Come la verifica in due passaggi protegge i dati degli utenti in Telegram

Considerando l'insoddisfazione di molti clienti per la verifica a un fattore basata sul codice SMS, gli sviluppatori del famoso messenger hanno aggiunto un secondo fattore di verifica dell'identità. In questo articolo parleremo della verifica in due passaggi in Telegram e della sua affidabilità in termini di sicurezza delle informazioni dei clienti.  

Due fattori di sicurezza dei dati

Fino ad aprile 2015, un utente poteva accedere al sistema inserendo un codice ricevuto nel messaggio di testo. Allo stesso tempo, non esisteva una protezione aggiuntiva contro gli accessi non autorizzati. In questo modo, gli intrusi potevano intercettare un messaggio inviato al telefono di un cliente e accedere alle sue conversazioni. Sebbene non siano stati registrati casi massicci di hacking di questo tipo, gli sviluppatori guidati da Pavel Durov hanno deciso di eliminare questa possibilità.   Grazie all'implementazione della verifica in due passaggi in Telegram, oggi un utente può impostare una password aggiuntiva da inserire in caso di apertura dell'applicazione su un nuovo dispositivo. Inoltre, rimane la verifica via SMS effettuata nella prima fase di accesso al sistema.     Il login in due fasi si svolge nel modo seguente:

1. Quando si accede a una determinata applicazione, il cliente inserisce il proprio numero di telefono.
2. Inoltre, riceve un messaggio di testo con un codice di verifica che deve essere inserito nel campo corrispondente.
3. Se il codice è corretto, il cliente vedrà un campo per inserire la sua password (sceglie una combinazione di simboli nella fase di registrazione).
4. In caso di combinazione corretta, l'utente ottiene l'accesso alla propria pagina.

 

La verifica in due passaggi è utile quando si tratta di hacking di account?

A prima vista, questa innovazione è molto utile per la memorizzazione sicura delle informazioni sui server di Telegram. Tuttavia, come ha dimostrato la pratica, c'è ancora la possibilità di hackerare l'account nonostante i due fattori di verifica. Ecco come funziona:

1. Un intruso inserisce il numero di telefono della sua vittima e invia una richiesta di autenticazione.
2. La vittima riceve un codice di verifica che diventa noto all'intruso (una possibilità di intercettazione dell'SMS è che un hacker penetri nel supporto tecnico di un operatore di rete mobile).
3. Un intruso inserisce i numeri ricevuti e ottiene l'accesso alla pagina di inserimento della password.
4. Con il pretesto di una dimenticanza, un intruso preme il link corrispondente "Password dimenticata?" e riceve la notifica dell'invio di un codice di recupero all'indirizzo e-mail indicato al momento della registrazione.
5. Non avendo la possibilità di accedere all'account di posta elettronica della vittima, l'intruso preme il link "Havingtrouble access your email?" e comunica di avere problemi con la posta elettronica.
6. Il sistema gli propone di effettuare un reset completo dell'account cancellando tutte le conversazioni. L'hacker accetta queste condizioni e ottiene l'accesso all'account della sua vittima, con la possibilità di inviare messaggi a suo nome.

    In realtà, per neutralizzare la sicurezza in due fasi è sufficiente conoscere il codice SMS inviato al numero di telefono della vittima. La differenza sta nel risultato finale. In questo caso, un hacker ha accesso a una pagina vuota, mentre con la sicurezza a un fattore è possibile leggere tutte le conversazioni.  

Casi di reset di account di personaggi noti

Nell'aprile 2016 si è verificato un hacking praticamente simultaneo degli account Telegram di Georgy Alburov (Fondazione anticorruzione) e Oleg Kozlovskiy (organizzazione non profit "Vision of Tomorrow"). È interessante notare che un accesso non autorizzato alle loro pagine è stato ottenuto in seguito alla disabilitazione dell'opzione di ricezione e invio di SMS sugli smartphone di Alburov e Kozlovskiy. Inoltre, i rappresentanti di un operatore di rete mobile (MTS) hanno dichiarato che il loro team di assistenza tecnica non aveva disabilitato i servizi sui numeri di telefono indicati e che i problemi di comunicazione erano stati causati da un attacco di virus.   Tre mesi dopo, un problema simile è capitato a Sergey Parkhomenko, un giornalista russo. Secondo la sua versione, ha ricevuto i messaggi di testo contenenti i numeri di verifica. Quando ha cercato di accedere al suo profilo, al giornalista è stato proposto di registrarsi, come se visitasse il servizio per la prima volta. Quando ha aperto il suo account, Sergey ha scoperto che era stato resettato e che l'intera cronologia dei messaggi era stata cancellata. Quindi, anche la verifica in due passaggi non si è rivelata utile, perché gli hacker sono riusciti a ottenere i dati necessari da un operatore di rete mobile.  

