Дальше будут оговорки. Тем не менее я думаю, что многие не ждут угрозы со стороны, о которой пойдёт речь. Начну издалека, но постараюсь быть кратким.
Ко мне обратился владелец взломанного telegram аккаунта с просьбой о помощи. В его аккаунт вошёл злоумышленник, завершил сессии на устройствах владельца, и начал играть в фишинг с его контактами. Выбросить злоумышленника из аккаунта не удалось, поскольку его сессия стала самой продолжительной, и он постоянно завершал все новые сессии. Также нельзя было удалить аккаунт, поскольку telegram "по причинам безопасности" не дал удалить аккаунт в текущий момент, а только лишь запустил таймер, который удалит аккаунт через 7 дней. К сожалению, лучшее, что можно было сделать оперативно - это предупредить контакты по не скомпрометированному каналу о том, что telegram был взломан.
Но мы решили провести небольшой анализ, чтобы понять, каким образом аккаунт был взломан и пришли вот к чему:
Стандартная процедура входа в telegram:
Требуется ввести код с telegram (на другом устройстве) или с sms/звонка (этот шаг обязательный)
Требуется ввести cloud пароль, если недоступен пароль - можно перейти к п.3
Требуется ввести код с e-mail или войти через google аккаунт (этот шаг обязательный)
Процедура входа в telegram через QR код:
Требуется отсканировать код (этот шаг обязательный)
Требуется ввести cloud пароль, если недоступен пароль - можно перейти к п.3
Требуется ввести код с e-mail или войти через google аккаунт (этот шаг обязательный)
Выше - скукотища, которую вы и так знаете. Дальше - интересно.
Процедура входа в telegram в "регионах с дорогими sms":
Требуется ввести код с e-mail, если e-mail недоступен - предлагает перейти к п.3
Требуется ввести cloud пароль, если недоступен пароль - можно перейти к п.4
Предлагает сменить e-mail через sms (доступно только для аккаунтов с telegram premium) или войти через google аккаунт (этот шаг обязательный)
Предлагает сменить cloud пароль через e-mail (этот шаг обязательный)
То есть, у telegram есть некий список регионов, в которых sms он отправляет неохотно. В этих регионах он делает это только в двух случаях:
При регистрации аккаунта
При смене e-mail, если вы оплатили premium
Наверняка, регистрируя аккаунт на номер сотового, вы ожидаете, что он будет ключом доступа в ваш мессенджер, поскольку так делают все популярные мессенджеры. Но, как видите, в случае с telegram это работает не всегда.
Если ваш e-mail взломали и вам посчастливилось жить в регионе "с дорогими sms", этого будет достаточно для того, чтобы попасть в ваш telegram, поскольку все необходимые коды можно получить просто на e-mail. Уверен, владельцы криптокошельков в telegram возрадуются этой новости вдвойне.
Будьте осторожны, и держите ваши данные в безопасности, вне зависимости от региона проживания.
Комментарии (126)
qeeveex
10.06.2024 01:53+6А нельзя как-то почту понадёжней защитить?
evgepet
10.06.2024 01:53+4Регулярно сталкиваюсь с ситуациями, когда сразу у МНОЖЕСТВА пользователей уводят ящики на сервисе, который создал браузер "Амиго". И это очень похоже на слив баз с паролями, потому что уводят только у тех, кто по 5-9 лет не менял пароль в почте. Когда я это осознал, стал везде менять пароли раз в год-полтора.
MountainGoat
10.06.2024 01:53+3Чемодан-вокзал-Баку.Тьфу, то есть VPS-Docker-Mailserver.
Альтернатива. Если спамблок на сервере не нужен.
ExTalosDx
10.06.2024 01:53А, если домен сопрут?
MountainGoat
10.06.2024 01:53+1Это, наверное, самое сложное, что можно спереть. Ну если не у гамадрилов регистрировать изначально. Гораздо больше вероятность, что сопрут вас.
dtkbrbq
10.06.2024 01:53У poste.io есть спамблок.
MountainGoat
10.06.2024 01:53+6Вроде, только в платном?
Но не важно. Дело в том, что когда свой сервер есть, то лучший спамблок - это иметь отдельный адрес на каждый сервис. И общее правило, что письма на все незарегистрированные адреса пересылать на один секретный адрес. Тогда, если на какой-то ящик начинает сыпаться спам, то просто этот ящик добавляем в негр-лист, и нет спама.
За счёт этой практики я например точно знаю, что адреса из Госуслуг 4 года назад попали спамерам, а с тех пор вроде не попадали. И кстати на адреса root@, postmaster@, abuse@ спам вообще не шлют - видимо, совсем нулевая конверсия.
