2FA dans Telegram n'est pas partout où nous aimerions

Dans un premier temps, une autorisation supplémentaire, agissant comme un mot de passe, sert à protéger contre une entrée non autorisée dans le compte, lorsqu'un SMS avec un code d'autorisation a été intercepté ou un accès physique à la carte SIM a été obtenu.



Jusqu'à récemment, nulle part, sauf lors de la connexion à un compte, un mot de passe n'était pas demandé. Les choses ont changé lorsque nous avons ajouté la possibilité de transférer une chaîne vers un autre compte et, aujourd'hui, de transférer des robots. Non seulement il est nécessaire de répondre aux critères de transfert, par exemple, d'activer 2FA et de rester avec lui pendant 7 jours, de ne pas changer le mot de passe, etc., mais également de ressaisir le mot de passe lors du transfert du statut du propriétaire de la chaîne. Et c'est génial!



Imaginez ma surprise lorsque j'ai décidé de changer le numéro de mobile de mon compte principal. Suivez les actions: entré dans les paramètres, cliqué sur éditer, tapé sur le numéro, confirmé l'intention, entré un nouveau numéro, entré le code qui est venu par SMS au nouveau numéro , c'est tout ...







Il manque quelque chose ... C'est un peu trop simple ... Oh, oui, mais où est le 2FA comme dans la transmission par canal? Je l'ai allumé! D'accord, si je ne l'ai pas utilisé!



Et ce qu'il en résulte. La personne qui a accédé à notre appareil en mettant de force votre doigt sur / en utilisant votre visage a pu vous retirer complètement votre compte , sans avoir besoin de connaître le mot de passe et d'accéder à votre ancien numéro.



Désormais, personne ne peut se connecter au compte.Après avoir changé le numéro, la personne a fermé toutes les sessions sur vos autres appareils, ne laissant que celle qu'elle avait emportée. Vous ne pouvez pas vous connecter à votre compte, car vous avez besoin d'un code provenant d'un SMS vers un numéro que vous ne connaissez pas. L'attaquant ne peut pas se connecter depuis un autre appareil, car il a besoin du mot de passe de 2FA, mais il a accès à votre compte! Il n'en a plus besoin!



De toute évidence, ce serait tout simplement génial d'ajouter une confirmation de mot de passe lors du changement de numéro . L'affaire non seulement avec la sélection forcée du téléphone, mais aussi le scénario "a donné à un homme un message à lire" privera également tout le monde du compte. Changera le nombre et fermera toutes les sessions, y compris la session active.



Telegram dispose de mécanismes pour supprimer des comptes lorsque l'opérateur mobile a transféré le numéro à un autre propriétaire et que le numéro s'est avéré être enregistré auprès de 2FA. Face à cela personnellement. J'ai eu 7 jours pour annuler toute la procédure. Pour l'annuler, vous devez saisir le code du SMS d'un numéro auquel je n'avais plus accès. Une autre option était de changer le numéro de téléphone en un autre. Je viens de tout transférer de ce compte vers un autre ai ... il a été supprimé.



Il est clair que demander la confirmation d'un ancien numéro pour le remplacer par un nouveau est une mauvaise idée. Il tue les solutions à différents cas problématiques. Les sessions actives et 2FA devraient être un garant, et vous devez généralement vous éloigner de la liaison des téléphones, mais jusqu'à présent, il n'y a nulle part ... Bot API 5.0



vient d'être mis à jour! Très juteux, merci spécial pour cela, mais en plus de cela, la possibilité de transférer les droits sur les bots entre les comptes a été apportée à la vente. Et même malgré le fait que tout contrôle se fait via BotFather'a (bot officiel), il parvient à demander 2FA ! Ce type de bouton en ligne n'est pas documenté . Lorsqu'on appuie sur, une fenêtre apparaît avec un mot de passe.

Capture d'écran d'une fenêtre contextuelle en cours de transfert de droits




Après avoir examiné toutes sortes de cas, vu différentes approches dans Telegram, vous pouvez demander à Pavel ( @durov ) une seule chose ... Utilisons la confirmation 2FA non seulement lors de la saisie et du changement de propriétaire d'un bot / canal, mais également lors du changement d'un numéro de téléphone et de la suppression d'un compte .





Bien sûr, que dire de la possibilité de supprimer un compte sans 2FA, alors qu'il peut encore être supprimé en renommant le compte en «Messages enregistrés».



Vidéo avec suppression du compte lors du changement de nom




Mon plus petit article, donc, sans les habituels «merci d'avoir lu jusqu'ici».



PS Nous n'utilisons pas Face ID, scanners d'empreintes digitales. Nous ne stockons pas les mots de passe dans nos têtes. Générez des fichiers aléatoires, stockez-les dans des gestionnaires de mots de passe. Au moins quelque chose, du moins d'une manière ou d'une autre. Ce ne sera jamais idéal.



PSS Merci à Oleg d' avoir supprimé deux comptes pour le matériel vidéo de cet article.



All Articles