Istruzioni passo-passo per impostare la verifica in due passaggi in Telegram

Se si desidera che il sistema richieda sia il codice SMS che la password quando si accede a un'applicazione da un nuovo dispositivo, è necessario eseguire la seguente procedura:

1. Entrare nelle impostazioni e selezionare "Privacy e sicurezza"
.
2. Poi è necessario trovare la riga "Verifica in due passaggi" in una sottosezione chiamata "Sicurezza" e fare clic su di essa. Inoltre, una riga più in basso si trova la sezione "Sessioni attive". Sarà utile se si desidera visualizzare tutte le sessioni e chiudere quelle aperte su altri dispositivi, a seconda delle necessità.
3. Si aprirà inoltre una pagina con il campo di inserimento della password. È auspicabile che la combinazione scelta contenga numeri e simboli con lettere maiuscole e minuscole.
4. Dopo aver inserito la password, è necessario confermarla per eliminare gli errori.
5. Per proteggere l'utente da eventuali dimenticanze, il servizio offre la possibilità di indicare un suggerimento di password che guiderà i pensieri nella giusta direzione e aiuterà a ricordare la combinazione di simboli richiesta.
6. La fase successiva prevede l'inserimento dell'indirizzo e-mail, necessario per eseguire la procedura di recupero della password. Potete saltare questo passaggio, ma dovete ricordare che è l'unico modo per accedere al sistema nel caso in cui non riusciate a ricordare la combinazione iniziale anche con l'aiuto di un suggerimento di password.
7. Poi vi verrà inviato per e-mail un link per confermare le modifiche. Facendo clic su questo link, verrà visualizzato un messaggio che notifica l'abilitazione della verifica in due passaggi per l'account in questione.

  Queste istruzioni sono valide per tutte le piattaforme Telegram. Per assicurarsi che le nuove impostazioni abbiano effetto, è necessario provare ad accedere al messenger da un altro dispositivo. Se il sistema richiede una password dopo aver inserito il codice SMS, significa che l'autenticazione funziona correttamente.  

Opzione aggiuntiva "Codice di accesso"

La sezione "Passcode" è apparsa in uno degli ultimi aggiornamenti di Telegram per iOS e Android. Questa opzione consente di impostare la sicurezza per l'accesso a un'applicazione. Il codice può contenere sia una semplice combinazione di 4 numeri che una più complicata contenente lettere e altri simboli.   La realizzazione di tale sicurezza è abbastanza flessibile. L'utente può attivare l'opzione di richiesta del codice a ogni commutazione di Telegram o attivarla solo se necessario facendo clic su un'icona speciale che assomiglia a un lucchetto. Quest'ultima variante è molto utile nel caso in cui si lasci temporaneamente il telefono fuori mano e ci sia la possibilità che le proprie conversazioni siano accessibili a un estraneo.   Inoltre, è possibile impostare un timer di blocco automatico che blocca un'applicazione e richiede un codice in caso di inattività per un determinato periodo di tempo. Il sistema consente di attivare un blocco in 1 e 5 minuti o in 1 e 5 ore.    

Risposta degli sviluppatori

Come spiegato da Pavel Durov, non ci sono stati problemi con la sicurezza del messenger. Inoltre, ha attribuito la colpa dell'hacking dell'applicazione alla società MTS. Tuttavia, il team di supporto ha temporaneamente disabilitato la possibilità di ripristinare il profilo attivo in caso di password dimenticata. In altre parole, Durov ha ammesso l'esistenza del problema e ha promesso di risolverlo al più presto in modo più elegante.     Alla fine di agosto 2016, l'hacking dell'account è ancora possibile: dopo aver ricevuto il codice SMS del cliente, un hacker può resettare il suo profilo senza utilizzare la password di accesso. In altre parole, la verifica in due passaggi non funziona o non è sicura come gli utenti di Telegram vorrebbero.