Безопасный вход: сравнение 2FA, аппаратных ключей и Passkeys
Сравниваем все методы защиты входа в аккаунт. Разбираемся, как работают приложения-аутентификаторы, аппаратные ключи и passkeys, и что выбрать.
Назад к блогу
Давай начистоту. Твой пароль, скорее всего, никуда не годится.
Может, это кличка твоей собаки и год рождения. Может, ты используешь один и тот же пароль с 2014 года. А может, у тебя есть “система” - просто добавляешь цифру в конце. Password1, Password2, Password3… гениально, правда?
Но даже хороший пароль уже не спасает. Credential stuffing берёт утёкшие пароли из одной базы и пробует их на всех остальных сайтах. Phishing обманом заставляет тебя ввести пароль на поддельной странице. Утечки данных продолжают сливать миллиарды аккаунтов - можешь проверить, не утёк ли твой прямо сейчас.
Пароль в одиночку - это стена с трещинами. Нужен второй слой защиты. Давай разберём все варианты и поймём, какие из них реально стоят внимания.
SMS и Email коды
Входишь в аккаунт, телефон жужжит, вводишь шестизначный код. Самая популярная форма 2FA, и одновременно самая слабая.
SMS-коды идут через сеть твоего оператора, а её можно перехватить через SIM-свопинг или эксплойты SS7. Коды по email не сильно лучше - если кто-то добрался до твоей почты, эти коды тоже его.
Мы написали подробный разбор, почему SMS 2FA не хватает, если хочешь узнать детали.
Вердикт: Лучше, чем ничего, но это последний вариант на крайний случай. Переключайся, как только появится что-то получше.
Приложения-аутентификаторы (TOTP)
Вот тут начинается самое интересное. Вместо получения кода по SMS приложение генерирует его прямо на твоём устройстве. Никакой сети не нужно.
При настройке приложение и сервис обмениваются общим секретом. Представь это как секретное рукопожатие, которое меняется каждые 30 секунд. Приложение генерирует код на основе этого секрета и текущего времени, сервер делает то же самое, и если результаты совпадают - ты внутри. Это и есть TOTP (Time-based One-Time Password).
Плюсы: Работает без интернета, бесплатно, поддерживается почти везде, и твоего оператора нельзя обмануть, чтобы получить твои коды.
Минусы: Всё ещё уязвимо для фишинга, если атакующий в реальном времени перенаправляет твой код на настоящий сайт. А если потеряешь телефон без резервной копии - останешься за бортом.
Важный совет: Держи приложение 2FA отдельно от менеджера паролей. Если кто-то взломает твой менеджер паролей, а там ещё и TOTP-коды, он получит всё разом. Два отдельных приложения - значит, злоумышленнику придётся взламывать оба.
Выбирай приложение с открытым исходным кодом, поддержкой зашифрованных бэкапов и без обязательной привязки к облаку.
Push-уведомления 2FA
Вместо ввода кода тебе приходит уведомление: “Кто-то пытается войти. Это был ты?” Нажимаешь “Подтвердить”. Готово.
Сервис отправляет запрос на твоё зарегистрированное устройство, ты подтверждаешь нажатием (иногда с биометрией), и подписанный ответ уходит обратно. Никаких кодов для ввода, никаких цифр, которые можно перепутать.
Плюсы: Очень просто, сложнее перехватить фишингом, чем TOTP, потому что нет кода для перенаправления.
Минусы: Нужен интернет на обоих концах. Привязка к конкретному вендору. И есть неприятный приём под названием MFA fatigue - атакующий, у которого есть твой пароль, заваливает тебя push-уведомлениями в 3 часа ночи, пока ты сонный не нажмёшь “Подтвердить”, лишь бы они прекратились.
Если тебе приходят push-уведомления, которые ты не запрашивал, всегда отклоняй их и немедленно меняй пароль.
Hardware Security Keys
Маленькое физическое USB или NFC устройство, которое ты подключаешь или прикладываешь при входе. Если приложения-аутентификаторы - это надёжный замок, то аппаратные ключи - это дверь банковского хранилища.
Ключ генерирует уникальную пару ключей: приватный ключ (навсегда заперт внутри устройства) и публичный ключ (передаётся сервису). При входе сервис отправляет запрос, ключ его подписывает, сервис проверяет подпись. Просто.
Главная фишка - привязка к домену (origin binding). Ключ проверяет реальный домен сайта перед тем, как что-то подписывать. На google.com? Отвечает. На g00gle-login.com? Отказывает. Автоматически. Самая убедительная фишинговая страница в мире не сработает, потому что ключ буквально откажется работать с поддельным сайтом.
