За последние годы «двухфакторная аутентификация» превратилась в маркетинговый термин. Формально она есть, по факту часто бесполезна.
Если ваш аккаунт до сих пор защищён SMS или кодами из мессенджера, считайте, что второго фактора у вас нет.
Давайте разберёмся в причинах.
Почему SMS больше не считается защитой
SMS — это не security-механизм, а наследие телеком-эпохи. Он никогда не проектировался как защищённый канал.
Ключевые проблемы:
1. SIM-swapping — это не экзотика
Перевыпуск SIM по социальной инженерии — это обыденная операция. Достаточно паспорта, «ошибки оператора» или инсайда.
Результат: номер у атакующего, коды тоже.
2. SS7 и телеком-инфраструктура
Сигнальные сети проектировались десятилетия назад. Перехват SMS возможен без физического доступа к телефону.
3. Оператор = точка отказа
Роуминг, блокировки, технические сбои — и вы просто не можете войти в свои аккаунты.
4. Никакого шифрования
SMS хранится и передаётся в открытом виде. Где и сколько.., вы не контролируете.
Итог: SMS - это фактор удобства, а не безопасности.
Мессенджеры вместо SMS — ещё хуже
Попытка «улучшить» SMS через мессенджеры — это типичный пример ложного апгрейда.
Чтобы получить 6 цифр, вас просят:
- установить тяжёлое приложение,
- привязать номер,
- передать метаданные,
- зависеть от интернета,
- доверять закрытому коду.
Это увеличивает поверхность атаки, а не снижает её.
С точки зрения безопасности — это бессмысленно.
С точки зрения приватности — это даже вредно.
Что принципиально меняет TOTP
TOTP — это не продукт и не бренд. Это открытый стандарт (RFC 6238).
Ключевая идея:
👉 код не приходит извне — он вычисляется локально.
Что это даёт на практике:
- Нет канала передачи → нечего перехватывать
- Работа офлайн → независимость от операторов и сервисов
- Нет номера телефона → меньше связки с вашей идентичностью
- Предсказуемая модель угроз → криптография, а не «облако»
Сервер и ваше устройство просто делают одинаковые вычисления, зная:
- общий секрет;
- текущее время.
Они не общаются. В этом и сила.
Важное, о чём почти никто не говорит
1. Защищает не код, а секрет
6 цифр — это лишь отображение.
Если утёк secret key, TOTP больше не существует.
Поэтому:
- QR-код = ключ
- скриншот = потенциальная компрометация
- облако = риск
Утёк секрет - сбрасывайте 2FA без раздумий.
2. TOTP не спасает от прокси-фишинга
Это фундаментальное ограничение класса.
Если:
- вы ввели код на фейковом сайте,
- атакующий тут же использовал его на настоящем,
- TOTP ничего не сможет сделать.
Поэтому:
- вход только через закладки / менеджер паролей;
- жёсткая проверка домена;
- никакие «срочные письма» не повод вводить код.
3. Бэкапы — не опция, а обязательство
Потеряли телефон без backup-кодов → аккаунт потерян.
Правило простое:
- backup-коды выписать;
- хранить офлайн или в менеджере паролей;
- не надеяться на «потом».
Что использовать в 2025
Минимально разумный выбор
- Aegis (Android): open-source, локальные зашифрованные бэкапы
- Встроенный TOTP в iOS / менеджерах паролей — допустимо
С осторожностью
- Google Authenticator с облачной синхронизацией
(взлом аккаунта = потеря всех факторов)
Лучше TOTP
- WebAuthn / Passkeys / FIDO2
Это уже phishing-resistant по дизайну.
TOTP — база. Passkeys — следующий шаг.
Резюме
- SMS — мёртв как фактор безопасности
- Мессенджеры — маркетинг под видом защиты
- TOTP — минимальный допустимый уровень, а не «продвинутая опция»
- Главные риски — не алгоритм, а дисциплина пользователя
- Будущее — за phishing-resistant аутентификацией
Если сервис в 2025 не предлагает TOTP или WebAuthn — это красный флаг, а не «особенность продукта».
P.S.
Если объясняете это родственникам или не-технарям и заставьте их:
- выписать секрет / backup-коды,
- убрать телефон из уравнения «единственной точки отказа».
Иначе всё закончится МФЦ, поддержкой и потерянным доступом.
