Sampai saat ini, di mana pun, kecuali saat masuk ke akun, kata sandi tidak diminta. Banyak hal berubah ketika kami menambahkan kemampuan untuk mentransfer saluran ke akun lain, dan hari ini, mentransfer bot. Tidak hanya harus memenuhi kriteria untuk transfer, misalnya, untuk mengaktifkan 2FA dan duduk dengannya selama 7 hari, tidak untuk mengubah kata sandi, dll., Tetapi juga untuk memasukkan kembali kata sandi saat mentransfer status pemilik saluran. Dan itu bagus!
Bayangkan betapa terkejutnya saya ketika saya memutuskan untuk mengubah nomor ponsel di akun utama saya. Ikuti tindakan: masuk ke pengaturan, klik edit, ketuk nomor, konfirmasi niat, masukkan nomor baru, masukkan kode yang datang melalui SMS ke nomor baru , itu saja ...
Ada yang hilang ... Ini terlalu sederhana ... Oh, ya, tapi di mana 2FA seperti pada transmisi saluran? Saya sudah menyalakannya! Oke, jika saya tidak menggunakannya!
Dan ternyata. Orang yang mendapatkan akses ke perangkat kami dengan secara paksa meletakkan jari Anda di / menggunakan wajah Anda dapat sepenuhnya mengambil akun Anda dari Anda , tanpa perlu mengetahui kata sandi dan mengakses nomor lama Anda.
Sekarang tidak ada yang bisa masuk ke akun.Setelah mengubah nomor, orang tersebut menutup semua sesi di perangkat Anda yang lain, hanya menyisakan sesi yang diambilnya. Anda tidak dapat masuk ke akun Anda, karena Anda memerlukan kode dari SMS ke nomor yang tidak Anda kenal. Penyerang tidak dapat masuk dari perangkat lain, karena dia memerlukan kata sandi dari 2FA, tetapi dia memiliki akses ke akun Anda! Dia tidak membutuhkan lagi!
Jelas, akan sangat bagus untuk menambahkan konfirmasi kata sandi saat mengubah nomor . Kasusnya tidak hanya dengan pemilihan paksa telepon, tetapi juga skenario "memberi seseorang pos untuk dibaca" juga akan menghilangkan akun semua orang. Akan mengubah nomor dan menutup semua sesi, termasuk yang aktif.
Telegram memiliki mekanisme untuk menghapus akun ketika operator seluler mentransfer nomor tersebut ke pemilik lain, dan nomor tersebut ternyata terdaftar dengan 2FA. Menghadapi ini secara pribadi. Saya punya waktu 7 hari untuk membatalkan seluruh prosedur. Untuk membatalkannya, Anda perlu memasukkan kode dari SMS dari nomor yang tidak lagi saya akses. Pilihan lainnya adalah mengubah nomor telepon ke nomor lain. Saya baru saja mentransfer semuanya dari akun itu ke ai lain ... sudah dihapus.
Jelas bahwa meminta konfirmasi nomor lama untuk berganti ke nomor baru adalah ide yang buruk. Ini membunuh solusi untuk berbagai kasus masalah. Sesi aktif dan 2FA harus menjadi penjamin, dan Anda biasanya perlu pergi ke suatu tempat dari ponsel yang mengikat, tetapi sejauh ini tidak ada tempat ... Bot API 5.0 baru
saja diperbarui! Sangat menarik, terima kasih khusus untuk ini, tetapi selain itu, kemungkinan untuk mentransfer hak ke bot antar akun dibawa ke penjualan. Dan meskipun fakta bahwa semua kontrol melalui BotFather'a (bot resmi), ia berhasil meminta 2FA ! Jenis tombol sebaris ini tidak didokumentasikan . Saat ditekan, sebuah jendela muncul dengan kata sandi.
Tangkapan layar dari jendela pop-up dalam proses mentransfer hak
Setelah melihat semua jenis kasus, melihat pendekatan yang berbeda di Telegram, Anda dapat bertanya kepada Pavel ( @durov ) tentang hanya satu hal ... Mari gunakan konfirmasi 2FA tidak hanya saat memasukkan dan mengubah pemilik bot / saluran, tetapi juga saat mengubah nomor telepon dan menghapus akun .
Tentu saja, apa yang bisa kami katakan tentang kemungkinan menghapus akun tanpa 2FA, ketika masih bisa dihapus dengan mengganti nama akun menjadi "Pesan Tersimpan".
Video dengan menghapus akun saat mengganti nama
Artikel terkecil saya, oleh karena itu, tanpa ucapan "terima kasih sudah membaca sampai sini".
PS Kami tidak menggunakan ID Wajah, pemindai sidik jari. Kami tidak menyimpan kata sandi di kepala kami. Buat yang acak, simpan di pengelola kata sandi. Setidaknya sesuatu, setidaknya entah bagaimana. Itu tidak akan pernah ideal.
PSS Terima kasih kepada Oleg karena telah menghapus dua akun untuk materi video artikel ini.