2FA (Two-Factor Authentication) — дополнительный уровень защиты аккаунта: помимо пароля требуется второй фактор (одноразовый код, аппаратный ключ и т. п.). В крипте 2FA — базовый стандарт безопасности для бирж, кошельков, почты и любых сервисов, связаных с управлением активами.
Зачем нужна 2FA в крипте
- Пароли утекают и перехватываются фишингом.
- SIM-swap и взлом почты дают злоумышленнику «чёрный ход».
- Подтверждение входа/вывода через 2FA резко снижает риск потери средств.
Рекомендация: включать 2FA везде, где есть доступ к деньгам: Binance, OKX, Bybit, KuCoin, почта, менеджер паролей, админки.
Виды факторов
| Вид фактора | Примеры | Плюсы | Минусы |
|---|---|---|---|
| FIDO2/WebAuthn (U2F ключи, Passkeys) | YubiKey, SoloKey, встроенные Passkeys | Фишинг-стойко, без кодов, быстро | Нужен ключ/устройство и поддержка сайтом |
| TOTP-коды | Google Authenticator, Aegis, 1Password, Bitwarden | Оффлайн, стандарт RFC, удобно | Потеря устройства/секрета, возможен фишинг |
| Push-подтверждение | Нажать «Approve» в приложении | Удобно | Риск «MFA-усталости» (спам-пуши) |
| SMS-коды | Код по SMS | Просто подключить | Уязвимо к SIM-swap/перехвату |
Иерархия по надёжности: FIDO2/WebAuthn → TOTP → Push → SMS.
Как правильно включить 2FA (пошагово)
- Защитить почту. Включи 2FA сначала на почтовом ящике, к которому привязаны биржи.
- Резервирование. Сохрани backup-коды сервиса в офлайне; при TOTP — экспорт секрета/seed в зашифрованное хранилище.
Выбор фактора
- Идеально — два FIDO2-ключа (основной + запасной).
- Если ключей нет — TOTP в менеджере паролей (1Password/Bitwarden) или офлайновом приложении (Aegis).
- Антифишинг. Включи антифишинг-код на биржах (уникальная метка в письмах).
- Где требовать 2FA. Логин, вывод средств, смена пароля, изменение настроек безопасности.
- Разделение устройств. Не держи TOTP и сам доступ к бирже на одном незаблокированном устройстве.
Настройки на CEX и кошельках
- CEX: включай 2FA на вход, на вывод и (где возможно) на торговые операции; активируй whitelist адресов для вывода.
- DEX/некастодиа: 2FA не защищает приватный ключ — защищай устройство/браузер и seed-фразу (см. Кошелёк).
- Менеджер паролей: включай 2FA (лучше FIDO2) на мастер-доступ.
Типовые атаки и защита
Фишинг-страницы. Ввод TOTP на подменном домене → компрометация.
- Решение: FIDO2/WebAuthn, закладки, проверка домена/SSL, антифишинг-код.
SIM-swap. Перевыпуск SIM злоумышленником.
- Решение: не использовать SMS-2FA; запрет удалённого перевыпуска у оператора.
MFA-усталость. Массовые push-запросы «Approve».
- Решение: перейти на TOTP/FIDO2, включить подтверждение номером/ПИН в приложении.
Кража устройства с TOTP.
- Решение: экран-лок и шифрование, резервные коды, второй фактор (запасной ключ).
Вредонос/расширения.
- Решение: отдельный «чистый» браузер/профиль для бирж, минимум расширений, обновления.
Лучшие практики (чек-лист)
- Два FIDO2-ключа (привязывай оба).
- Backup-коды храни офлайн; экспорт TOTP — в зашифрованном сейфе.
- Почта под биржи — отдельный ящик, длинный пароль, 2FA.
- Whitelist адресов вывода + задержка на добавление новых.
- Уведомления о входах/изменениях безопасности.
- Не логинься с общих ПК/гостевого Wi-Fi; на телефоне — биометрия + PIN.
- Журналируй изменения безопасности аккаунтов.
Частые вопросы (FAQ)
SMS-2FA достаточно? Лучше, чем ничего, но уязвимо. Предпочитай TOTP или FIDO2/WebAuthn.
Потерял телефон с TOTP — что делать? Используй backup-коды или запасной фактор (второй ключ). Нет резервов — готовь KYC-восстановление в поддержке (дольше и рискованнее).
Можно хранить TOTP в менеджере паролей? Да, если включена 2FA на сам менеджер (желательно ключ) и доверяешь провайдеру.
Защищает ли 2FA некастодиальный кошелёк? Нет. 2FA — про аккаунты сервисов. Защиту адреса определяет seed/приватный ключ.
См. также
Вывод
2FA — обязательная гигиена безопасности в крипте. Оптимум — FIDO2/WebAuthn (два ключа) либо TOTP с корректным резервированием. Отключи SMS-2FA, включи whitelist выводов, защити почту и seed — так ты минимизируешь вероятность компрометации и потери средств.