Представьте: злоумышленник знает ваш логин и пароль. Бывает из-за утечки данных, фишинга или других причин. Без двухфакторной аутентификации этого достаточно, чтобы войти в ваш аккаунт. С 2FA — нет. Ему понадобится ещё кое-что, чего у него нет: ваш телефон.
Двухфакторная аутентификация одна из самых эффективных мер защиты, доступных обычному человеку. По данным Google, включение 2FA блокирует 99,9% автоматизированных атак на аккаунты.
Дисклеймер: Данная статья создана исключительно в образовательных целях для защиты личных данных читателей. Все упомянутые приложения и сервисы являются общедоступными инструментами безопасности.
Что такое двухфакторная аутентификация
2FA (Two-Factor Authentication, двухфакторная аутентификация) — это дополнительный шаг при входе в аккаунт. После ввода логина и пароля система запрашивает второй «фактор» подтверждения.
Три типа факторов аутентификации:
- То, что вы знаете — пароль, PIN-код
- То, что у вас есть — телефон (для получения кода), физический ключ
- То, чем вы являетесь — отпечаток пальца, лицо
2FA объединяет два из трёх. Классический вариант: пароль + код из SMS или приложения. Даже если пароль украден, без второго фактора войти невозможно. Про пароли читайте здесь.
Почему SMS-коды небезопасны (но лучше, чем ничего)
SMS-коды самый распространённый вид 2FA. Они лучше, чем вообще никакой защиты, но имеют серьёзную уязвимость.
SIM-свопинг
Мошенник звонит оператору сотовой связи, представляется вами и сообщает, что «потерял SIM-карту». При наличии некоторых личных данных (имя, паспорт, последние звонки) оператор может переоформить номер на новую карту. С этого момента все SMS, включая коды 2FA, приходят мошеннику.
Это называется SIM-свопинг — метод, который использовался при взломах аккаунтов знаменитостей и крупных мошенничествах с криптовалютой.
Перехват в реальном времени
На фишинговом сайте вы вводите логин, пароль и код из SMS. Злоумышленник на другой стороне в реальном времени использует эти данные на настоящем сайте. Код действует 60-180 секунд — времени достаточно.
Вывод: SMS-2FA лучше, чем ничего. Но приложение-аутентификатор значительно надёжнее.
Приложения-аутентификаторы: как они работают
Приложение-аутентификатор генерирует одноразовые коды прямо на вашем телефоне. Без интернета, без SMS, без участия оператора связи.
Технология называется TOTP (Time-based One-Time Password). Код меняется каждые 30 секунд и привязан к конкретному аккаунту через секретный ключ, установленный при настройке. Даже если злоумышленник перехватит один код — через 30 секунд он устареет.
Главное преимущество перед SMS: коды генерируются локально на вашем устройстве. Нет SMS — нет перехвата. Нет оператора — нет SIM-свопинга.
Сравнение приложений-аутентификаторов
Google Authenticator
Самое известное приложение. Простое, работает без интернета. Доступно для iOS и Android.
Главный минус долгое время — отсутствие резервного копирования. В 2023 году Google добавил синхронизацию с Google-аккаунтом, что сделало переход на новый телефон проще. Если безопасность Google-аккаунта высокая — вполне надёжный вариант.
Authy
Authy удобнее для тех, кто использует несколько устройств: синхронизирует коды между телефоном и компьютером. Есть резервное копирование, защищённое паролем.
Минус: код приложения закрытый, независимый аудит затруднён.
Aegis Authenticator (только Android)
Открытый исходный код, локальное шифрованное хранилище, возможность резервного копирования зашифрованного файла куда угодно. Лучший выбор для пользователей Android, ценящих контроль над данными.
Raivo OTP (только iOS)
Аналог Aegis для пользователей iPhone. Открытый исходный код, синхронизация через iCloud.
Как включить 2FA: пошаговая инструкция
Принцип один и тот же для любого сервиса. Разберём на примере нескольких основных.
Google / Gmail
- Зайдите в myaccount.google.com
- Безопасность → Двухэтапная аутентификация → Начать
- Выберите «Приложение для аутентификации»
- Отсканируйте QR-код в приложении Aegis или Google Authenticator
- Введите код из приложения для подтверждения
- Сохраните резервные коды в надёжном месте
ВКонтакте
- Настройки → Безопасность → Подтверждение входа
- Подключить → выберите «Приложение для генерации кодов»
- Отсканируйте QR-код
- Подтвердите код
Telegram
- Настройки → Конфиденциальность и безопасность → Облачный пароль
- Установите пароль (это дополнительный пароль, не код из приложения)
- Укажите email для восстановления
Важно: Telegram использует другую схему 2FA — дополнительный пароль при входе с нового устройства, а не TOTP-коды. Всё равно включайте.
Банковские приложения
Большинство российских и армянских банков используют SMS-коды как 2FA. Это устроено на уровне банка и не всегда можно изменить. В некоторых банках (например, Тинькофф/Т-Банк) доступна более глубокая настройка безопасности — изучите настройки вашего банка.
Что делать, если потеряли телефон с аутентификатором
Это главный страх при использовании 2FA и он обоснован. Вот почему нужно позаботиться об этом заранее:
Резервные коды. При настройке 2FA большинство сервисов предлагают скачать или записать резервные коды. Это одноразовые коды для входа без телефона. Сохраните их в нескольких местах: напечатайте и уберите в безопасное место, сохраните в менеджере паролей.
Резервное копирование аутентификатора. Aegis позволяет создать зашифрованный бэкап всех ваших кодов и сохранить его в облаке или на другом устройстве. Authy синхронизирует автоматически.
Второй телефон. Если у вас есть старый телефон, настройте аутентификатор и на нём как резервный вариант.
Приоритетный список: на каких сервисах включить 2FA в первую очередь
- Основная почта (через неё восстанавливаются все другие аккаунты)
- Банки и финансовые сервисы
- Менеджер паролей (если используете)
- Telegram и WhatsApp
- Госуслуги
- Соцсети
- Рабочие аккаунты
Часто задаваемые вопросы
Что если сайт не поддерживает приложение-аутентификатор, только SMS?
Включайте то, что доступно. SMS-2FA лучше, чем отсутствие 2FA. По возможности обновляйте до приложения, когда сервис добавит эту опцию.
Нужно ли включать 2FA, если у меня сильный пароль?
Да. Пароль могут украсть через фишинг или утечку данных — не через взлом. 2FA защищает именно в этих случаях.
2FA замедляет вход в аккаунт — стоит ли оно того?
Дополнительные 10 секунд на ввод кода один раз в несколько дней — небольшая цена за радикальное повышение безопасности.
Что такое push-уведомления как 2FA?
Некоторые сервисы вместо кода отправляют push-уведомление на телефон: «Это вы пытаетесь войти? Подтвердить/Отклонить». Это удобно, но уязвимо к атаке MFA Fatigue — злоумышленник шлёт множество запросов подряд, пока уставший пользователь не нажмёт «Подтвердить». Всегда нажимайте «Отклонить» на запросы, которые вы не инициировали.
