Até recentemente, em nenhum lugar, exceto ao fazer login em uma conta, uma senha não era solicitada. As coisas mudaram quando adicionamos a capacidade de transferir um canal para outra conta e, hoje, transferir bots. Além disso, para a transferência, você deve atender aos critérios, por exemplo, ter 2FA habilitado e sentar-se com ele por 7 dias, não alterar a senha, etc., então você também precisa inserir novamente a senha ao transferir o status de proprietário do canal. E isso é ótimo!
Imagine minha surpresa quando decidi mudar o número do celular da minha conta principal. Siga as ações: entre nas configurações, clique em editar, toque no número, confirme a intenção, digite um novo número, digite o código que veio por SMS para o novo número , é isso ...
Algo está faltando ... De alguma forma muito simples ... Oh, sim, mas onde está 2FA como na transmissão de canal? Eu liguei! Ok, se eu não usasse!
E o que acontece. A pessoa que obteve acesso ao nosso dispositivo colocando o dedo / usando o seu rosto à força foi capaz de tirar sua conta completamente de você , sem a necessidade de saber a senha e acessar seu número antigo.
Agora ninguém pode entrar na conta.Depois de alterar o número, a pessoa fechou todas as sessões nos seus outros dispositivos, deixando apenas a que tirou. Você não pode entrar em sua conta, pois precisa de um código de um SMS para um número que você não conhece. O invasor não consegue fazer login de outro dispositivo, pois precisa de uma senha do 2FA, mas ele tem acesso à sua conta! Ele não precisa mais!
Obviamente, seria ótimo adicionar uma confirmação de senha ao alterar o número . O caso não só com a seleção forçada do telefone, mas também o cenário "deu uma postagem para uma pessoa ler" também vai privar todos da conta. Irá alterar o número e fechar todas as sessões, incluindo a ativa.
O Telegram possui mecanismos de exclusão de contas quando a operadora móvel transfere o número para outro proprietário, e o número acaba por ser registrado no 2FA. Enfrentei isso pessoalmente. Tive 7 dias para cancelar todo o procedimento. Para cancelar, você precisa inserir o código do SMS de um número ao qual eu não tinha mais acesso. Outra opção era mudar o número do telefone para outro. Acabei de transferir tudo daquela conta para outra ai ... foi deletada.
É claro que pedir a confirmação de um número antigo para mudar para um novo é uma má ideia. Ele mata soluções para diferentes casos de problemas. Sessões ativas e 2FA devem ser um fiador, e geralmente você precisa se afastar de telefones vinculados, mas até agora não há lugar nenhum ... A API do bot 5.0
acaba de ser atualizada! Muito interessante, um agradecimento especial por isso, mas além disso, a possibilidade de transferência de direitos para bots entre contas foi trazida à venda. E mesmo apesar de todo o controle ser através do BotFather'a (bot oficial), ele consegue solicitar 2FA ! Este tipo de botão embutido não está documentado . Quando pressionado, uma janela aparece com uma senha.
Captura de tela de uma janela pop-up em processo de transferência de direitos
Depois de examinar todos os tipos de casos, ver abordagens diferentes no Telegram, você pode perguntar a Pavel ( @durov ) sobre apenas uma coisa ... Vamos usar a confirmação 2FA não apenas ao inserir e alterar o proprietário de um bot / canal, mas também ao alterar um número de telefone e excluir uma conta .
Claro, o que podemos dizer sobre a possibilidade de excluir uma conta sem 2FA, quando ela ainda pode ser excluída renomeando a conta para "Mensagens salvas".
Vídeo com exclusão de conta ao renomear
Meu menor artigo, sem o habitual "obrigado por ler até aqui".
PS Não usamos ID Facial, scanners de impressão digital. Não armazenamos senhas em nossas cabeças. Gere aleatórios, armazene em gerenciadores de senha. Pelo menos alguma coisa, pelo menos de alguma forma. Nunca será ideal.
PSS Obrigado a Oleg por deletar duas contas para o material de vídeo deste artigo.