🔓 О защищённости мессенджера Макс
Намедни трём разным людям отвечал на вопросы о Максе. Вопросы примерно одинаковые - опасно ли пользоваться, ворует ли он личные данные с телефона, обязательно ли устанавливать на отдельный телефон. Интересно, что все три ответа у меня - "нет" 😎
При этом о защите входа и общения эти люди не спрашивают. Потому что они об этом не знают ничего. Меня же наоборот эти вопросы интересуют в первую очередь!
🔢 Защита входа
Вы вводите номер телефона и получаете в SMS одноразовый код. Это наименее защищенная аутентификация - одноэтапная.
Upd. В середине сентября 2025 года в Макс добавили второй этап аутентификации в виде облачного пароля, по аналогии с Telegram.
Причём этап SMS вы контролируете слабо! Перевыпустить SIM-карту и получить доступ ко всей вашей переписке могут злоумышленники или силовики. От первых худо-бедно можно защититься в зависимости от оператора - кодовым словом, кодом подтверждения в почту, запретом действий по доверенности. Либо самозапретом на заключение договора.
Именно с истории о перевыпуске SIM на примере Telegram начиналась #классика блога про 2FA. Однако в Telegram вы не только получаете одноразовый код в активные сеансы (SMS только у премиума), но и можете задать известный только вам пароль. Это - двухэтапная аутентификация (2SV). И стыдно ее не включать!
📞 Защита переписки и звонков
В приличных мессенджерах должно быть оконечное шифрование (еnd-to-end, E2E encryption). При его правильной реализации никто кроме собеседников не может прочесть переписку или прослушать звонок путем перехвата коммуникаций.
У Макса такого шифрования нет 🙄 А это значит, что спецслужбам может даже и не понадобится перевыпускать SIM-карту.
Впрочем, E2E-шифрования нет и в обычных чатах Telegram, где вы все сидите :) Оно есть только в секретных чатах. И звонках - четыре эмодзи вверху должны совпадать с собеседником. У WhatsApp все чаты и звонки защищены E2E.
(Адептов теорий заговора, выкрикивающих страшные слова АНБ и бэкдор, отправляю смотреть любимый ролик :)
С учётом вышесказанного я не вижу смысла обсуждать, крадет ли Макс фотки ваших пыльных счетчиков воды и милых котиков 😺
Но есть еще один момент!
🖇 Интеграция с Госуслугами (ГУ)
При входе в ГУ мне внезапно предложили получать одноразовые коды в Макс. Первая реакция была: ахаха, теперь будет проще пересылать коды мошенникам :)
Но если серьезно, у меня в ГУ включена #2FA. То есть одноразовые коды не приходят в SMS, а генерируются в приложении. Это оптимальный уровень защиты входа в учетную запись ГУ. Лучше защищён лишь вход по сертификату [на ПК] - спасибо автору канала @ep_uc за уточнение.
Мне же предлагается променять двухфакторную аутентификацию на менее надежную двухэтапную с помощью Макса 🤦♂️
Вообще-то я ожидал интеграции ГУ и Макса на уровне входа в мессенджер с помощью учетной записи Госуслуг. Это уже вполне стандартная фича у государственных и не только сервисов. А если еще дадут отключить текущий одноэтапный вариант, такой вход станет вполне безопасным! Но пока мы видим другие приоритеты 🤷♂️
////
Моя мини-лекция о недостаточной защите входа и общения в национальном мессенджере в сравнении с аналогами неизменно заканчивалась встречным вопросом: так и что в итоге, можно Максом пользоваться или нет?!
Обычных людей скучные тонкости этапов аутентификации и аспектов шифрования не интересуют. А нас - должны ✌️