Revertis
10.06.2024 01:53Точно так же использую разные ящики под разные конторы уже много лет. Знаю, что у издательства Питер была утечка, на тот адрес часто идёт спам.
dtkbrbq
10.06.2024 01:53В бесплатном. Платный дает возможность работы с логами в интерфейсе и, что самое полезное на мой взгляд, дает возможность создавать администратора домена. У меня 4 таких сервера работает и пока не было такого чтоб жить не мог без их платных фич. Как обстоят дела с мониторингом у Docker-Mailserver?(статистика отправлено/получено на домен/ящик)
konst90
10.06.2024 01:53+1Пароли вполне могли утечь из какого-нибудь другого места, где человек регистрировался с этим адресом. Или через фишинг.
Да, есть множество людей, у которых пароль от почты используется и в других местах.
alextrof94
10.06.2024 01:53Т.е. вы на полном серьезе считаете, что маил и прочие до сих пор хранят открытые пароли, а не хэши от них?
Я больше верю в то, что это множество пользователей использовало простые пароли, для которых хэши уже посчитаны десятилетие назад. А если хэш не посчитан и не соотнесен с секретом, то утечка хэша от секрета мало полезна злоумышленнику, ибо придется также брутфорсить этот самый хэш, пусть и достаточно быстро (если говорить об одном пароле длиной до 10 символов). И вот вопрос, заморочится ли злоумышленник брутфорсом ради возможно бесполезного мыла, или таки найдет кучу других жертв с просчитанным хэшами паролей?..
vvzvlad
10.06.2024 01:53+1Т.е. вы на полном серьезе считаете, что маил и прочие до сих пор хранят открытые пароли, а не хэши от них?
Какая разница, если хеши несоленые?
xenon
10.06.2024 01:53Однажды мне во время аудита встретился такой сервис. Но это был сервис, который недавно запущен (даже сложно сказать, завершена ли разработка или это они на "черновике" летают и деньги зарабатывают), делался маленькой командой, и в целом - среднего уровня. Я не думаю, что для майлру настолько нелепая ситуация возможна.
geher
10.06.2024 01:53+20в "регионах с дорогими sms":
А что это за регионы?
vegorich
10.06.2024 01:53+12Россия, кстати, входит в этот список)
Не так давно знакомого также взломали, враг не мешкал и почту в настройках сразу поменял, а облачный пароль не стоял изначально. "Общение" с людьми идет, и некоторые уже даже хотят отправлять деньги. И единственный способ вернуть доступ к аккаунту - получить смс, а регион оказывается дорогой и премиума нет)
В этот раз получилось подарить премиум на аккаунт, чтобы дало доступ к смс. Но и в этом случае там была потом какая-то проблема, что нужно ждать N времени, чтобы попытаться отправить смс снова.
В общем, отсутствие облачного пароля - может привести к печальным последствиям, не пренебрегайте такой несложной рекомендацией по безопасности.
dartraiden
10.06.2024 01:53Россия, кстати, входит в этот список)
Нет.
Буквально в прошлом месяце я завершил все сессии и попытался залогиниться на смартфоне. Прислали SMS.
vegorich
10.06.2024 01:53+1Немного не тот сценарий: когда все сессии завершены, это как раз тот вариант, когда смс пришлют без вопросов (это же почти тоже самое что и регистрация нового аккаунта). Дорогим регион становится, когда есть хоть одна залогиненная сессия (а она как раз обычно у злоумышленника). Если облачного пароля не было, то плохой человек его установит и привяжет свою почту. Единственным вариантом восстановления остаётся - восстановление через смс, а ее не пришлют без премиума так как регион дорогой - круг замкнулся)
ErkinPardayev
10.06.2024 01:53Например, страны отправка OTP с СМС-кой дороже чем $0,3 https://cloud.google.com/identity-platform/pricing
vikarti
10.06.2024 01:53+2в "регионах с дорогими sms":
Я же правильно понимаю что эта процедура запускается в случае если при попытке входа - пользователь (или хакер) в регионе с дорогими смс находится? Или номер должен принадлежать региону с дорогими смс?
Вот допустим Россия у нас с дорогими а Казахстан - нет. Пользователь А - регистрировался на Российский номер, пользователь Б - на Казахский. А теперь СМС получать не будет даже если он в роуминге в Казахстане а Б - будет даже если в Роуминге в России? Или в этом пример при нахождении в России - никто не будет а в Казахстане - оба?
tommytnt Автор
10.06.2024 01:53+2Это зависит от страны номера телефона, указанного в аккаунте. Например, отправлять sms на зимбабвийский номер телеграму дорого. Роуминг значения не имеет, т.к. расходы в этом случае ложатся на сотового оператора, IP адрес также значения не имеет.
vankadulapa
10.06.2024 01:53+1А есть список регионов где такая параша происходит?
tommytnt Автор
10.06.2024 01:53+1К сожалению, нигде эту информацию я не нашёл в открытом доступе, проверить можно только тестированием своего номера. К тому же, я думаю этот список постоянно меняется, в зависимости от того, насколько успешно сотрудники телеграма находят дешёвые маршруты для отправки.
