1) "Заставить" вы сами придумали. Люди вполне успешно теряют телефоны без какого-либо "заставить". А ещё телефоны воруют, что очень близко к вашему "заставить потерять". 2) Множество альтернативных клиентов с сомнительным доверием, но которыми таки пользуются. Это раз. Под всякие скайпы и вайберы трояны к Windows уже сто лет как существуют. Под современные -- Cloud Module и Lokibot. И ещё сотня, нагуглить которые не трудно. Технические ограничения обходятся, возможности кейлоггеров всем давно известны. И не забывайте, что исходники десктопного клиента открыты и не составит труда подменить текущее приложение изменённым, если на то получены права (через пользователя или уязвимостью повышения привилегий).

1) Ну то есть без кражи и потери устройства не взломать аккаунт? Да и про потере нужно просто кикнуть сессию с потерянного устройства, и все, проблем нет. 2) Если человек действительно переживает за свои данные, он не использует альтернативные клиенты, если использует, значит он умалишённый, я вам больше скажу, исходники всех клиентов открыты, но ничего такого всё ещё нет, и опять же, если человеку можно подсунуть неофициальный клиент как основной, то это его проблема, все клиенты можно скачать с официального сайта мессенджера В общем, самое страшное что прозвучало от вас, это физический доступ к телефону, это как "вор может войти в ваш дом/квартиру, если у него есть ключ, только в случае с телеграм, можно убить сессию на потерянном устройстве, тогда краденное устройство уже будет без аккаунта.

1) Я описал второй вариант. Офигенные у вас выводы. При потере нужно будет сим-карту восстанавливать и пока это сделаешь устройство могут найти. Не говоря уже о краже. 2) Если бы в Телеграм действительно заботились о безопасности, то таки TOTP бы реализовали, у которого проблем поменьше будет, если пользователь действительно захотел безопасности. Даже смышлённый человек может попасть на вирус при очередной дыре. На вашем месте я бы не был столь уверен, что "это его проблема", в условиях, когда уже придуманы более надёжные механизмы. > исходники всех клиентов открыты, но ничего такого всё ещё нет Удивительно, что ничего такого ещё нет, если озвученный мной вирус представлялся другими приложениями и таки воровал важные данные. Если вы захотели конкретно для Телеграмма и 2fa, то подождите пока доля Телеграмма вырастет. Тогда не столько для Whatsapp трояны будут.

Посмею заметить, что выше уже третий человек описал сброс аккаунта без ожидания в 7 дней, если почта не прикручена. Телеграмм даже без прикручивания почты считают это включённой двухфакторкой. Позже ещё раз проверю лично на новом мобильном номере текущую ситуацию, т.к. на запасном после очередной попытки это адекватно не сделать.

1) Нет, при потере не обязательно восстанавливать сим-карту, можно сменить номер, на котором зарегистрирован аккаунт, это делается очень быстро, через настройки в несколько кликов. 2) Ну вы можете привести пример взлома? Когда двухфакторка была взломана? А то вы пока только пустословите. То есть трояна нет который ворует двухфакторку, верно? Ну значит вы опять пустословите, сколько можно?

Третий? У вас кажется с математикой проблемы, люди которые беспокоятся за свой аккаунт ставят к двухфакторке почту, но я ещё узнаю как это работает.

1) Повторюсь. Как вы будете менять мобильный номер без восстановления сим, если активный Телеграм был только на телефоне, а телефон потерян/сворован. Или вы считаете, что прямо у всех пользователей подряд есть пекарня? 2) Двухфакторка была взломана 4 года назад. Вы уже в курсе. Это раз. О всех случаях я не знаю. Это два. Взлом других приложений троянами я вам привёл. Это три. С помощью троянов это технически возможно, даже если пока не столь популярно. На линукс дистрибутивы тоже "вирусов не было" до тех пор, пока в них зажигали 2.5 гика. Что мы видим сейчас? Сколько таких как вы ранее было?

> У вас кажется с математикой проблемы Это у вас проблемы, если не смогли понять, что я о "третьей стороне".

1) Слишком много "если", ещё раз, у людей которые используют мессенджер немного больше чем любой юзер есть запасные сессии, если запасных сессий нет, значит он не бережёт аккаунт. Не у всех есть ПК, а те, кто переживает за аккаунт делает себе запасную сессию. 2) Нет, не вижу, то что вы кидали — пустословие а не "взлом двуфакторки". Влом друиз приложений это влом лруих приложений, глевлом телеграм? С чего вы взяли чо пароль от двуфакторки лежит локально на устройстве? Ну раз это технически возможно, почему до сих пор ничего нет? Ну вот когда покажете трояны, тогда и поговорим, сейчас это пустословие, как и большая часть что вы пишите.

