Двофакторна автентифікація простими словами

Двофакторна автентифікація — це чи не єдине налаштування безпеки з найбільшим ефектом, яким більшість людей не користується. За опублікованими даними Microsoft, вона блокує понад 99% автоматизованих захоплень акаунтів. Проте в неї репутація чогось незручного — почасти тому, що три поширені варіанти («SMS-код», «застосунок-автентифікатор», «ключ безпеки») обговорюють так, ніби вони взаємозамінні. Це не так. Ось практична версія.

Що насправді робить 2FA

Паролі витікають постійно. Дампи баз, фішингові сторінки, шкідливе ПЗ у браузері, повторне використання паролів — забагато шляхів, якими один із ваших паролів може опинитися в чиїйсь таблиці. 2FA додає другу перевірку, прив'язану до того, що ви маєте, а не лише до того, що знаєте. Зловмиснику, який вкрав ваш пароль, потрібно ще в реальному часі викрасти і цей другий фактор на тому ж пристрої — це значно складніше.

2FA через SMS

Шестизначний код приходить SMS. Ви його вводите. Найпростіший спосіб — бо телефон є в кожного; з тієї ж причини це нижня межа прийнятної безпеки: досить, щоб зупинити ботів credential stuffing, але вразливо до SIM-swap-атак (шахрай переконує оператора перевести ваш номер) та до тихого перехоплення SMS у слабших мережах.

Підходить для: низькоцінних акаунтів, куди ви не хочете ставити ще один застосунок. Форуми, інтернет-магазини, розсилки.

Не підходить для: пошти, банків, держпорталів — усього, що керує іншими акаунтами.

Застосунки-автентифікатори (TOTP)

Такі застосунки, як Google Authenticator, 1Password, Bitwarden та Authy, генерують новий шестизначний код кожні 30 секунд на основі секрету, що зберігається лише у вас на пристрої. Жодних SMS, жодного оператора — коди працюють офлайн. Фішинг, що перехоплює пароль і один код, ще може спрацювати, але SIM-swap уже неактуальний.

Порада щодо налаштування: коли сайт показує QR-код, збережіть поруч і текстовий seed (більшість автентифікаторів вміють його експортувати). Якщо втратите телефон без seed і резервних кодів, доведеться скидати кожен акаунт з нуля.

Підходить для: майже всього. Більшість поштових сервісів, соцмереж, криптобірж та інструментів розробника підтримують TOTP, і це безкоштовно.

Ключі безпеки (FIDO2 / WebAuthn / passkey)

USB- або NFC-ключ (YubiKey, Titan, а останнім часом і «passkey», вбудовані в в'язки ключів iOS та Android), який криптографічно підписує запит на вхід. Головне — він прив'язаний до домена сайту: фішингова сторінка, що виглядає ідентично до справжньої, просто не отримає підпис. Це єдиний поширений метод 2FA, що протистоїть якісному фішингу.

Підходить для: основної пошти, менеджера паролів, усього, що не можна втратити. Купіть два ключі; зареєструйте обидва; один тримайте у шухляді.

Де тут тимчасові номери

Тимчасові SMS-номери чудово підходять для кроку первинної реєстрації, але не годяться для постійного SMS-2FA — на момент, коли потрібно отримати код, номер уже повернеться в пул. Найкраща практика: зареєструватися з тимчасового номера, одразу налаштувати TOTP у налаштуваннях безпеки акаунту та зберегти резервні коди в надійному місці. Після цього тимчасовий номер може спокійно зникнути.

Про резервні коди варто згадати окремо

Майже на кожному екрані налаштування 2FA вам пропонують список одноразових резервних кодів. Роздрукуйте їх або збережіть у менеджері паролів. Це спосіб повернутися, якщо ви втратите всі пристрої. Не пропускайте цей крок — відновлення акаунту без них часто вимагає документів, що засвідчують особу, і триває тижні.

Короткі рекомендації

• Пошта та менеджер паролів: спершу ключ безпеки, TOTP — резервний.
• Банк, брокер, біржа: найвищий рівень, що вони пропонують.
• Соцмережі, інструменти розробника, робочі SaaS: TOTP.
• Випадковий форум, що вимагає номер: тимчасовий SMS, потім TOTP після реєстрації.