SergeiMinaev
10.06.2024 01:53+8Двухфакторка через смс сделала людей ленивыми.
aamonster
10.06.2024 01:53+7Особенно учитывая, что в большинстве случаев она сводится к однофакторке (по sms можно сбросить пароль).
Kristaller486
10.06.2024 01:53+18Кажется я что-то не понимаю, но разве можно в Telegram вообще заходить по email? Мне казалось, что только по номеру телефона, никогда не видел иных опций. Я даже в настройках не нашел, где можно email указать.
ZetaTetra
10.06.2024 01:53+2Тоже не припомню такой опции. И найти в настройках не удалось куда можно ввести свой Email (Я никогда не вводил)
Есть запрос на возможность входа по EMail в Telegram, но как я понимаю, такая фишка так и не реализована: https://bugs.telegram.org/c/858
Может автор мессендеры перепутал?
tommytnt Автор
10.06.2024 01:53Не перепутал, Вы сможете убедиться в этом лично, если попробуете зарегистрировать аккаунт телеграм на зимбабвийский номер (я полагаю, что "дорогие смс" с точки зрения телеграм также во всех африканских странах, и во многих арабских).
ZetaTetra
10.06.2024 01:53Есть какте-то основания предположения что это касается " всех африканских странах, и во многих арабских"?
А то сверху пишут что РФ тоже в списке стран с "дорогими смс", но в интернетах тишина по этому поводу, а тут прям шок-новость что можно свой email к телеге привязывать и забыть про номер телефона.Ездить по разным странам и таскать с собой кучу симок, и следить за их актуальностью - то ещё веселье...
tommytnt Автор
10.06.2024 01:53Это только предположение, поскольку лично я тестировал только на зимбабвийском номере. Возникло предположение исходя из того, что в этих регионах действительно высокие цены на sms и звонки, со слов телефонистов, с которыми я общаля. Также, там сильно следят за нелегальной терминацией траффика, за счёт чего цены на телеком услуги остаются высокими.
xenon
10.06.2024 01:53А что будет? Если указать зимбабвийский номер, то не потребуется SMS-верификации для регистрации, и достаточно будет только емейла?
kmosolov
10.06.2024 01:53+4И найти в настройках не удалось куда можно ввести свой Email
Может автор мессенджеры перепутал?
Можно ввести если несколько раз при восстановлении пароля нажать что "не приходит смс", тогда Telegram предлагает ввести e-mail и высылает на него код подтверждения, после этого почта привязывается к аккаунту.
Собственно такое поведение и является вектором атаки.
Я совершенно случайно об этом узнал когда тестировал приложение работающее с Telegram через Telethon, по итогу меня разлогинило отовсюду (хорошо хоть не на основном аккаунте тестировал), во время многочисленных попыток зайти обратно мне и удалось привязать e-mail.
Пруф ZetaTetra
10.06.2024 01:53+3Хм, интересно...
Т.е. владелец взломанного аккаунта в статье специально нашёл эту незадокументированную фичу чтобы указать свой Email адрес для восстановления пароля прежде чем аккаунт был похищен?Тут можно было уже писать новость что телеграмм предлагает возможность регистрироваться по Email'у, ибо про это нет информации даже на самом сайте телеграма.
А то у меня есть паксистанский номер на который зарегистрирована телега, но если номер протухнет, то доступ к аккаунту я потеряю.
kmosolov
10.06.2024 01:53+4Т.е. владелец взломанного аккаунта в статье специально нашёл эту незадокументированную фичу чтобы указать свой Email адрес для восстановления пароля прежде чем аккаунт был похищен?
мне кажется что на самом деле вектор атаки был именно в том, что на существующий аккаунт без e-mail привязали какой-то левый e-mail, потом с помощью каких-то манипуляций добились что Telegram "прибил" все активные сессии (что у меня получилось случайно сделать при работе с Telethon), а потом уже используя аутентификацию по e-mail зашли в аккаунт и начали там "хозяйничать".
А то у меня есть паксистанский номер на который зарегистрирована телега, но если номер протухнет, то доступ к аккаунту я потеряю.
