Como é que a verificação em duas etapas protege os dados dos utilizadores no Telegram

Tendo em conta a insatisfação de muitos clientes com a verificação de um fator baseada no código SMS, os criadores do famoso mensageiro adicionaram o segundo fator de verificação de identidade. Neste artigo, vamos falar sobre a verificação em dois passos no Telegram e a sua fiabilidade em termos de segurança da informação dos clientes.  

Dois fatores de segurança de dados

Até abril de 2015, um utilizador podia iniciar sessão no sistema introduzindo um código recebido na mensagem de texto. Ao mesmo tempo, a proteção adicional contra o início de sessão não autorizado não existia. Desta forma, os intrusos podiam intercetar uma mensagem enviada para o telemóvel de um cliente e ter acesso às suas conversas. Apesar de não terem sido registados casos em massa deste tipo de pirataria, os programadores liderados por Pavel Durov decidiram eliminar esta possibilidade.   Devido à implementação da verificação em duas etapas no Telegram, hoje um utilizador pode definir uma palavra-passe adicional que pode ser introduzida no caso de abrir uma aplicação num novo dispositivo. Além disso, a verificação por SMS efectuada na primeira fase de início de sessão no sistema mantém-se.     O login em duas etapas é realizado da seguinte maneira:

1. Ao fazer login no aplicativo fornecido, um cliente insere seu número de telefone.
2. Além disso, ele recebe uma mensagem de texto com um código de verificação que é necessário para ser inserido no campo correspondente.
3. Se estiver correto, um cliente verá um campo para inserir sua senha (ele escolhe uma combinação de símbolos na fase de registro por si mesmo).
4. Em caso de combinação correcta, o utilizador tem acesso à sua página.

 

A verificação em dois passos é útil quando se trata de pirataria de contas?

À primeira vista, a inovação dada é muito útil para o armazenamento seguro de informações nos servidores do Telegram. No entanto, como a prática mostrou, ainda há uma possibilidade de invasão de conta, mesmo apesar de dois fatores de verificação. Então, aqui está como isso funciona:

1. Um intruso introduz o número de telefone da sua vítima e envia um pedido de autenticação.
2. A vítima recebe um código de verificação que se torna conhecido por um intruso (uma possibilidade da interceção de SMS é que um hacker penetre no suporte técnico de um operador de rede móvel).
3. Um intruso introduz os números recebidos e obtém acesso à página de introdução da palavra-passe.
4. A pretexto de esquecimento, um intruso carrega na ligação correspondente "Esqueceu-se da palavra-passe?" e recebe uma notificação de envio de um código de recuperação para um endereço de e-mail que foi indicado aquando do registo.
5. Como um intruso não tem oportunidade de entrar na conta de correio eletrónico da sua vítima, carrega numa ligação "Tem problemas em aceder ao seu correio eletrónico?", mencionando que tem problemas com
6. O sistema oferece-lhe a possibilidade de efetuar uma redefinição completa da conta, apagando todas as conversas. O pirata informático aceita estas condições e obtém acesso à conta da sua vítima, bem como a possibilidade de enviar mensagens em nome dela.

    De facto, para neutralizar a segurança em dois passos, basta conhecer o código SMS enviado para o número de telefone da vítima. A diferença está no resultado final. Neste caso, um hacker tem acesso a uma página vazia, enquanto a pirataria de segurança de um fator permite ler todas as conversas.  

Casos de redefinição de conta de personalidades bem conhecidas

Em abril de 2016, ocorreu a pirataria praticamente simultânea das contas do Telegram pertencentes a Georgy Alburov (Fundação Anti-Corrupção) e Oleg Kozlovskiy (organização sem fins lucrativos "Vision of Tomorrow"). É interessante que um acesso não autorizado às suas páginas foi recebido como resultado da desativação da opção de receção e envio de SMS nos smartphones de Alburov e Kozlovskiy. Além disso, os representantes de um operador de rede móvel (MTS) declararam que a sua equipa de apoio técnico não tinha desativado os serviços nos números de telefone indicados e que os problemas de comunicação tinham sido causados por um ataque de vírus.   Três meses mais tarde, um jornalista russo, Sergey Parkhomenko, teve um problema semelhante. De acordo com a sua versão, recebeu as mensagens de texto com os números de verificação. Ao tentar entrar no seu perfil, o jornalista foi convidado a iniciar sessão, como se estivesse a visitar o serviço pela primeira vez. Ao abrir a sua conta, Sergey descobriu que esta tinha sido reiniciada e que todo o histórico de mensagens tinha sido apagado. Assim, mesmo a verificação em dois passos não se revelou útil, porque os piratas informáticos tinham conseguido obter os dados necessários de um operador de rede móvel.  

