Двухфакторная аутентификация простыми словами

Двухфакторная аутентификация — едва ли не единственная настройка безопасности с наивысшим эффектом, которой большинство людей не пользуется. По опубликованным данным Microsoft, она блокирует более 99% автоматизированных захватов аккаунтов. Тем не менее у неё репутация чего-то неудобного — отчасти потому, что три распространённых варианта («SMS-код», «приложение-аутентификатор», «ключ безопасности») обсуждают так, будто они взаимозаменяемы. Это не так. Вот практическая версия.

Что реально делает 2FA

Пароли утекают постоянно. Дампы баз, фишинговые страницы, вредоносное ПО в браузере, повторное использование паролей — слишком много путей, по которым один из ваших паролей может оказаться в чьей-то таблице. 2FA добавляет вторую проверку, привязанную к тому, что вы имеете, а не только к тому, что знаете. Атакующему, укравшему ваш пароль, нужно ещё в реальном времени украсть и этот второй фактор на том же устройстве — это существенно сложнее.

2FA через SMS

Шестизначный код приходит SMS. Вы его вводите. Самый простой способ — потому что телефон есть у каждого; по этой же причине это нижний предел приемлемой безопасности: достаточно, чтобы остановить ботов credential stuffing, но уязвимо к SIM-swap-атакам (мошенник уговаривает оператора перевести ваш номер) и к тихому перехвату SMS в более слабых сетях.

Подходит для: низкоценных аккаунтов, куда вы не хотите ставить ещё одно приложение. Форумы, интернет-магазины, рассылки.

Не подходит для: почты, банков, госуслуг — всего, что управляет другими аккаунтами.

Приложения-аутентификаторы (TOTP)

Такие приложения, как Google Authenticator, 1Password, Bitwarden и Authy, генерируют новый шестизначный код каждые 30 секунд на основе секрета, хранящегося только у вас на устройстве. Никаких SMS, никакого оператора — коды работают офлайн. Фишинг, перехватывающий пароль и одиночный код, по-прежнему может сработать, но SIM-swap уже не актуален.

Совет по настройке: когда сайт показывает QR-код, сохраните рядом и текстовый seed (большинство аутентификаторов умеют его экспортировать). Если потеряете телефон без seed и резервных кодов, придётся сбрасывать каждый аккаунт с нуля.

Подходит для: почти всего. Большинство почтовых сервисов, соцсетей, криптобирж и инструментов разработчика поддерживают TOTP, и это бесплатно.

Ключи безопасности (FIDO2 / WebAuthn / passkey)

USB- или NFC-ключ (YubiKey, Titan, а в последнее время и «passkey», встроенные в брелок ключей iOS и Android), который криптографически подписывает запрос на вход. Главное — он привязан к домену сайта: фишинговая страница, выглядящая один в один с настоящей, просто не получит подпись. Это единственный распространённый метод 2FA, противостоящий хорошо сделанному фишингу.

Подходит для: основной почты, менеджера паролей, всего, что нельзя потерять. Купите два ключа; зарегистрируйте оба; один держите в ящике.

Где здесь временные номера

Временные SMS-номера отлично подходят для шага первоначальной регистрации, но не годятся для постоянной SMS-2FA — к моменту, когда понадобится получить код, номер уже вернётся в пул. Лучшая практика: зарегистрироваться с временного номера, сразу же настроить TOTP в настройках безопасности аккаунта и сохранить резервные коды в надёжном месте. После этого временный номер может спокойно исчезнуть.

О резервных кодах стоит упомянуть отдельно

Почти на каждом экране настройки 2FA вам предлагают список одноразовых резервных кодов. Распечатайте их или сохраните в менеджере паролей. Это способ вернуться, если вы потеряете все устройства. Не пропускайте этот шаг — восстановление аккаунта без них часто требует документов, удостоверяющих личность, и занимает недели.

Краткие рекомендации

• Почта и менеджер паролей: сначала ключ безопасности, TOTP — резервный.
• Банк, брокер, биржа: наивысший уровень, который они предлагают.
• Соцсети, инструменты разработчика, рабочие SaaS: TOTP.
• Случайный форум, требующий номер: временный SMS, потом TOTP после регистрации.