вот можно такой трюк с привязкой к e-mail и попробовать провернуть, потому что мой тестовый аккаунт Telegram был привязан к неактивному номеру телефона, точной последовательности действий я уж не помню, но в итоге я в него залогинился используя e-mail.
vcKomm
10.06.2024 01:53незадокументированную фичу
При установке облачного пароля, телега спрашивает почту. Уже пару лет как
Относительно недавно спрашивает почту либо аккаунт Гугла при регистрации (и вроде логине, но я не уверен) (в РФ)
brotchen
10.06.2024 01:53+3То есть можно сменить пароль у любой учетной записи Телеграм, отказавшись получать SMS и указав свою электронную почту для получения кода?
kmosolov
10.06.2024 01:53можно, но скорее всего для этого нужно знать пароль от 2ФА, но часто это не проблема, т.к. многие используют один и тот же пароль везде
Vilgelm
10.06.2024 01:53+4То есть злоумышленник может вообще любой email привязать к вообще любому аккаунту? Это посерьезнее дыра будет, чем то, что в посте написано.
kmosolov
10.06.2024 01:53Мне мне кажется что не всё так плохо и просто номер знать недостаточно, нужно что бы был установлен пароль как второй фактор и злоумышленник должен его знать, но часто это не проблема (см. мой коммент выше).
Если у кого есть ненужный аккаунт, то можно протестировать, у меня, к сожалению, такой возможности нет.
nidalee
10.06.2024 01:53+1У меня не получилось: заставляет вводить код из самого приложения Telegram на другом устройстве, даже СМС отказывается присылать.
tark-tech
10.06.2024 01:53+1Наверняка, регистрируя аккаунт на номер сотового, вы ожидаете, что он будет ключом доступа в ваш мессенджер, поскольку так делают все популярные мессенджеры. Но, как видите, в случае с telegram это работает не всегда.
Вроде бы когда-то пытался на своей симке но другом устройстве, которого уже давно нет пытался поставить телегу.
Теперь сратая телега при попытке зарегаться высылает код на какое-то другое устрйоство, и на этом всё. Техподдержка разумеется всё игнорирует.
Ratenti
10.06.2024 01:53Можно удалить аккаунт же сначала
tark-tech
10.06.2024 01:53Чтобы удалит аккаунт в него надо сначала зайти, а зайти невозможно, код для зайти оно шлет в неизвестном направлении.
xenon
10.06.2024 01:53Удалить таки можно. (не через "зайденный" телеграм).
https://my.telegram.org/delete
Aelliari
10.06.2024 01:53+1Напоминаю о возможности регистрации в телеграм с помощью nft-номера на криптокошельке. Жаль что телега решила поспекулировать и больше не продает их свободно
MiyuHogosha
10.06.2024 01:53+2Вообще использование ьелефонного номера, почнты и т.д. в качестве имени пользователя - это огромная уязвимость. А тут еще типичное ВКшное "сделаем десять разных процедур"
У телеграм еще есть процедуры входа в аккаунт с компа когда телефона нет (в принципе)
Revertis
10.06.2024 01:53А что тогда использовать?
Kiborg777
10.06.2024 01:53+1Отдельный логин, который никому, кроме пользователя, не известен. См. реализацию этого у Майкрософта (опциональный alias): https://habr.com/ru/articles/820569/comments/#comment_26918677
Dolios
10.06.2024 01:53+7Пращуры в эпоху утеряных технологий использовали логин. Это такая уникальная строка, но не имейл или номер телефона, представляете? Концепция невероятно сложная, но можно попробовать осознать. Сейчас это не доступно современным пользователям, но тогда люди были с феноменальными памятью и IQ, они были способны этот самый логин запомнить или записать...
engine9
10.06.2024 01:53Людям с посредственной памятью достаточно пользоваться менеджером паролей и запомнить один мастер пароль.
Kiborg777
10.06.2024 01:53+11Для тех, кто хочет привязать email address к аккаунту Телеграм: неплохой способ уменьшить вероятность взлома email-a (100%-защиты, как известно, нет):
Нужен аккаунт на hotmail.com/outlook.com
Create an alias https://account.live.com/AddAssocId
Designate this alias as the primary alias at:https://account.live.com/names/manage
then disable sign-in capability for the other aliases here:
https://account.live.com/SignInPreferences
You can still send and receive email from the old address. Do not use the new alias for anything except login.
When someone tries to login to your account, they will receive a message that the username does not exist. They can't hack your account if they don't even know your username.
Попытки взломать аккаунт (залогинится) по вашему основному email адресу ни к чему не приведут
alek0585
10.06.2024 01:53алиас даже на мейл ру есть
leon_shtuet
10.06.2024 01:53Причем гораздо удобнее, чем у Мелкософта. У Мелкософта в outlook дурацкое ограничение на создание 2 новых алиасов в неделю и 10 в год. И доменов меньше, чем у мейл ру
Revertis
10.06.2024 01:53+3Для использования меил.ру надо максимально себя ненавидеть.
leon_shtuet
10.06.2024 01:53Для использования меил.ру надо максимально себя ненавидеть.
Вау, сколько пафоса. А можно поинтересоваться, что такого в меил.ру, что я должен себя ненавидеть?
Revertis
10.06.2024 01:53+2Нет приватности. Нет уверенности, что завтра этот акк просто не отберут. Они сами сливают ваши акки спамерам. Реклама и слежка.
leon_shtuet
10.06.2024 01:53Ну да, ну да, маил ру такой ужасный, а всякие Гуглы с Мелкософтами белые и пушистые.
