Управление файлами cookie, которые используются для рекламы, таких как персонализация рекламы, ремаркетинг и анализ эффективности рекламы.
1.2.2. Двухэтапная аутентификация (2FA)
Общая информация
Вход с помощью телефона отключает 2FA
Когда в учётной записи настроена двухэтапная аутентификация и добавлен телефонный номер, в качестве резервного способа прохождения двухэтапной аутентификации можно использовать телефон (получить код для входа с помощью звонка или SMS). Однако после входа с помощью телефона в учётной записи будет отключена двухэтапная аутентификация и отвязаны все привязанные ранее банковские карты. Используйте этот способ только в случае крайней необходимости, когда другие способы прохождения двухэтапной аутентификации недоступны.
flowchart LR
2fa@{ shape: stadium, label: "🛡 2FA" }
subgraph "Прохождение 2FA"
email@{ shape: rounded, label: "✉️ Email
(по умолчанию)" } email_code@{ shape: lean-r, label: "🔢 Код из письма"} email-->email_code telegram@{ shape: rounded, label: "🤖 Telegram" } button@{ shape: rect, label: "🔟 Нажатие в боте
кнопки с числом" } telegram-->button gauth@{ shape: rounded, label: "📱 GAuth" } otp_code@{ shape: lean-r, label: "🔢 Код из приложения"} gauth-->otp_code webauthn@{ shape: rounded, label: "🔑 WebAuthn" } passkey@{ shape: rect, label: "🔐 Подтверждение входа
ключом доступа" } webauthn-->passkey phone@{ shape: rounded, label: "📞 Телефон
(резервный
способ)" } robot@{ shape: lean-r, label: "🔢 Продиктованные роботом
4 цифры" } phone-->|"Звонок
на украинский номер"|robot last_digits@{ shape: lean-r, label: "🔢 Последние 4 цифры номера, с которого звонили" } phone-->|"Звонок
на зарубежный номер"|last_digits sms_code@{ shape: lean-r, label: "🔢 Код из SMS" } phone-->|SMS|sms_code end disable@{ shape: rect, label: "❌ Отключение 2FA
и удаление банковских карт" } finish@{ shape: stadium, label: "✔️ Готово" } 2fa-->email 2fa-->telegram 2fa-->gauth 2fa-->webauthn 2fa-->phone email_code-->finish button-->finish otp_code-->finish passkey-->finish robot-->disable last_digits-->disable sms_code-->disable disable-->finish
(по умолчанию)" } email_code@{ shape: lean-r, label: "🔢 Код из письма"} email-->email_code telegram@{ shape: rounded, label: "🤖 Telegram" } button@{ shape: rect, label: "🔟 Нажатие в боте
кнопки с числом" } telegram-->button gauth@{ shape: rounded, label: "📱 GAuth" } otp_code@{ shape: lean-r, label: "🔢 Код из приложения"} gauth-->otp_code webauthn@{ shape: rounded, label: "🔑 WebAuthn" } passkey@{ shape: rect, label: "🔐 Подтверждение входа
ключом доступа" } webauthn-->passkey phone@{ shape: rounded, label: "📞 Телефон
(резервный
способ)" } robot@{ shape: lean-r, label: "🔢 Продиктованные роботом
4 цифры" } phone-->|"Звонок
на украинский номер"|robot last_digits@{ shape: lean-r, label: "🔢 Последние 4 цифры номера, с которого звонили" } phone-->|"Звонок
на зарубежный номер"|last_digits sms_code@{ shape: lean-r, label: "🔢 Код из SMS" } phone-->|SMS|sms_code end disable@{ shape: rect, label: "❌ Отключение 2FA
и удаление банковских карт" } finish@{ shape: stadium, label: "✔️ Готово" } 2fa-->email 2fa-->telegram 2fa-->gauth 2fa-->webauthn 2fa-->phone email_code-->finish button-->finish otp_code-->finish passkey-->finish robot-->disable last_digits-->disable sms_code-->disable disable-->finish
Двухэтапная аутентификация (Two-Factor Authentication или сокращённо 2FA) — это дополнительная мера безопасности, после настройки которой при входе в панель управления нужно будет не только вводить почту учётной записи и пароль, но и дополнительно подтверждать вход одним из способов:
- Вводить одноразовый код, который будет отправлен на почту учётной записи.
- Нажимать на кнопку с числом в сообщении от нашего Telegram-бота.
