об этом ограничении?
Ну телеграм и так не показывает полный адрес электронной почты при восстановлении пароля
Давно так делаю - логин на почтовом сервере и публичный email не совпадают.
Можно сделать где угодно. На google - тоже работает.
Как это сделать в Гугле? Можно использовать точку (vasyapuplin@gmail.com / vasya.pupkin@gmail.com) но это не совсем то, что надо. Кроме того, логин будет работать как с точкой так и без точки.
Как сгенерировать еще один уникальный email (или просто user name), который будет alias-oм основного email-a и при этом логин по нему будет невозможен?
Консоль админгистратора -> Пользователи -> выбрать конкретного пользователя -> Дополнительные адреса (псевдонимы) электронной почты
В gmail можно использовать + если я правильно понял о чём вы.
username+some_string_12345_abcd@gmail.com
Это не подходит. Этот алиас не скрывает настоящий username@gmail.com
Для этого есть универсальный SimpleLogin, его можно использовать с gmail.
ещё проще угнать стилером сессию, которая валяется никак не защищённой в папке пользователя :)
Уж сколько раз твердили миру...
кмк, телега - очень перспективное в финансовом плане предприятие. Пока это так - скорее у гугла деньги кончатся, чем у телеги. Отдельные люди (даже многие) могут с этим не согласиться, но это не важно. Важно, чтобы были инвесторы, которые так считают.
Еще некоторое время назад в телеге вообще не было монетизации никакой. Сейчас уже есть. А в скором будущем, если они смогут относительно честно вписаться в законодательство и интегрировать крипту в телегу, Дуров станет "хозяином всех денег мира" (Представьте, что вы сделали свой альткоин, а приложение для удобных платежей им есть и в кармане человека, который покупает редиску на рынке, и в кармане продавца. Все им пользуются).
Заметил, что разные клиенты ТГ ведут себя по-разному: официальный пытается отправить сообщение на почту или по смс, клиент из F-Droid предпочитает отправлять коды в другие сессии.
За последние пол года вскрыли аккаунты как минимум двум моим знакомым. При этом для телеги был использован уникальный облачный пароль, а почта не была взломана.
Очередная проблема с плохой аутентификацией. На мой взгляд, проблема вообще в том, что люди пихают свою аутентификацию везде. Сделать ХОРОШУЮ аутентификацию - очень сложно. Мы вот видим, что Дурову получилось сделать хороший ВК, получилось сделать хорошую телегу, но даже у его команды не получилось сделать хорошую аутентификацию для нее.
Как я вижу Прекрасный Мир Будущего: Есть достаточно много разных сервисов аутентификации (примерно как сейчас можно входить через гугл, через фб, через госуслуги). Их все (многие) можно подключить по универсальным протоколам (oauth2, openid connect или даже через jwt. Или через какие-то другие протоколы будущего). У каждого сервиса свои особенности, свои плюсы-минусы. Например, госуслуги легко восстановить придя с паспортом в МФЦ - у гугла такой фишки нет.
А все прочие сервисы - просто подключают их. Не надо самому городить что-то! И не надо принуждать пользователей к своему видению прекрасного (у пользователя оно иное).
Не хочу я, чтобы какой-то левый сервис видел все мои связи. Тем более, чтобы одним не прекрасным днём лишил меня всех аккаунтов сразу
Не хочу я, чтобы какой-то левый сервис видел все мои связи.
Мордокнигой VK , я так понял, Вы не пользуетесь?
Так а у вас сейчас именно так. Если пользуетесь Oauth2 - то авторизация через сервис гугла, фейсбука или ВК. И он - знает все ваши связи. Ну тут есть хороший момент - Если вы, скажем, не доверяете кровавому ВК, зато доверяете эльфийскому гуглу - вы можете не использовать ВК, а использовать гугл. Или наоборот. То есть, и в моем варианте сервис будет не "левый", а самый лучший по вашему личному вкусу, по вашей личной линейке.
Если вы oauth2 не используете, а используете почту (для регистрации, логина и восстановления пароля или для входа через magic link) - то имеем те же яйца, вид сбоку. Какой-нибудь яндекс или протонмейл видит все ваши письма, может (технически) угнать все ваши аккаунты. Так что, те же самые яйца в одной корзинке, вид сбоку.
Разве что другая ситуация если у вас 250 разных почтовых ящиков на разных доменах, и вы на одном сайте зареганы с одного фейкового аккаунта на яндексе, скажем, на другом сайте - с другого с гугла, и так далее. И ни гугл, ни яндекс не могут легко в одной точке собрать все ваши аккаунты, зареганные через них. Вот тут да, такой ситуации нет. Но - точно такой же параноидальный метод можно использовать и в схеме, которую я выше предложил.
Ну так я не использую oauth2 для входа куда-либо, помимо самого гугла.
Через почту мой аккаунт можно угнать на считанном количестве кривых сайтов. И я не вижу, при каких условиях Яндекс или Гугл начнут именно угонять мои аккаунты. К тому же это, со всей очевидностью, преступление.
А вот лишить меня доступа к другим ресурсам, заблокировав мой аккаунт в их сервисе - запросто, ичсх, имеют полное право, согласно своим условиям предоставления сервиса.
Через телефон можно угнать намного больше, но, опять же, не вижу, с какой целью оператор будет угонять мои аккаунты, а просто так лишить меня номера нельзя, если я за него регулярно плачу. К сожалению, большинство сайтов с регистрацией по СМС не предоставляют другого варианта, поэтому и oauth тут бесполезен.
Обратите внимание: при oauth гугл или кто ещё знает о каждом моём посещении сайта. При регистрации через почту - знает только о самом факте регистрации, но не знает об активности. Это я и имел в виду под "видел все мои связи"
Часть пользователей Telegram в опасности