Вообще-то, то что вы перечислили, касается всех почтовых сервисов, кроме "самодельных"(свой домашний, рукотворный хост, почтовый сервер) Даже такой распиаренный, типа суперпупер приватный анонимный и конфиденциальный(Мамой клянусь) Proton Mail и тот прокололся: Proton Mail раскрыла данные пользователя... Что уж говорить за Google, который просто знает о вас ВСЕ и этим живет и зарабатывает. Так что уже можете начинать(по вашим же словам) "максимально себя ненавидеть."
Вас никто не заставляет под дулом пистолета выкладывать приватные данные почтовому сервису. Все пользователи почтовых сервисов, да собственно всех сервисов в интернете и в смартфонах, которые сами выкладывают о себе всю свою подноготную, ССЗБ(сами себе злобные буратины) Кто ж им самим виноват и чего тогда ныть о приватности и конфиденциальности. Соблюдайте цифровую гигиену. Не выкладывайте где попало свои персональные или чувствительные вам данные и на меил ру тоже и пользуйтесь ими на здоровье. И максимально любите себя.
Revertis
10.06.2024 01:53+1В российских сервисах эти опасности выше.
А так да, пользуюсь ТОЛЬКО своим почтовым сервером уже лет 12.
leon_shtuet
10.06.2024 01:53В российских сервисах эти опасности выше.
И весомые доказательства вашему утверждению естественно есть. ;)
Все относительно. Вы небось в России живете и вам так. А я в дальнем забугре, мне наоборот.
В дополнение. Так как мне супостаты порушили карму, то я не могу часто отвечать в комментариях, не чаще раза в час(привет самому демократичному Хабру). Поэтому отвечаю ув. Kiborg777 на его вопрос ниже:
"Где можно прочитать об этом ограничении?"(ограничении почтовых алиасов у Мелкософта):
На реддите народ возмущался. Кто-то нарвался, спросил у Мелкософта и они ему ответили:
Revertis
10.06.2024 01:53+2Вы небось в России живете и вам так.
Нет, конечно. Уже много лет в EU. И дело не в стране, а в отношении к юзерам. Именно у ВК/мылору оно очень отвратительное.
Kiborg777
10.06.2024 01:53+1Это не так. Protonmail не выдал содерживое переписки, он выдал метаданные (вроде IP адреса). Никто не утверждал, что Protonmail - анонимный. Protonmail - конфиденциальный (end-to-end encryption), но не анонимный.
В отличии от mail.ru, где согласно российскому законодательству (хорошему или плохому - не мне обсуждать это, я не гражданин РФ и во внутренние дела чужой страны не лезу) соответствующие организации и лица могут получить доступ ко всему содержанию переписки "просто так".
Плюс достаточно веские подозрения, что mail.ru сливает данные третьим лицам
Такого нет даже у Гугла/Майкрософта, где о приватности даже никто не заикается, но все же данные аккаунтов они не сливают третьим лицам и неограниченного доступа к аккаунтам компетентным органам они не предоставляют (и не дают положительного ответа на все запросы подряд).
Для рекламы используют, это да (хотя я не вижу рекламу в своем Gmail-e даже без AdBlock-a, возможно потому, что я плачу за дополнительное место на Google Drive), но вот слива данных не просматривается. Практически ноль спама в засвеченной везде почте, которой больше 20 лет ( мой gmail аккаунт - один из первых, получил его через инвайт).
А на mail.ru аккаунт, который нигде не используется уже 10 лет (да и раньше почти нигде не использовался) спам сыпется, как проливной дождь. Кстати, я Yandex Mail такого нет, это особенность mail.ru, как мне кажется.
Ratenti
10.06.2024 01:53Ну телеграм и так не показывает полный адрес электронной почты при восстановлении пароля
select26
10.06.2024 01:53+1Давно так делаю - логин на почтовом сервере и публичный email не совпадают.
Можно сделать где угодно. На google - тоже работает.Kiborg777
10.06.2024 01:53+1Как это сделать в Гугле? Можно использовать точку (vasyapuplin@gmail.com / vasya.pupkin@gmail.com) но это не совсем то, что надо. Кроме того, логин будет работать как с точкой так и без точки.
Как сгенерировать еще один уникальный email (или просто user name), который будет alias-oм основного email-a и при этом логин по нему будет невозможен?select26
10.06.2024 01:53Консоль админгистратора -> Пользователи -> выбрать конкретного пользователя -> Дополнительные адреса (псевдонимы) электронной почты
Kiborg777
10.06.2024 01:53Это только для Google for Workspace (с собственным доменом и $5/month per user/email address). Обычный Gmail такой возможности не предоставляет.
