Ваш пароль может утечь. Не из-за вашей беспечности — а из-за взлома какого-нибудь сервиса где вы регистрировались. Базы паролей утекают регулярно, миллионами. И если вы используете один пароль на нескольких сайтах — взломав один, получают доступ ко всем.
Двухфакторная аутентификация решает эту проблему. Даже если пароль украли — без второго фактора в аккаунт не войдут. Это самая важная защита которую можно настроить — и многие её игнорируют считая что это сложно.
Это не сложно. Разберём почему она нужна и как настроить за пять минут.
Почему одного пароля недостаточно
Представьте что пароль это ключ от квартиры. Проблема в том что копию этого ключа можно украсть несколькими способами и вы об этом даже не узнаете.
Утечка из сервиса. Зарегистрировались на сайте, сайт взломали, база паролей утекла. Теперь ваш пароль у злоумышленников. Это происходит постоянно — крупные утечки случаются каждый месяц.
Один пароль везде. Если используете одинаковый пароль на почте, в соцсетях и в банке — утёкший с одного сайта пароль открывает всё.
Фишинг. Ввели пароль на поддельном сайте который выглядит как настоящий. Пароль ушёл мошенникам.
Во всех этих случаях пароль скомпрометирован а вы не знаете. И тут вступает двухфакторная аутентификация.
Что такое двухфакторка простыми словами
Это второй ключ который нужен вдобавок к паролю.
Логика: чтобы войти в аккаунт нужно два фактора. Первый — то что вы знаете (пароль). Второй — то что есть только у вас (телефон).
Даже если злоумышленник украл пароль — войти не сможет. Потому что при входе система запросит второй фактор: код из приложения, СМС или подтверждение на вашем телефоне. А телефон у вас.
Это как банковская карта: мало знать номер карты (пароль), нужен ещё PIN или подтверждение из приложения (второй фактор). Двухфакторка приносит ту же логику во все ваши аккаунты.
Три типа второго фактора — какой выбрать
Не все способы одинаково надёжны. Вот они по возрастанию надёжности.
СМС-коды. Приходит код в сообщении при входе. Самый простой, есть везде. Но наименее надёжный — СМС можно перехватить, а при подмене SIM-карты мошенники получают ваши коды. Лучше чем ничего, но не идеально.
Приложение-аутентификатор. Google Authenticator, Microsoft Authenticator, Яндекс Ключ. Генерирует коды прямо на телефоне, обновляются каждые 30 секунд. Надёжнее СМС — коды не передаются по сети, перехватить нельзя. Рекомендуемый вариант для большинства.
Аппаратный ключ. Физическое устройство-брелок (YubiKey и подобные). Самый надёжный — нужен физический ключ. Для большинства людей избыточно, но для критичных аккаунтов вариант.
Для обычного пользователя оптимально: приложение-аутентификатор для важных аккаунтов, СМС где аутентификатор недоступен.
Как настроить за 5 минут — пошагово
Покажу на примере Google аккаунта — он самый важный, к нему привязано многое. Для других сервисов процесс похожий.
Шаг первый: установите приложение-аутентификатор.
Скачайте Google Authenticator из Play Store или App Store. Бесплатное. Или Яндекс Ключ если пользуетесь сервисами Яндекса.
Шаг второй: зайдите в настройки безопасности аккаунта.
На компьютере или телефоне откройте myaccount.google.com — раздел «Безопасность» — найдите «Двухэтапная аутентификация» — нажмите «Начать».
Шаг третий: подтвердите пароль и выберите способ.
Система попросит пароль. Потом предложит способы. Выберите «Приложение Authenticator».
Шаг четвёртый: отсканируйте QR-код.
На экране появится QR-код. Откройте Google Authenticator — нажмите плюс — «Сканировать QR-код» — наведите камеру на код. Аккаунт добавится в приложение, начнёт генерировать коды.
Шаг пятый: введите код для подтверждения.
Приложение покажет шестизначный код. Введите его на сайте. Двухфакторка включена.
Всё. Теперь при входе в аккаунт с нового устройства система запросит код из приложения. Без него не войдут даже зная пароль.
Важный момент: сохраните резервные коды
При настройке двухфакторки Google и другие сервисы предлагают резервные коды — список одноразовых кодов на случай если потеряете телефон.
Обязательно сохраните их. Запишите на бумагу и положите в надёжное место. Или сохраните в защищённом месте не на том же телефоне.
Зачем: если телефон потеряется или сломается — без резервных кодов вы можете потерять доступ к собственному аккаунту. Резервные коды — спасательный круг.
Это частая ошибка: включили двухфакторку, потеряли телефон, не сохранили резервные коды — и заблокировали сами себя. Не повторяйте.
Куда ещё обязательно поставить двухфакторку
Настройте по приоритету.
Первое и главное: почта. К почте привязаны все остальные аккаунты — через неё восстанавливают пароли. Взломали почту — взломали всё. Почта в первую очередь.
Второе: банки и финансовые приложения. Обычно двухфакторка там уже есть по умолчанию — проверьте что включена и работает.
Третье: основные соцсети и мессенджеры. Telegram — Настройки — Конфиденциальность — Облачный пароль. ВКонтакте, Instagram — в настройках безопасности.
Четвёртое: аккаунты с привязанными картами. Маркетплейсы, сервисы подписок — везде где сохранена платёжная информация.
Перенос при смене телефона — важно знать заранее
Одна вещь которую нужно учесть. Если меняете телефон — коды аутентификатора нужно перенести.
Google Authenticator: на старом телефоне — три точки — «Перенести аккаунты» — «Экспорт» — выберите аккаунты — появится QR-код. На новом телефоне — «Импорт» — отсканируйте код.
Сделайте это ДО того как избавитесь от старого телефона. Иначе придётся восстанавливать доступ через резервные коды. Про то что ещё проверить перед сменой телефона — в 👉 Что проверить в телефоне перед тем как его продать — чтобы не передать личные данные.
Итого: что сделать прямо сейчас
Шаг первый: установите Google Authenticator.
Шаг второй: два фактора на почте — это самое важное.
Шаг третий: сохраните резервные коды на бумаге.
Шаг четвёртый: строка двухфакторка в банке, основные соцсети, мессенджеры.
Пять минут пароля на главную почту — и даже утёкший не откроет ваш аккаунт. Это самая эффективная защита из всех простых.
О других признаках того, что ваша безопасность находится под угрозой — в 👉 5 признаков того, что ваш телефон взломали — и вы не знаете об этом. А про то, как понять, что ваши данные уже торгуются — в 👉 Признаки, что ваши данные уже торгуются — и как это прекратить.
Подписывайтесь на канал — каждую неделю разбираю технику без рекламы. Сохраните статью — пригодится при настройке защиты аккаунтов.