- Вводить одноразовый код, который будет сгенерирован приложением-аутентификатором на мобильном устройстве.
- Использовать ключ безопасности (например, смартфон или аппаратный ключ).
Настройка
Внимание!
При включении двухэтапной аутентификации для учётной записи будут сброшены все активные сессии, кроме текущей.
Управление двухэтапной аутентификацией выполняется в разделе «Персональные данные» на вкладке «Безопасность»:
Метод Email включён во всех учётных записях по умолчанию. При необходимости его можно отключить.
Для входа в учётную запись без кода на почту достаточно настроить и использовать любой метод 2FA из доступных (или несколько методов).
Telegram
Примечания:
- Двухэтапная аутентификация через Telegram автоматически включается при привязке Telegram-аккаунта и при желании может быть отключена.
- Если в учётной записи добавлено несколько Telegram-аккаунтов, сообщение для подтверждения входа отправляется во все.
- Добавьте Telegram-аккаунт (если не добавлен).
- Откройте раздел «Персональные данные» и переключитесь на вкладку «Безопасность».
- В блоке «Двухэтапная аутентификация» возле метода Telegram нажмите «Включить».
GAuth
Внимание!
Для корректной работы двухэтапной аутентификации через приложение-аутентификатор время на мобильном устройстве с приложением должно в точности совпадать с текущим временем сервера. Если оно не совпадает, нужно в приложении перейти в раздел «Еще → Настройки → Коррекция времени для кодов» и нажать «Синхронизировать».- Откройте раздел «Персональные данные» и переключитесь на вкладку «Безопасность».
- В блоке «Двухэтапная аутентификация» возле метода GAuth нажмите «Включить».
- Установите на мобильное устройство приложение-аутентификатор:
- В приложении отсканируйте QR-код или введите расположенный под ним секретный ключ вручную:
- Введите сгенерированный приложением код двухэтапной аутентификации и нажмите «Подтвердить»:
WebAuthn
Важные моменты:
- WebAuthn можно использовать как для двухэтапной аутентификации, так и для входа без пароля.
- Некоторые устройства могут не поддерживать WebAuthn, например устройства с устаревшими версиями операционных систем, отдельные модели смартфонов Xiaomi, OnePlus и др.
- Для каждой учётной записи на одном устройстве (или в одном хранилище) может хранится только один ключ доступа.
- В Windows для локального хранения ключей доступа для учётной записи на устройстве должен быть обязательно настроен ПИН-код (одного пароля недостаточно), при наличии соответствующего оборудования также можно использовать сканер отпечатков пальцев или распознавание лиц.
- На Android ключи безопасности хранятся в менеджере паролей Google и синхронизируются между устройствами. Просмотреть список сохранённых ключей доступа, отредактировать их или удалить можно в менеджере паролей: на Android — «Настройки → Google → Автозаполнение → Автозаполнение от Google → Пароли», в браузере — «Google Аккаунт → Безопасность → Сохранённые пароли → Менеджер паролей».
- На iPhone ключи безопасности хранятся в «Связке ключей iCloud» и синхронизируются между устройствами. Просмотреть список сохранённых ключей доступа, отредактировать их или удалить можно в разделе «Настройки → Пароли».
- Устройства на Android и iPhone могут выступать посредниками — сохранять и считывать ключи доступа с подключённых аппаратных USB- или NFC-ключей.
- В менеджере паролей Bitwarden сохранение и использование ключей доступа возможно только через браузерное расширение.
- Откройте раздел «Персональные данные» и переключитесь на вкладку «Безопасность».
- В блоке «Двухэтапная аутентификация» возле метода WebAuthn нажмите «Настроить».
- Введите произвольное название устройства, на котором будете хранить ключ доступа, и нажмите «Добавить».
- ⚠️ Название устройства указывается только при добавлении и после этого не изменяется. Единственный способ его изменить — удалить устройство и настроить повторно.
- Зарегистрируйте новый ключ доступа:ПИН-код (должен быть предварительно настроен в системе):
- В окне «Подтверждение вашей личности» выберите «ПИН-код» (или «Это устройство с Windows → ПИН-код»).
- Введите установленный в системе ПИН-код и нажмите Enter
- В случае успеха появится окно «Ключ доступа сохранён».
Ключ безопасности (аппаратный USB-ключ, например YubiKey):
- В окне «Подтверждение вашей личности» выберите «Использовать другое устройство → Ключ безопасности».
