直到最近,无处不在,除非登录帐户,否则不需要输入密码。当我们增加了将频道转移到另一个帐户的功能,今天又转移了漫游器时,情况发生了变化。不仅如此,对于转移来说,您必须符合条件,例如启用2FA并使用7天,不要更改密码等,因此在转移频道所有者的状态时还需要重新输入密码。太好了!
想像一下当我决定更改主帐户上的手机号码时会感到惊讶。执行以下操作:进入设置,单击“编辑”,点击号码,确认意图,输入新号码,输入SMS附带的代码到新号码,就是这样...
缺少某些内容...某种程度上太简单了...哦,是的,但是2FA在信道传输中在哪里?我打开了它!好吧,如果我不使用它!
事实证明。通过强行将手指放在脸上或使用您的脸来访问我们的设备的人可以完全将您的帐户从您手中夺走,而无需知道密码并访问您的旧号码。
现在没有人可以登录该帐户。更改号码后,此人关闭了您在其他设备上的所有会话,只留下了他带走的会话。您无法登录帐户,因为您需要从SMS到未知号码的密码。攻击者无法从其他设备登录,因为他需要2FA的密码,但是他可以访问您的帐户!他不再需要了!
显然,在更改数字时添加密码确认会很棒。这种情况不仅与强制选择电话有关,而且“给一个人一个要看的帖子”的情况也将使每个人都失去帐户。将更改数量并关闭所有会话,包括活动的会话。
当移动运营商将该号码转移给另一个所有者,并且该号码原来已在2FA中注册时,电报具有删除帐户的机制。亲自面对。我有7天的时间取消整个过程。要取消它,您需要从SMS中输入我不再可以访问的号码中的代码。另一个选择是将电话号码更改为另一个。我只是将所有内容从该帐户转移到其他帐户中...它已被删除。
显然,要求确认旧数字以更改为新数字是一个坏主意。它会杀死针对不同问题案例的解决方案。活动会话和2FA应该是保证人,并且您通常需要摆脱绑定电话的问题,但是到目前为止,没有任何方法... Bot API 5.0
刚刚更新!非常多汁,对此特别感谢,但是除此之外,还可以在帐户之间转移到机器人的权利。即使所有控制都是通过BotFather'a(官方bot)进行的,它仍然可以请求2FA!没有记录这种类型的嵌入式按钮。按下时,会弹出一个带有密码的窗口。
权利转让过程中弹出窗口的屏幕截图
在查看了各种情况之后,在Telegram中看到了不同的方法之后,您可以仅询问Pavel(@durov)...让我们不仅在输入和更改漫游器/频道的所有者时使用2FA确认,而且在更改电话号码并删除帐户时也可以使用2FA确认。
当然,当仍然可以通过将帐户重命名为“已保存的邮件”来删除帐户时,我们可以说出删除不带2FA帐户的可能性。
重命名时带有删除帐户的视频
因此,我的最小文章没有通常的“感谢您阅读本文”。
PS我们不使用面部识别,指纹扫描仪。我们不会在头脑中存储密码。生成随机密码,并存储在密码管理器中。至少有一些东西,至少有某种原因。永远不会是理想的。
PSS感谢Oleg为本文的视频材料删除了两个帐户。