Плюсы: Самая сильная защита от фишинга из существующих. Приватный ключ невозможно извлечь. Работает без интернета. Ничего вводить не надо. Батарейка не сядет.
Минусы: Стоит денег, нужно носить с собой, а потеря единственного ключа без резервных кодов - это кошмар.
Практический совет: Всегда покупай два ключа. Регистрируй оба везде. Один на связке ключей, второй надёжно хранится дома. Ищи сертификацию FIDO2 и поддержку USB-C/NFC.
Боишься, что кто-то украдёт ключ? Не переживай. Ему всё ещё понадобится твой пароль, а большинство ключей поддерживают ещё и PIN-код.
Passkeys
Та же криптография, что и у аппаратных ключей, но ключ хранится в твоём телефоне, ноутбуке или менеджере паролей, а не на отдельном устройстве. Это тот самый вариант, который наконец делает сильную безопасность лёгкой.
Твоё устройство генерирует пару ключей, хранит приватный ключ в защищённом хранилище (secure enclave), а при входе ты подтверждаешь личность биометрией (отпечаток пальца, лицо) или PIN-кодом. Никаких паролей для запоминания, никаких кодов для ввода, никаких устройств для подключения. И как у аппаратных ключей, домен проверяется автоматически - фишинг заблокирован.
Плюсы: Устойчивость к фишингу, ничего запоминать не нужно, встроено во все основные ОС и браузеры, синхронизируется между устройствами, заменяет пароль И 2FA одним махом.
Минусы: Поддерживается ещё не всеми сайтами. Кросс-платформенная синхронизация может запутать, если переключаешься между экосистемами. А если синхронизируешь через облачный аккаунт - доверяешь этому провайдеру.
Есть два варианта: синхронизируемые passkeys копируются в облако и доступны на всех твоих устройствах (удобно, но доверяешь облаку), и привязанные к устройству passkeys живут только на одном устройстве (безопаснее, но потеряешь - и они пропали). Hardware security keys - это по сути привязанные к устройству passkeys в физической форме.
Для большинства людей синхронизируемые passkeys в надёжном менеджере паролей - это золотая середина.
Сравнение
| Параметр | SMS/Email | Аутентификаторы | Push | Аппаратные ключи | Passkeys |
|---|---|---|---|---|---|
| Защита от фишинга | Нет | Нет (перехват в реальном времени) | Частичная | Сильная | Сильная |
| Работа без интернета | Нет | Да | Нет | Да | Да |
| Простота настройки | Очень просто | Просто | Просто | Средне | Просто |
| Удобство в повседневном использовании | Просто | Просто | Очень просто | Просто (подключил + коснулся) | Очень просто (биометрия) |
| Восстановление при потере | Просто | Сложно без бэкапа | Средне | Нужен запасной ключ | Зависит от синхронизации |
| Стоимость | Бесплатно | Бесплатно | Бесплатно | Разовая покупка | Бесплатно |
| Поддержка сайтами | Повсеместная | Очень широкая | Ограниченная | Растёт | Быстро растёт |
Обрати внимание, как passkeys попадают в золотую середину: сильная безопасность при максимальном удобстве. Именно поэтому вся индустрия движется в их сторону.
Какой метод где использовать
Критически важные аккаунты (почта, менеджер паролей, банкинг): аппаратные ключи или passkeys. В идеале оба - passkey для повседневного использования, аппаратный ключ как запасной.
Важные аккаунты (соцсети, облачные хранилища, рабочие): passkeys, если поддерживаются, иначе TOTP через приложение-аутентификатор. Всегда сохраняй резервные коды.
Всё остальное (форумы, рассылки): приложение-аутентификатор, если доступно, SMS только если больше ничего нет. Любой второй фактор лучше, чем просто пароль.
Общие правила: Используй passkeys в первую очередь, когда они доступны. Всегда настраивай резервный метод. Уходи от SMS, начиная с самых важных аккаунтов.
Итог
Вот твой план действий:
- Проверь свою текущую 2FA. Начни с почты и банкинга.
- Замени SMS на приложение-аутентификатор везде, где возможно.
- Включи passkeys на каждом сервисе, который их поддерживает.
- Задумайся об аппаратных ключах для самых важных аккаунтов. Два ключа, оба зарегистрированы.
Если ты до сих пор полагаешься на SMS-коды, пора двигаться дальше.
Начни с самых важных аккаунтов, обновляй по одному, и у тебя будет защита, которую реально сложно пробить. Будущий ты скажет спасибо.