- В окне «Настройка ключа безопасности» нажмите «ОК».
- В окне «Продолжить установку» нажмите «ОК».
- Вставьте аппаратный ключ и нажмите кнопку на нём.
- В случае успеха появится окно «Ключ доступа сохранён».
Устройство iPhone, iPad или Android:
- В окне «Подтверждение вашей личности» выберите «Использовать другое устройство → Устройство iPhone, iPad или Android».
- Отсканируйте устройством QR-код.
- На устройстве будет выведено предложение запомнить его, чтобы каждый раз не сканировать QR-код, — выберите нужный вам вариант.
- После подключения устройства на нём появится информация о том, для какого сайта и в каком аккаунте будет сохранён ключ доступа, — нажмите «Продолжить».
- Используйте на устройстве блокировку экрана для подтверждения сохранения ключа.
- В случае успеха появится окно «Ключ доступа сохранён».
- На устройстве появится информация о том, для какого сайта и в каком аккаунте будет сохранён ключ доступа, — нажмите «Продолжить».
- Используйте на устройстве блокировку экрана для подтверждения сохранения ключа.
- В случае успеха появится окно «Ключ доступа сохранён».
- В окне расширения «Выберите логин, для которого будет сохранён ключ доступа» выберите запись, для которой нужно сохранить ключ доступа, и нажмите «Сохранить ключ доступа» (или создайте новую запись, если в хранилище нет совпадений).
- Если для выбранной записи уже существует ключ доступа, подтвердите его перезапись (обязательно удостоверьтесь, что вы не перезаписываете нужный ключ доступа).
- (Необязательно) Если вы хотите входить по ключу доступа без ввода пароля, в блоке «Двухэтапная аутентификация» возле метода WebAuthn нажмите «Настроить» и в строке с нужным устройством включите опцию «Вход без пароля».
Отключение
Внимание!
Метод Email всегда включён и не отключается. Полностью отключить 2FA невозможно.- Откройте раздел «Персональные данные» и переключитесь на вкладку «Безопасность».
- В блоке «Двухэтапная аутентификация»:
- Для Email, Telegram или GAuth — просто нажмите «Отключить».
- Для WebAuthn — нажмите «Настроить» и удалите устройства из списка.
Использование нескольких устройств
Внимание!
В целях безопасности рекомендуем настраивать двухэтапную аутентификацию только на одном устройстве, которое полностью вами контролируется и недоступно посторонним лицам. Помните, что вы несёте полную ответственность за все действия, которые могут быть выполнены в вашей учётной записи лицами, у которых будет доступ к ней.Способы организации
При входе в учётную запись для прохождения двухэтапной аутентификации возможно использовать несколько разных устройств. Это можно организовать следующими способами:
- Привязать к одной учётной записи несколько Telegram-аккаунтов. При входе наш Telegram-бот отправляет подтверждение в каждый из них.
- Настроить GAuth одновременно на нескольких устройствах:Если уже настроенное приложение поддерживает импорт/экспорт — можно экспортировать данные и импортировать их на другом устройстве. Такая возможность доступна в Google Authenticator и альтернативных приложениях, вроде Aegis и andOTP. С её помощью можно переносить настройки между устройствами и создавать их резервную копию, чтобы сохранить в надёжном месте на случай непредвиденных ситуаций.Можно отсканировать QR-код несколькими устройствами — для этого нужно отключить двухэтапную аутентификацию через приложение (если она была включена) и включить повторно. При этом на этапе сканирования QR-кода нужно:
- Либо отсканировать QR-код или ввести секретный ключ не на одном, а сразу на всех нужных устройствах.
- Либо сделать скриншот с QR-кодом или скопировать секретный ключ, чтобы позже использовать их для настройки приложения на другом устройстве. При использовании этого способа крайне важно, чтобы к скриншоту или ключу не было доступа у посторонних. Лучше надёжно удалить их сразу после настройки нужных устройств или хранить их там, где к ним гарантированно не будет доступа ни у кого, кроме вас.
- Настроить WebAuthn для нужных устройств.
Отключение
- Удалите лишние Telegram-аккаунты.
- Удалите лишние устройства в настройках WebAuthn.
- Удалите лишние телефонные номера.
- Для надёжности также сбросьте лишние сессии и смените пароль учётной записи.
(2)