Wesha
10.06.2024 01:53+3Уж сколько раз твердили миру...
xenon
10.06.2024 01:53кмк, телега - очень перспективное в финансовом плане предприятие. Пока это так - скорее у гугла деньги кончатся, чем у телеги. Отдельные люди (даже многие) могут с этим не согласиться, но это не важно. Важно, чтобы были инвесторы, которые так считают.
Еще некоторое время назад в телеге вообще не было монетизации никакой. Сейчас уже есть. А в скором будущем, если они смогут относительно честно вписаться в законодательство и интегрировать крипту в телегу, Дуров станет "хозяином всех денег мира" (Представьте, что вы сделали свой альткоин, а приложение для удобных платежей им есть и в кармане человека, который покупает редиску на рынке, и в кармане продавца. Все им пользуются).
waytoroot
10.06.2024 01:53Заметил, что разные клиенты ТГ ведут себя по-разному: официальный пытается отправить сообщение на почту или по смс, клиент из F-Droid предпочитает отправлять коды в другие сессии.
Fon-Paulis
10.06.2024 01:53+1За последние пол года вскрыли аккаунты как минимум двум моим знакомым. При этом для телеги был использован уникальный облачный пароль, а почта не была взломана.
xenon
10.06.2024 01:53Очередная проблема с плохой аутентификацией. На мой взгляд, проблема вообще в том, что люди пихают свою аутентификацию везде. Сделать ХОРОШУЮ аутентификацию - очень сложно. Мы вот видим, что Дурову получилось сделать хороший ВК, получилось сделать хорошую телегу, но даже у его команды не получилось сделать хорошую аутентификацию для нее.
Как я вижу Прекрасный Мир Будущего: Есть достаточно много разных сервисов аутентификации (примерно как сейчас можно входить через гугл, через фб, через госуслуги). Их все (многие) можно подключить по универсальным протоколам (oauth2, openid connect или даже через jwt. Или через какие-то другие протоколы будущего). У каждого сервиса свои особенности, свои плюсы-минусы. Например, госуслуги легко восстановить придя с паспортом в МФЦ - у гугла такой фишки нет.
А все прочие сервисы - просто подключают их. Не надо самому городить что-то! И не надо принуждать пользователей к своему видению прекрасного (у пользователя оно иное).
RichardMerlock
Сделать пароль и TOTP строго обязательным и без возможности восстановления. Потерял - создавай новый акк.
1dNDN
Уверен, владельцы криптокошельков в telegram возрадуются этой возможности вдвойне.
knstqq
то есть лучше отдать кому-нибудь ваши средства из телеграма чем потерять их? ооооочень странная логика!
anar66
Здесь ведь не всегда стоит вопрос в "отдать" свои средства кому-то. Можно и просто потерять пароль, без посторонней помощи
lrrr11
то же самое, только без иронии. Технически, некастодиальный криптокошелек - это и есть сложный пароль без возможности восстановления. И лично я скорее поверю собственным мерам предосторожности, чем очередному доброму дяде с FTX.
Больше того, такая возможность у пользователей телеграма уже давно есть. Аутентификация виртуальных номеров (тех, которые куплены за крипту) производится именно при помощи криптокошелька. Правда цены сейчас кусаются, около 130 TON при курсе 7 долларов за штуку.
QDeathNick
Почему вы эти кошельки назовёте крипто? Они же не хранятся в блокчейне.
Aelliari
Тут нужно ввести ещё одно свойство, по которому можно разделить все криптокошельки. Они бывают кастодиальные (приватным ключом владеет третья сторона, с соответствующим набором рисков) и некастодмальным (приватным ключом владеете непосредственно вы сами).
С точки зрения работы с блокчейном и криптовалютами они одинаковы, но с точки зрения управления финансами и рисками - совершенно разные. Но за кастодиальным кошельком все ещё где-то должен быть спрятан некастодиальный кошелек для работы с криптовалютами, при чем он может быть общий для всех клиентов сервиса предоставляющего этот самый кастодиальный кошелек.
Примеры некастодиальных кошельков: bitcoin core, metamask, trust wallet, tonkeeper
Примеры кастодиальных кошельков:
аккаунты на binance, coinbase, телеграм бот @wallet,аккаунт биржи FTX...
P.S. Насколько можно считать кастодиальные кошельки - кошельками, вопрос для дискуссии. Лично я не рассматриваю их как что-то, что имеет право на такое название. Но это моё личное, субъективное мнение
yokotoka
Только вот есть не нулевая вероятность что прилетит обновление и ваш некастодиальный metamask, trust wallet, etc и даже, омг, аппаратный ledger внезапно становится кастодиальным, как сотню байтов переслать
Wesha
Не ставить обновление кто-то мешает?
