最近まで、アカウントにログインする場合を除いて、パスワードは要求されませんでした。チャネルを別のアカウントに転送する機能を追加し、今日ではボットを転送する機能を追加すると、状況が変わりました。 2FAを有効にして7日間そのままにしておく、パスワードを変更しないなど、転送の基準を満たすだけでなく、チャンネル所有者のステータスを転送するときにパスワードを再入力する必要があります。そしてそれは素晴らしいです!
メインアカウントの携帯電話番号を変更することにしたときの驚きを想像してみてください。アクションに従ってください:設定に入り、編集をクリックし、番号をタップし、意図を確認し、新しい番号を入力し、SMSによって新しい番号に送信されたコードを入力しました、それだけです...
何かが足りない...どういうわけか単純すぎる...ああ、そうですが、チャネル送信のように2FAはどこにありますか?オンにしました!さて、私がそれを使わなかったら!
そしてそれが判明したこと。強制的に指を置いたり、顔を使ったりしてデバイスにアクセスした人は、パスワードを知らなくても、古い番号にアクセスすることなく、アカウントを完全に奪うことができました。
これで、誰もアカウントにログインできなくなります。番号を変更した後、その人は他のデバイスのすべてのセッションを閉じ、取り除いたセッションだけを残しました。 SMSから知らない番号へのコードが必要なため、アカウントにログインできません。攻撃者は2FAのパスワードが必要なため、別のデバイスからログインできませんが、あなたのアカウントにはアクセスできます。彼はもう必要ありません!
もちろん、番号を変更するときにパスワード確認を追加するのは素晴らしいことです。電話の強制的な選択だけでなく、「男性に読むための投稿を与えた」というシナリオも、すべての人のアカウントを奪います。数を変更し、アクティブなセッションを含むすべてのセッションを閉じます。
Telegramには、モバイルオペレーターが番号を別の所有者に転送したときにアカウントを削除するメカニズムがあり、番号は2FAに登録されていることが判明しました。個人的にこれに直面した。手続き全体をキャンセルするのに7日かかりました。キャンセルするには、アクセスできなくなった番号のSMSからコードを入力する必要があります。別のオプションは、電話番号を別のものに変更することでした。そのアカウントから他のaiにすべてを転送しました...削除されました。
古い番号を新しい番号に変更するために確認を求めるのは悪い考えであることは明らかです。さまざまな問題の解決策を殺します。アクティブなセッションと2FAは保証人である必要があり、通常はバインドされた電話からどこかに行く必要がありますが、これまでのところどこにもありません... Bot API5.0
が更新されました!非常にジューシーで、これに特に感謝しますが、これに加えて、アカウント間でボットへの権利を譲渡する可能性が売りに出されました。そして、すべての制御はBotFather(公式ボット)を介して行われますが、2FAを要求することができます!このタイプのインラインボタンは文書化されていません。押すと、ウィンドウがポップアップしてパスワードが表示されます。
権利を譲渡する過程でのポップアップウィンドウのスクリーンショット
テレグラムでさまざまなアプローチを見て、さまざまなケースを調べた後、Pavel(@durov)に1つだけ質問できます...ボット/チャネルの所有者を入力および変更するときだけでなく、電話番号を変更してアカウントを削除するときにも2FA確認を使用しましょう。
もちろん、アカウントの名前を「保存されたメッセージ」に変更することでアカウントを削除できる場合、2FAなしでアカウントを削除する可能性について何が言えますか。
名前を変更するときにアカウントを削除するビデオ
私の最小の記事なので、いつもの「ここまで読んでくれてありがとう」はありません。
PS Face ID、指紋スキャナーは使用していません。私たちは頭の中にパスワードを保存しません。ランダムなものを生成し、パスワードマネージャーに保存します。少なくとも何か、少なくともどういうわけか。それは決して理想的ではありません。
PSSこの記事のビデオ素材の2つのアカウントを削除してくれたOlegに感謝します。