Instruções passo a passo para configurar a verificação em duas etapas no Telegram

Se quiser que o sistema solicite tanto o código SMS como uma palavra-passe quando iniciar sessão numa aplicação a partir de algum dispositivo novo, é necessário realizar o seguinte procedimento:

1. Entre nas definições e seleccione a opção "Privacidade e segurança"
2. Depois é preciso encontrar a linha "Two-StepVerification" numa subsecção chamada "Segurança" e clicar nela. Além disso, existe também a secção "Sessões activas" uma linha abaixo. Será útil se quiser ver todas as sessões e fechar as que foram abertas noutros dispositivos conforme a necessidade.
3. Além disso, será aberta uma página com o campo de introdução da palavra-passe. É desejável que a combinação que escolher contenha os números e os símbolos com maiúsculas e minúsculas. [caption id="attachment_830" align="aligncenter" width="670"] Ativar a autenticação de dois factores. Passos 1-3  
4. Depois de introduzir a sua palavra-passe, é necessário confirmá-la para eliminar erros.
5. Para o proteger do esquecimento, o serviço oferece-lhe uma dica de palavra-passe que orientará os seus pensamentos na direção certa e ajudará a lembrar a combinação de símbolos necessária.
6. A próxima etapa inclui a inserção do seu endereço de e-mail, que é necessário para realizar o procedimento de recuperação de senha. Pode saltar este passo mas deve lembrar-se que é a única forma de entrar no sistema no caso de não se conseguir lembrar da combinação inicial mesmo com a ajuda de uma dica de palavra-passe. [caption id="attachment_831" align="aligncenter" width="670"] Ativar a autenticação de dois factores. Passos 4-6  
7. Em seguida, um link será enviado por e-mail para confirmar as alterações. Clique neste link e você verá uma mensagem notificando que a verificação em duas etapas está ativada para a conta fornecida.

  Essa instrução é apropriada para todas as plataformas do Telegram. Para garantir que as novas configurações tenham efeito, você precisa tentar fazer login em um mensageiro de algum outro dispositivo. Se o sistema solicitar uma palavra-passe depois de introduzir o código SMS, isso significa que a autenticação funciona corretamente.  

Opção adicional "Código de acesso"

A seção "Código de acesso" apareceu em uma das últimas atualizações do Telegram para iOS e Android. A opção fornecida permite configurar a segurança para fazer login em um aplicativo. O código pode conter tanto uma combinação simples de 4 números quanto uma mais complicada contendo letras e outros símbolos.   A realização de tal segurança é suficientemente flexível. Um utilizador pode ativar a opção de pedido de código em cada troca de Telegrama ou activá-la apenas se necessário, clicando num ícone especial que se assemelha a um cadeado. A última variante é muito útil no caso de deixar temporariamente o seu telefone fora de mão e existir a possibilidade de as suas conversas ficarem disponíveis para um estranho.   Além disso, existe também a possibilidade de configurar um temporizador de bloqueio automático que bloqueará uma aplicação e solicitará um código em caso de inatividade durante um determinado período de tempo. O sistema permite ativar um bloqueio em 1 e 5 minutos ou 1 e 5 horas.    

Resposta dos programadores

Conforme explicado por Pavel Durov, não houve problemas com a segurança do messenger. Além disso, ele atribuiu a culpa pela pirataria da aplicação à empresa MTS. No entanto, a equipa de apoio desactivou temporariamente a possibilidade de redefinição do perfil ativo em caso de esquecimento da palavra-passe. Por outras palavras, Durov admitiu efetivamente a existência do problema e prometeu resolvê-lo o mais rapidamente possível de uma forma mais elegante.     Desde o final de agosto de 2016, a pirataria de contas ainda é possível: depois de receber o código SMS do cliente, um hacker pode redefinir o seu perfil sem utilizar uma palavra-passe de início de sessão. Dito de outra forma, a verificação em dois passos não funciona ou não é tão segura como os utilizadores do Telegram pretendem que seja.