NutsUnderline
Да нет, бред какой то ... :)
известно же что от случайных обновлений не спасает даже отсутствие этих обновлений.
powerman
Те, кто волнуется насчёт закладок в коде, текущем или в будущих обновлениях, имеют возможность использовать пару приложений: одно на устройстве без интернета имеющее доступ к приватным ключам кошелька и использующееся только для подписывания транзакций, и второе на устройстве с инетом/обновлениями но без доступа к приватным ключам, использующееся только для просмотра балансов и передачей транзакций "на подпись" второму устройству плюс выполнением подписанных вторым устройством транзакций. Но на практике это слишком неудобно, поэтому годится только для перевода раз в месяц крупных сумм на менее защищённые кошельки.
Тем не менее, все остальные варианты, хоть и менее надёжны, но не равны между собой: опенсорсному десктопному/мобильному некастодиальному кошельку доверия всё-равно намного больше, чем стороннему кастодиальному сервису (вроде биржи или
@walletв телеге). А вот где на этой шкале расположить браузерные Web3 плагины, пусть даже опенсорные и некастодиальные - сложно сказать, думаю где-то ближе к биржам.Суть в том, что нужно соблюдать баланс между безопасностью, возможностями и размером балансов (которые подвергаются рискам). Если в браузерном Web3 кошельке или
@walletникогда не лежит больше $50 - удобство вполне может перевешивать риски.QDeathNick
А при чём тут криптокошельки? В телеге не криптокошелёк. Это же как на бирже общий кошелёк для кучи аккаунтов и ваши средства "хранятся" на нём, а не на вашем личном кошельке. Нет даже гарантии, что у вас они есть, это просто запись в закрытой БД.
Aelliari
В телеге кастодиальный криптокошелек. Но, там ведь есть еще и TonSpace, внутри wallet. Вот он заявляется некастодиальным (я не знаю насколько правдиво это заявление), приватный ключ от которого находится под твоим непосредственным контролем, и даже импортируется в другие кошельки
QDeathNick
Кастодиальный кошелёк уже нельзя назвать криптокошельком, если он лишь запись в обычной БД и не мапится в блокчейн.
Я ещё понимаю, если в блокчейне есть кошелёк и он только ваш, а ключи как-то генерятся или даже хранятся на стороне кастодиана, это можно назвать кастодиальным криптокошельком.
Но в телеге, если я не ошибаюсь, просто обычная база данных, не блокчейн, вы даже не знаете адрес своего криптокошелька и при перевод ваших средств другому аккаунту не создаётся запись в блокчейне. При переводе на сторонний адрес в блокчейне уже создаётся транзакция в блокчейне и видно, что в "вашем" кошельке монеты многих пользователей.
Т.е. криптокошелёк не ваш. Ваша только запись в БД.
Вопрос философский, это моё мнение по этому вопросу, вы можете не согласится, и остаться при своём мнении, я спорить не буду.
RichardMerlock
Если логин в телегу является единственным ключом к кошельку, то там вообще что-то хранить опасно, только как транзитный кошель.
QDeathNick
Там вообще нет ключа, так как кошелёк в блокчейне общий для кучи аккаунтов.
nick00
Весь интернет и все сети и даже банки в интернете держатся на сотовых... Вы не представляете насколько это ужасно. Там ничего нельзя хранить. 1) Сотовый можно потерять. 2) У вас может быть несколько симок. Оператор требует платить за симку. Просто потому, что вам нужен доступ к аккаунту. Причем доступ в аккаунт часто не требует сим, а происходит автоматически. При смене устройства или утере потребуется сим. Тут обнаружится, что сим уже заблокирована. Может и вообще не быть доступа. Это всего полгода просрочку платежей за сим.
Главное: Оператор легко удалит ваш номер и все доступы на все сайты, просто потому, что вы не платили ему полгода. Его не интересует ваш паспорт. Всё безвозвратно потеряно. Даже деньги. Оператор крайне ненадёжен. Ничего не надо хранить в интернете. Вы можете... уехать в другую страну например на год. Всё будет потеряно.
Представьте, что за свой паспорт вы платите 200-500 руб каждый месяц. Если не платить 6 месяцев (у некоторых операторов), то паспорт просто сжигают. И всё, что к нему привязано: трудовую, диплом... Так делает оператор с вашим номером, ключом к важным сайтам. Это никого не волновало....
germanetz
'паспорт' не сжигают, а дают отлежаться в 'отстойнике' какое то время, а потом отдают новому владельцу!
Spaceoddity
Какая обтекаемая формулировка - "какое-то время")) А если не дают? Какой-то закон на этот счёт есть? А если завтра "база номерных ёмкостей" иссякнет - тоже отлеживаться будут давать?
В одну из моих телег так-то при мне как-то вошёл счастливый обладатель "нового телефонного номера"...
ogost
Это стандартная практика, номер "отлёживается" в "отстойнике" ~от 3х месяцев до ~двух лет (зависит от страны и оператора), после чего становится доступен для продажи. В большинстве стран этот срок устанавливается законодательно. В РФ, емнип, это закон "О связи".
