2FA (Two-Factor Authentication) — это дополнительный уровень защиты аккаунта: для входа требуется не только пароль, но и второй фактор (одноразовый код, аппаратный ключ и т. п.). В крипте 2FA — обязательная мера для бирж, кошельков и почты, связанной с учётными записями.
Зачем нужна 2FA в крипте
Пароли утекают, фишинг и перебор паролей — обычное дело.
SIM-swap и взлом почты могут дать злоумышленнику доступ к бирже или восстановлению пароля.
Транзакции/выводы на CEX часто дополнительно подтверждаются 2FA — это снижает риск кражи средств.
Рекомендация: включать 2FA везде, где доступны средства: Binance, OKX, Bybit, KuCoin, почта, менеджер паролей, доступ к админкам.
Виды факторов
| Вид фактора | Пример | Плюсы | Минусы |
|---|---|---|---|
| TOTP (приложение-генератор кода) | Google Authenticator, Aegis, 1Password, Bitwarden | Оффлайн, быстро, стандарт RFC | Можно потерять устройство/секрет; фишинг возможен |
| HOTP | Реже в быту | Похож на TOTP | Те же риски, синхронизация счётчиков |
| SMS-коды | Код приходит по SMS | Просто включить | Уязвим для SIM-swap, перехвата, фишинга |
| Push-подтверждение | Нажать «Approve» в приложении | Удобно | Риск «MFA-усталости» (спам-пуши) |
| FIDO2/WebAuthn (U2F ключи, Passkeys) | YubiKey, SoloKey, Passkeys | Фишинг-стойко, без кодов | Нужен ключ/устройство, поддержка сайтом |
| Аппаратный токен OTP | Генератор кодов | Независим от телефона | Менее удобен, стоит денег |
Иерархия по надёжности (слева лучше): FIDO2/WebAuthn → TOTP → Push → SMS.
Как правильно включить 2FA (шаги)
Почта (основная почта для бирж) — сначала включи 2FA именно там.
Сделай резерв: выпиши и спрячь backup-коды сервиса.
Выбери фактор:
Идеально — FIDO2/WebAuthn с 2 физическими ключами (основной + запасной).
Если ключей нет — TOTP через защищённый менеджер (напр., 1Password/Bitwarden с шифрованием).
Сканируй QR TOTP и сохрани секрет (или зашифрованный экспорт токенов).
Включи антифишинг-код в бирже (уникальная подпись в письмах).
Проверь подтверждение вывода: 2FA на логин, на вывод, на изменения безопасности.
Совет: не держи TOTP и вход в биржу на одном устройстве без блокировки. Лучше — отдельный «безопасный» телефон/аппаратный ключ.
2FA на биржах и кошельках
CEX: включи 2FA на логин, трейдинг (по возможности), вывод средств, смену пароля/адреса.
DEX/кошельки без кастодии (Кошелёк): 2FA здесь не «держит» приватный ключ — защищай устройство, браузер, расширение и seed-фразу (2FA не заменяет seed!).
Менеджеры паролей: для «мастер-входа» обязательно 2FA (лучше FIDO2).
Типичные атаки и как защититься
Фишинг страниц (подмена домена): коды TOTP «утекают», если вводишь их на фальшивке.
Лекарство: FIDO2/WebAuthn (привязан к домену), закладки, анти-фишинг-код, проверка TLS.
SIM-swap (перевыпуск SIM злоумышленником).
Лекарство: откажись от SMS-2FA; ставь запрет удалённого перевыпуска у оператора.
MFA-усталость (spam push-approve).
Лекарство: выключи push-2FA или включи «номер соответствия»/PIN-подтверждение, переходи на TOTP/ключ.
Кража телефона с TOTP.
Лекарство: экран-лок, шифрование, backup-коды, второй фактор (ключ), резервная копия TOTP (зашифрованно).
Вредонос на ПК/браузере.
Лекарство: обновления, антивирус, отдельный профиль/браузер под биржи, без расширений.
Лучшие практики (чек-лист)
FIDO2/WebAuthn: 2 ключа (основной+запасной), привяжи оба в сервисах.
TOTP-резерв: запиши backup-коды и храни оффлайн; экспорт секретов TOTP — в шифрованном хранилище.
Почта под биржи: отдельный ящик, 2FA, длинный пароль, «второе доменное имя» для антифишинга.
Пароли: менеджер паролей, уникальные длинные пароли, пароль к почте — самый сильный.
Выводы: whitelist адресов вывода, задержка на добавление новых адресов, уведомления по e-mail/телеграм.
Устройства: не логинься с общих ПК/публичного Wi-Fi; на телефоне — биометрия + PIN.
Мониторинг: включи лог-уведомления о входах/изменениях безопасности.
Частые вопросы (FAQ)
2FA = безопасность средств в кошельке? Нет. Для некастодиальных кошельков безопасность определяет seed-фраза/приватный ключ. 2FA защищает аккаунт сервиса, а не сам блокчейн-адрес.
SMS-2FA достаточно? Лучше, чем ничего, но уязвимо к SIM-swap и фишингу. Предпочитай TOTP или FIDO2/WebAuthn.
Что если потерял телефон с TOTP? Используй backup-коды или запасной фактор (второй ключ). Если их нет — обращайся в поддержку с KYC-проверкой (долго и рискованно).
Можно хранить TOTP в менеджере паролей? Да, если доверяешь провайдеру и включил 2FA на сам менеджер (лучше ключ). Это удобно для бэкапа и синхронизации.
Аппаратный ключ обязателен? Не обязателен, но это самый простой способ получить фишинг-стойкую 2FA. Минимум — один ключ; лучше — два.
См. также
Вывод
2FA — обязательный стандарт гигиены безопасности. Для криптосервисов выбирай FIDO2/WebAuthn (2 ключа) или TOTP с надёжным бэкапом. Отключай SMS-2FA, включай whitelist выводов, защищай почту и seed-фразы — тогда вероятность компрометации аккаунта и потери средств резко снижается.