Минутка безопасности: почему не стоит добавлять электронную почту для восстановления пароля в Telegram.
Как защищён ваш аккаунт в Telegram?
Создавая аккаунт, вы регистрируете его на номер телефона. Ввели номер телефона, на телефон пришло смс с кодом, ввели код в приложение — вошли. Из-за ужесточения политики Google, автоматический ввод кода из пришедшего смс уже невозможен, поэтому в сообщение добавляется специальная ссылка. Нажатие на ссылку открывает приложение и вставляет код (его больше не нужно вводить вручную).
При наличии активных сессий (например, выполнен вход на компьютере, с другого телефона или web-версии мессенджера) код для входа сначала придёт во все авторизованные клиенты, прежде чем можно будет запросить код через смс. Код устаревает, если попробовать его кому-то отправить, код приходит на все устройства, кроме нового — вы в любом случае узнаете о попытке входа.
Достаточно ли этого? Конечно, нет
Несколько раз в сети появлялась информация о случаях, когда кто-то запрашивал код к аккаунтам людей с активной гражданской позицией. И так уж совпадало, что некие технические проблемы у операторов мешали отправить смс по назначению — вместо этого код попадал в руки прочим заинтересованным лицам. Не будем обвинять операторов, может, где-то служат впечатляюще опытные провидцы. Ну, и сам протокол передачи СМС настолько старый, что первые страницы поисковиков по запросу “протокол ss7” говорят только про уязвимости и лёгкость взлома.
Что делать?
Скорее всего Telegram не хочет пугать домохозяек пугливых или обычных пользователей, с порога предлагая настроить двухэтапную авторизацию (да и много ли толка от пароля “пароль123”). Но если вас интересует ваша безопасность, то вам сюда: Настройки (Settings) — Конфиденциальность (Privacy and security) — Двухэтапная аутентификация (Two-step Verification). Здесь вы можете установить пароль, который Telegram будет запрашивать после того, как был успешно введён код из СМС.
Плюс: если ваш пароль не “hunter2”, а что-нибудь серьёзное, то можно не бояться взлома от людей, имеющих доступ к вашим смс.
Минус: если этот пароль забыть, то можно попрощаться с аккаунтом, всеми переписками и сохранёнными гифками его придется сбрасывать, и при этом иногда сбрасывается весь аккаунт. Подробная статья о восстановлении облачного пароля доступна досупна тут: Что делать, если забыл облачный пароль.
Для людей, которые хотят полной защиты, но приходят в ужас от потери аккаунта, во время установки пароля настойчиво рекомендуется указать электронную почту для восстановления. И даже кнопка “пропустить” пугает надписью, что почта – единственный способ восстановить аккаунт, если однажды не вспомнишь пароль.
Но если вы пользуетесь мессенджером для серьёзных дел, будь то деловая переписка или ведение крупных каналов, не добавляйте лишнюю уязвимость в свою жизнь. Почту можно взломать различными способами, и даже на уровне правительства люди всё ещё нажимают на ссылки “вас пытались взломать, нажмите сюда, чтобы восстановить пароль”. Иногда попытки взлома остаются незамеченными, иногда люди не замечают успешный взлом годами. Но одно дело — забыть пароль от Telegram и потерять аккаунт, другое — пытаться исправить последствия, если вашу почту успешно взломали, сменили пароль двухфакторной аутентификации и требуют выкуп. Примеры взломов аккаунтов с использованием почты для двухфакторной авторизации.
Оставайтесь с Telegram Info, мы поможем защитить ваш аккаунт от взломов, и научим использовать наш любимый мессенджер на полную.