Двухфакторная аутентификация: почему SMS — это плохо, а TOTP — хорошо
Зачем нужна 2FA, если у меня хороший пароль?
Даже идеальный пароль может утечь через фишинг, данные-брокеров или взлом стороннего сервиса. Второй фактор делает украденный пароль бесполезным без физического доступа к вашему устройству.
Иерархия методов 2FA (от слабого к сильному)
❌ SMS-коды — наихудший вариант
- SIM-swap: мошенники убеждают оператора перенести ваш номер на свою SIM-карту
- SS7-атаки: технические уязвимости в протоколах телефонии
- Перехват в публичных сетях
Тем не менее SMS лучше, чем ничего.
⚠️ Коды из приложения (TOTP) — хорошо
Google Authenticator, Aegis, Raivo — генерируют одноразовый 6-значный код каждые 30 секунд. Коды не передаются через телефонную сеть, уязвимы только к фишингу в реальном времени.
Рекомендация: используйте Aegis (Android) или Raivo (iOS) — с резервным копированием зашифрованного хранилища.
✅ Аппаратные ключи (FIDO2/WebAuthn) — лучший вариант
YubiKey, Google Titan Key — физический USB/NFC-ключ. Невозможно перехватить удалённо. Устойчив к фишингу — ключ привязан к конкретному домену.
✅✅ Passkeys — будущее уже здесь
Passkeys (поддерживаются iOS 17+, Android 14+, Windows 11) полностью заменяют пароль + 2FA. Биометрия на устройстве + криптографический ключ. Не утекает, не перехватывается.
Как настроить TOTP прямо сейчас
- Скачайте Aegis Authenticator (Android) или Raivo OTP (iOS)
- Зайдите в настройки безопасности вашего аккаунта (Google, GitHub, почта)
- Найдите «Двухфакторная аутентификация» → «Приложение-аутентификатор»
- Отсканируйте QR-код
- Сохраните резервные коды в менеджере паролей или распечатайте
Советы
- Всегда включайте 2FA на: почте, банке, менеджере паролей, GitHub, соцсетях
- При регистрации на новых сервисах используйте временный e-mail — так спамеры не получат ваш настоящий адрес и не смогут атаковать через него
- Никогда не вводите 2FA-код по требованию "поддержки" — это фишинг