У нас - да. Если какая-то серия номеров заканчивается, то оператор обращается к соответствующему органу и получает новую серию. Думаю, в РФ тоже примерно так.
AlexanderS
Я каждый год в начале года на все интересующие меня сервисы рассылаю обращения в ТП или формы предложений по улучшению о введении ТОТР. Везде обычно отписки, но если таких обращений было бы много, то может и заворочались бы. Ведь запилили ТОТР на госуслугах! Теперь я туда не пишу)
xenon
Напишите еще в банки чтобы к транзакциями разрешили использовать (и пополнять, и использовать общий) справочник организаций.
Вот я потратил 1230 рублей в ноябре в ИП Иванов. Что это было? Для налоговой, для ЦБ эти данные с названием лица, кодом терминала, ИНН - этого достаточно. А мне - нет. Я бы хотел чтобы один раз я ввел, что эта тразакция - "Магазин пива на Весенней, 12" - и все последующие транзакции мне пояснялись. А еще, чтобы если вы потом там купите пиво - чтобы у вас тоже было не ИП Иванов, а "Магазин пива на Весенней, 12".
inkelyad
Я вот не думаю, что это осмысленно.
Дело банка и его приложений - переводить деньги. А то что описано - делается в программе учета личных финансов, куда данные из банков, сканы чеков и прочее собираются.
asch2022
Банковские супераппы уже давно не только для перевода денег нужны
Dolios
Самое печальное, что тут, на хабре, полно народу, которые вещают: "а чо такого, удобно жеж".
xenon
Добавлю еще риск, который я не учитывал до недавнего времени. Поломка и ремонт телефона. У меня заблокирован телефон, это отчасти защищает от потери-кражи. Но когда из ремонта мне позвонили и спросили код.... ну пришлось дать, а как иначе?
А еще, нельзя чтобы пин-код разблокировки телефона совпадал с кодом входа в банковское приложение.
И у меня вроде бы все хорошо обошлось, деньги с карт никуда не ушли (все таки, мастер по ремонту - скорее мастер, а не мошенник). Но теоретически у него были все возможности чтобы войти в банковское приложение, посмотреть все мои операции (уже не очень хорошо) и списать все данные карты. А использовать данные карты он сможет уже через год, когда я про этот ремонт вообще забуду и все странности спишу на какие-то другие причины.
Ratenti
Так можно не указывать электронную почту для восстановления
xenon
Я бы предпочел наоборот - почту указывать, но не указывать телефон.
xenon
Нужно вернуться к самой базе теории инфосека. Есть три важных качества информации:
Конфиденциальность
Целостность
Доступность
И есть угрозы для каждого из этих качеств, с разным ущербом. Например, личная коллекция порно с карликами-пожарными, если человек ее утратит (нарушена целостность) - он переживет. Но если вдруг все узнают что он, зам преседателя совета министров республики Уганда, смотрит такое порно - это будет неловко. В этом случае, человеку выгоднее пожертвовать целостностью (увеличить риски на нее), чтобы выиграть в конфиденциальности.
С семейным фотоархивом наоборот. Он никому не нужен. Человек может его все-таки закрыть паролем, но если даже его "вскроют" и найдут фото с дня рождения бабушки... это терпимо. Зато вот потерять его было бы очень неприятно. Нам очень дорога целостность ресурса, но мы готовы жертвовать конфиденциальностью.
Так вот, разработчик не может знать за пользователя, что там будет за информация, какого рода и какие риски для нее наиболее опасны.
Защита должна быть
1) Как минимум - Четко понятна пользователю (и не из этого непонятного поста на хабре, где автор поста может быть ошибся, может быть имеет не полную информацию, может быть даже намеренно врет или что-то преувеличивает, а может быть идеально точно описал, но это устарело неделю назад), а из официального надежного источника. Если при регистрации пользовател думает, что "ну номер тел у меня не украли, коды я никому не говорил, значит я в безопасности" (и как видим - ошибается), значит, это требование не выполняется.
2) Как максимум - настраиваема пользователем. Где-то пароль "qwerty123" БЕЗ 2FA - это идеальная защита (потому что не забудешь и не потеряешь второй фактор)
Что до аргумента с криптокошельком, то возможно, что хозяин кошелька не считает, что его кошелек с 20 баксами будут серьезно атаковать. Ему важно восстановление доступа. К тому же, восстановление доступа тоже требует каких-то усилий, проверок, и для хозяина кошелька схема восстановления может быть вполне подходящая. Если человек потерял доступ к кошельку, лучше чтобы кошелек оказался в некотором уязвимом состоянии, когда его легко может восстановить хозяин и (с большим трудом, сложно, но может) - взломщик. Тогда у хозяина есть хоть какие-то шансы восстановить доступ (против варианта без восстановления, когда шансов нет).