Третий человек, вы написали третий человек а не третья сторона. Тогда пишите без ошибок, чтоб вас понимали.

Мобильный номер есть небезопасный механизм, когда его 1) перевыпускает любая пешка в любом из салонов без какого-либо наказания; 2) блокирует оператор и номер остаётся свободным; 3) когда отбирают за неуплату через 3 месяца; 4) когда злоумышленники звонят ожидая перезвон и восстанавливают как будто СИМ вообще их; 5) когда с помощью уязвимости в SS7 могут получить и совершить что угодно; 6) когда купив устройство за 100-200 баксов, имитирующе фемтосоту или базовую станцию воруют контент из смс; 7) когда владелец условного Мегафона захочет ваш канал без палева отобрать. И никакая 2FA не поможет, т.к. хоть переписка и будет очищена, но аккаунт будет угнан. Любой ИБ-специалист вам скажет, что полагаться на безопасность мобильных номеров всё равно что доступы в сеть опубликовать.

2FA поможет, Telegram оповещает о попытке удалить аккаунт или зарегистрировать новый с номером привязанным к вашему аккаунту. В течении, вроде бы, 72 часов вы можете сменить номер привязанный к акку.

1) С вашей стороны тоже много "каждый делает". 2) "глевлом телеграм"? Там же, где и взлом линукс-дистрибутивов несколько лет назад. Пальцем показывать не собираюсь. > С чего вы взяли чо пароль от двуфакторки лежит локально на устройстве? Если бы вы начали думать, то поняли бы, что пароль от двухфакторки можно снять перехватывая нажатия клавиш, как это часто и делают. Или же социальной инженерией с отображением окна изменённого окна в приложении, как это делает вирус, который я уже называл при обсуждении выше. Предлогом может быть что угодно, хоть "Ваш аккаунт пытаются сбросить. Отменить?". Но нет, вы о подобном не можете подумать.

Третий кроме нас двух, да. Если вам это не совсем понятно, то хоть я и считаю высказывание выше корректным -- извиняюсь, русский не совсем родной мне язык.

Выше, кажется, уже провели эксперимент сброса аккаунта с включённым 2FA без почтового ящика. Сброс был удачным, доступ к аккаунту появился. Я пробовал с почтой и попал на ожидание в 7 дней. Ранее подобного не замечал и механизм был иным. Позже буду пробовать без почты, как Евгений.

Ну если я не прав почему взломов нет? Почему всё что вы пишите по вашему мнению только возможность, ни одного примера, кроме того, что был в 2016, и даже не взлом, почему сейчас не расспостронена проблема утери аккаунтов? Можете ответить? Уже линуксы начали проводить в пример, лучше покажите пример взлома двухфакторки не из 2016, тогда будет что обсудить, сейчас это чушь и ересь. Но чтоб это случилось, надо заставить пользователя написать это пароль, то есть воспроизвести, это тоже самое что прийти к нему домой с оружием и заставить сказать этот пароль, это бред, пользователь который беспокоится за свои данные, не ставит непонятный софт, а мамонтов которые оставляют данные своих карт на фишинг сайтах и так полно, если вы к этому клоните. Вы какую-то ахинею сейчас пишите, если человек добровольно говорит свой пароль то это проблема человека, при чём тут Telegram?

Пробуйте, чтоб хотя бы не быть голословным как в других своих словах.

Потому что Телеграм сейчас мало кому здался. Я вам уже ответил. Трояны, которые взламывают Whatsapp я уже называл. Вот вам ещё пример, если не верите -- https://www.anti-malware.ru/news/2020-02-27-111332/32081 Достать 2fa пароль от Телеграм на Windows технически проще, чем одноразовый пароль от Google Authenticator на Android. > надо заставить пользователя написать это пароль С каких там годов социальная инженерия существует? Хотите мне сказать, что она исключительно относительно хомяков работает? Ошибаетесь. > человек добровольно говорит свой пароль Переставайте перекручивать мои слова. Я не говорил, что человек должен "говорить" пароль. Узнать пароль могут внедрившись в память процесса Telegram и отобразив нативное окно с стилизацией Telegram, как это делает тот же вышеуказанный троян. Вижу, что уровень ИБ у вас крайне высок. Хотите сидеть в своём укромном безопасном мире с Телеграмом -- сидите, не буду мешать. Этот диалог с тупыми высказываниями и перекручиванием мне уже начинает надоедать.

Говорит человек, не различающий аутентификацию от авторизации.