BTC/RUB6 049 026 ETH/RUB180 255 USDT/RUB79,55 TON/RUB102 BNB/RUB51 465 XMR/RUB29 877 BTC/RUB6 049 026 ETH/RUB180 255 USDT/RUB79,55 TON/RUB102 BNB/RUB51 465 XMR/RUB29 877
Безопасность

2FA (двухфакторная аутентификация)

Дополнительный слой защиты при входе в аккаунт: помимо пароля требуется код из приложения (Google Authenticator, Authy) или SMS. Обязательно для всех CEX и крупных кошельков.

Также: two-factor authentication, 2FA, двухфакторка

2FA (Two-Factor Authentication, двухфакторная аутентификация) — это требование подтвердить вход в аккаунт двумя независимыми способами: что-то что вы знаете (пароль) + что-то что у вас есть (телефон с приложением-генератором кодов).

Виды 2FA по убыванию безопасности

1. Hardware key (FIDO2 / U2F)

Физический ключ типа YubiKey. Самый безопасный вариант: невозможно перехватить код, потому что ключ физически подписывает запрос. Используется на всех серьёзных биржах. Минус: $50 за устройство, нужно 2 шт. (основной + резервный).

2. TOTP (приложение-аутентификатор)

Google Authenticator, Authy, Aegis (open-source) генерируют 6-значный код, обновляющийся каждые 30 секунд. Не зависит от мобильной связи, работает офлайн. Стандарт по умолчанию.

Главная ошибка: при настройке 2FA сохраните backup-коды или ключ установки. Иначе при потере телефона восстановление аккаунта на бирже — мучительный процесс через KYC и поддержку, на недели.

3. SMS

Самый небезопасный вариант, использовать только если других нет. Уязвим к SIM-swap: атакующий социалкой убеждает оператора перевыпустить SIM на свой номер → получает все коды. Несколько крупных краж с CEX в 2020-2024 — именно через SIM-swap.

Где обязательно включить 2FA

  1. Все CEX. Bybit, OKX, Mexc, HTX. Желательно TOTP, не SMS.
  2. Email, привязанный к крипте. Главный вход в любой аккаунт — почта. Скомпрометированный email = потерянный доступ ко всем аккаунтам.
  3. Кастодиальные кошельки. Crypto.com, PayPal-крипто, любые приложения с балансом.
  4. Telegram-аккаунт. Особенно если там Telegram Wallet, P2P-сделки, доступ к крипто-чатам.

Где 2FA не работает

В non-custodial кошельках (MetaMask, Trust, Ledger) нет «логина» как такового — есть только seed-фраза. Защита там устроена иначе: пароль на разблокировку приложения + физическая защита устройства / cold storage.

Лучшие практики

  1. Использовать Authy или Aegis с облачным backup (зашифрованным).
  2. Иметь резервный YubiKey для биржевых аккаунтов.
  3. Никогда не делиться 2FA-кодами с «поддержкой» — настоящая поддержка не запрашивает.
  4. Хранить backup-коды отдельно (бумага в сейфе или зашифрованный архив).

См. также: фишинг, приватный ключ.

Связанные термины

ФишингПриватный ключCEX