حتى وقت قريب ، لم يتم طلب كلمة مرور في أي مكان ، باستثناء عند تسجيل الدخول إلى حساب. تغيرت الأمور عندما أضفنا القدرة على نقل قناة إلى حساب آخر ، واليوم ، نقل الروبوتات. ليس هذا فقط ، بالنسبة للنقل ، يجب أن تستوفي المعايير ، على سبيل المثال ، تمكين 2FA والجلوس معه لمدة 7 أيام ، وعدم تغيير كلمة المرور ، وما إلى ذلك ، لذلك تحتاج أيضًا إلى إعادة إدخال كلمة المرور عند نقل حالة مالك القناة. وهذا رائع!
تخيل دهشتي عندما قررت تغيير رقم الهاتف المحمول في حسابي الرئيسي. اتبع الإجراءات: انتقل إلى الإعدادات ، وانقر على تعديل ، واضغط على الرقم ، وتأكد من النوايا ، وأدخل رقمًا جديدًا ، وأدخل الرمز الذي جاء عن طريق الرسائل القصيرة إلى الرقم الجديد ، هذا كل شيء ...

هناك شيء مفقود ... بطريقة ما بسيطة للغاية ... أوه ، نعم ، ولكن أين 2FA كما هو الحال في إرسال القناة؟ لقد تم تشغيله! حسنًا ، إذا لم أستخدمه!
وماذا اتضح. الشخص الذي تمكن من الوصول إلى أجهزتنا عن طريق وضع إصبعك بالقوة على وجهك / باستخدام وجهك ، تمكن من أخذ حسابك بعيدًا عنك تمامًا ، دون الحاجة إلى معرفة كلمة المرور والوصول إلى رقمك القديم.
الآن لا أحد يستطيع تسجيل الدخول إلى الحساب.بعد تغيير الرقم ، أغلق الشخص جميع الجلسات على أجهزتك الأخرى ، ولم يتبق سوى الجلسة التي سلبها. لا يمكنك تسجيل الدخول إلى حسابك ، لأنك تحتاج إلى رمز من رسالة SMS إلى رقم لا تعرفه. المهاجم غير قادر على تسجيل الدخول من جهاز آخر ، لأنه يحتاج إلى كلمة مرور من 2FA ، لكن يمكنه الوصول إلى حسابك! لم يعد بحاجة إلى المزيد!
من الواضح أنه سيكون من الرائع إضافة تأكيد كلمة المرور عند تغيير الرقم . إن الحالة ليس فقط مع الاختيار الإجباري للهاتف ، ولكن أيضًا سيناريو "إعطاء منشور لشخص ليقرأه" سيؤدي أيضًا إلى حرمان الجميع من الحساب. سيتم تغيير الرقم وإغلاق جميع الجلسات ، بما في ذلك الجلسة النشطة.
لدى Telegram آليات لحذف الحسابات عندما قام مشغل الهاتف المحمول بنقل الرقم إلى مالك آخر ، وتبين أن الرقم مسجل في 2FA. واجهت هذا شخصيا. كان لدي 7 أيام لإلغاء الإجراء بأكمله. لإلغائها ، تحتاج إلى إدخال الرمز من الرسائل القصيرة من رقم لم يعد بإمكاني الوصول إليه. كان الخيار الآخر هو تغيير رقم الهاتف إلى رقم آخر. لقد قمت للتو بنقل كل شيء من هذا الحساب إلى ai الآخر ... تم حذفه.
من الواضح أن طلب تأكيد رقم قديم لتغيير رقم جديد فكرة سيئة. إنه يقتل الحلول لحالات المشاكل المختلفة. يجب أن تكون الجلسات النشطة و 2FA ضامنًا ، وتحتاج عمومًا إلى الابتعاد عن الهواتف الملزمة ، ولكن لا يوجد مكان حتى الآن ...
تم تحديث Bot API 5.0 للتو! مثير للغاية ، شكر خاص لهذا ، ولكن بالإضافة إلى ذلك ، تم طرح إمكانية نقل الحقوق إلى الروبوتات بين الحسابات للبيع. وعلى الرغم من حقيقة أن كل عمليات التحكم تتم من خلال BotFather'a (الروبوت الرسمي) ، إلا أنها تمكنت من طلب 2FA ! هذا النوع من الزر المضمن غير موثق . عند الضغط عليه ، تنبثق نافذة بكلمة مرور.
لقطة شاشة لنافذة منبثقة في عملية نقل الحقوق

بعد النظر في جميع أنواع الحالات ، ورؤية الأساليب المختلفة في Telegram ، يمكنك سؤال Pavel ( durov ) عن شيء واحد فقط ... لنستخدم تأكيد 2FA ليس فقط عند إدخال وتغيير مالك الروبوت / القناة ، ولكن أيضًا عند تغيير رقم الهاتف وحذف حساب .
بالطبع ، ماذا يمكننا أن نقول عن إمكانية حذف حساب بدون 2FA ، في حين أنه لا يزال من الممكن حذفه عن طريق إعادة تسمية الحساب إلى "الرسائل المحفوظة".
فيديو مع حذف الحساب عند إعادة التسمية
أصغر مقال لي ، بدون العبارة المعتادة "شكرًا لك على القراءة حتى هنا".
ملاحظة: نحن لا نستخدم Face ID وماسحات بصمات الأصابع. نحن لا نخزن كلمات المرور في رؤوسنا. إنشاء عشوائي ، تخزينها في مديري كلمات المرور. على الأقل شيء ما ، على الأقل بطريقة ما. لن تكون مثالية ابدا
PSS شكرًا لـ Oleg على حذف حسابين لمواد الفيديو الخاصة بهذه المقالة.