Везде пишут что 2FA это must have для безопасности. Включил на всех аккаунтах, использую Google Authenticator.
Но потом начитался историй про SIM swap атаки, про фишинг который обходит 2FA, про уязвимости в самих приложениях аутентификаторов.
Так стоит ли париться с этой двухфакторкой или это иллюзия безопасности? Может есть что то понадежнее?
2FA надежнее чем только пароль. Но разные виды 2FA имеют разный уровень защиты.
От худшего к лучшему:
SMS-коды - самый слабый вариант. SIM swap реален, SS7 уязвимости существуют. Лучше чем ничего но не более.
TOTP приложения (Google Authenticator, Authy) - намного лучше. Не привязаны к сим карте. Уязвимы только если телефон взломан или фишинг в реальном времени.
Push-уведомления (Duo, Microsoft Authenticator) - еще лучше потому что видишь откуда запрос.
Аппаратные ключи (YubiKey, Google Titan) - золотой стандарт. Физически невозможно украсть удаленно. Фишинг не работает потому что ключ проверяет домен.
Твой Google Authenticator это уровень 2, вполне приличная защита для большинства случаев. Если паранойя зашкаливает - купи YubiKey за 3-4 тысячи и спи спокойно.
Работаю в ИБ. Реальные атаки на 2FA которые я видел за 5 лет:
Для обычного человека TOTP более чем достаточно. Эти атаки дорогие и сложные, их используют против людей с большими деньгами или доступами. На рядового юзера с аккаунтом в соцсетях никто не будет тратить такие ресурсы.
2FA это не иллюзия. Это реально работает.
Массовые утечки паролей происходят постоянно. Базы сливают, продают, брутят. Если у тебя только пароль - рано или поздно он утечет и аккаунт взломают.
2FA добавляет второй барьер. Даже если пароль утек, без второго фактора не войдут. Это не 100% защита но это на порядок лучше.
Главная проблема 2FA не в самой технологии а в восстановлении доступа.
Потерял телефон - что делать? Большинство сервисов предлагают backup коды или восстановление через email/sms. И вот эти механизмы восстановления часто слабее чем сама 2FA.
Совет: сохрани backup коды в надежном месте (менеджер паролей, бумажка в сейфе). Проверь какие методы восстановления доступны и отключи слабые если возможно.
Вместо гугл аутентикатора рекомендую Aegis (андроид) или Raivo OTP (айфон). Оба опенсорсные, с шифрованными бэкапами. Гугл аутентикатор до недавнего времени вообще не умел экспорт - потеряешь телефон и все коды пропали.
юзаю юбикей уже 3 года, ни разу не пожалел. да дорого, да надо носить с собой, но спокойствие того стоит. особенно если крипта есть
Спасибо за разбор! А passkeys которые Apple и Google продвигают - это как YubiKey или хуже?
Passkeys по криптографии примерно как YubiKey, тоже FIDO2. Но хранятся на устройстве а не на отдельном железе. Если телефон взломают - теоретически могут украсть. Но для 99% людей это overkill уровень паранойи.