Найти в Дзене
ГАРАНТ БЕЗОПАСНОЙ СДЕЛКИ - ОНЛАЙН ЭКСПЕРТ
58 подписчиков

SMS‑коды больше не спасают

2 мин
SMS‑коды больше не спасают. Сим‑свап, фишинговые «двойники» и подмена страниц выбивают даже опытных. Хотите отрезать 99% этих атак? Включайте аппаратные ключи (U2F/FIDO2) и passkeys — и забудьте про «украли 2FA». Что это и почему работает - **TOTP (приложения‑коды)** лучше SMS, но их можно выманить или подсмотреть через вредонос. - **U2F/FIDO2 (YubiKey и аналоги)** подтверждают вход физическим касанием ключа на доверенном домене — фишинговый сайт просто не пройдёт. - **Passkeys** — развитие FIDO2 без пароля: вход по отпечатку/FaceID, секрет хранится на устройстве. Где включать в первую очередь - **Почта и облака** (Gmail/Outlook/iCloud) — это корень вашей идентичности. - **Криптосервисы и биржи** (Bybit/OKX/KuCoin, кошельки, аналитика). - **GitHub/Notion/CRM** — если у вас там код и рабочие доступы. - **Менеджер паролей** (1Password/Bitwarden) — защитите «мастер‑ключ». Чек‑лист настройки за 15 минут 1) Купите **2 ключа** (основной + запасной). 2) Подключите 2FA: **U2F/FIDO2** как пе

SMS‑коды больше не спасают. Сим‑свап, фишинговые «двойники» и подмена страниц выбивают даже опытных. Хотите отрезать 99% этих атак? Включайте аппаратные ключи (U2F/FIDO2) и passkeys — и забудьте про «украли 2FA».

Что это и почему работает

- **TOTP (приложения‑коды)** лучше SMS, но их можно выманить или подсмотреть через вредонос.

- **U2F/FIDO2 (YubiKey и аналоги)** подтверждают вход физическим касанием ключа на доверенном домене — фишинговый сайт просто не пройдёт.

- **Passkeys** — развитие FIDO2 без пароля: вход по отпечатку/FaceID, секрет хранится на устройстве.

Где включать в первую очередь

- **Почта и облака** (Gmail/Outlook/iCloud) — это корень вашей идентичности.

- **Криптосервисы и биржи** (Bybit/OKX/KuCoin, кошельки, аналитика).

- **GitHub/Notion/CRM** — если у вас там код и рабочие доступы.

- **Менеджер паролей** (1Password/Bitwarden) — защитите «мастер‑ключ».

Чек‑лист настройки за 15 минут

1) Купите **2 ключа** (основной + запасной).

2) Подключите 2FA: **U2F/FIDO2** как первичный, **TOTP** как резерв, **SMS** — только как последний слой.

3) Сохраните **backup‑коды офлайн** (бумага/сейф), проверьте вход с обоих ключей.

4) Включите **anti‑phishing code** в почте/биржах и **whitelist адресов** вывода.

5) Отключите **blind‑signing** в кошельках: подписывайте только запросы с видимыми суммой/токеном/адресом.

Что с Telegram

- Аппаратные ключи напрямую не поддерживаются, но включите **облачный пароль (2FA)** и **контроль активных сессий**. Номер спрячьте «только для контактов». Для сделок — минимум переписки, максимум фиксации условий у гаранта.

Как это связано со сделками

- **Эскроу‑сервис** закрывает риски кидалова, а **U2F/passkeys** — риски взлома ваших доступов в момент сделки. Двойной слой безопасности: условия + контроль входа. Мы фиксируем правила, блокируем средства и релизим их только после выполнения чек‑листа.

Мини‑чек‑лист перед крупной сделкой

- Почта/биржи на U2F/FIDO2, backup‑коды распечатаны.

- Антифишинг‑код включён, **адреса вывода — в белом списке**.

- Реквизиты/QR — только из чата сделки у гаранта.

- Деньги/крипта — **только в эскроу** до приемки.

Полезные материалы

- Что такое 2FA и почему это важно (Binance Academy): https://academy.binance.com/ru/articles/what-is-two-factor-authentication-2fa — базовый ликбез по 2FA.

- Passkeys и FIDO2 (FIDO Alliance): https://fidoalliance.org/passkeys/ — как работают ключи без пароля.

- Гид по защите от фишинга (Kaspersky): https://www.kaspersky.ru/blog/phishing-guide/ — признаки подмены и как не попасться.

Готовы закрывать сделки без стресса?

- Откройте безопасную сделку у гаранта: @GARANT_S_bot

- Подробнее о сервисе и тарифах: https://guarantor.su

А у вас уже есть аппаратные ключи? Где включили FIDO2 в первую очередь — почта или биржи? Делитесь опытом и задавайте вопросы в комментариях!