Двухфакторная аутентификация: зачем нужна и как настроить на всех важных сервисах
Двухфакторная аутентификация (2FA) — самая эффективная и при этом доступная мера безопасности для обычного пользователя. По данным Google включение 2FA блокирует 99.9% автоматизированных атак на аккаунты. Разбираем что это такое и как настроить.
Что такое двухфакторная аутентификация
Традиционная аутентификация — это один фактор: вы знаете пароль. Двухфакторная добавляет второй уровень: что-то что у вас есть (телефон, физический ключ) или что-то что вы есть (биометрия).
Даже если злоумышленник узнал ваш пароль — без второго фактора войти в аккаунт невозможно. Пароль украден из утечки базы данных, перехвачен в публичной сети, угадан — не важно. Без вашего телефона аккаунт не открыть.
Типы второго фактора: от слабого к надёжному
SMS-коды — самый распространённый и наименее безопасный вариант. Код приходит в SMS на ваш номер. Уязвим к SIM-свопингу (мошенник переоформляет ваш номер на свою SIM), перехвату SMS через уязвимости сети SS7. Лучше чем ничего, но не лучший вариант для критичных аккаунтов.
Приложения-аутентификаторы (TOTP) — генерируют временные шестизначные коды каждые 30 секунд. Работают без интернета и SMS. Не уязвимы к SIM-свопингу. Это оптимальный вариант для большинства пользователей.
Лучшие приложения: Google Authenticator, Microsoft Authenticator, Authy (с резервным копированием в облако), 2FAS (открытый исходный код).
Аппаратные ключи безопасности (FIDO2/WebAuthn) — физическое устройство (YubiKey, Google Titan) которое подключается по USB или NFC. Самый надёжный вариант. Невозможно взломать удалённо. Рекомендуется для журналистов, активистов, руководителей и всех кто работает с особо чувствительными данными.
Биометрия — отпечаток пальца, Face ID на телефоне. Удобно, надёжно против большинства атак. Уязвима к принуждению.
Как настроить 2FA на основных сервисах
Google / Gmail: Myaccount.google.com → Безопасность → Двухэтапная аутентификация → Начать. Выберите «Приложение для аутентификации», отсканируйте QR-код в Google Authenticator или Authy. Сохраните резервные коды в надёжном месте.
Microsoft / Outlook: Account.microsoft.com → Безопасность → Дополнительные параметры безопасности → Двухшаговая проверка. Добавьте приложение Microsoft Authenticator или другой TOTP аутентификатор.
Apple ID: Настройки → [Ваше имя] → Пароль и безопасность → Двухфакторная аутентификация. Apple использует доверенные устройства и номера телефонов.
Telegram: Настройки → Конфиденциальность и безопасность → Двухэтапная аутентификация. Установите пароль который нужен при входе с нового устройства. Telegram использует свою систему, не TOTP.
Instagram / Facebook: Настройки → Безопасность и вход → Двухфакторная аутентификация. Выберите «Приложение для аутентификации» вместо SMS.
ПриватБанк / Monobank: Большинство украинских банков используют SMS как второй фактор — это встроено в систему и настраивается в отделении или через службу поддержки.
Резервные коды: обязательно сохраните
При настройке 2FA большинство сервисов предлагают резервные одноразовые коды. Они нужны если потеряли телефон и не можете получить код от аутентификатора.
Сохраните резервные коды: распечатайте и положите в надёжное место, или запишите в менеджер паролей. Никогда не храните их только в облаке на том же аккаунте который защищаете.
Что делать при потере телефона с аутентификатором
Если используете Authy — аккаунт восстанавливается через резервную копию в облаке с помощью номера телефона.
Google Authenticator с последними обновлениями также поддерживает резервное копирование в Google аккаунт.
Для восстановления доступа к сервисам — используйте резервные коды которые сохранили при настройке, или обращайтесь в службу поддержки с подтверждением личности.
Итог
Настройка 2FA занимает 5–10 минут на каждый сервис. Начните с самых важных: основная почта, банковские приложения, соцсети. Используйте приложение-аутентификатор вместо SMS где это возможно. Сохраните резервные коды. Одна эта мера делает ваши аккаунты на порядок безопаснее.