2FA: SMS, приложение или железный ключ

Двухфакторная аутентификация - обязательная мера на всех значимых аккаунтах. Но включить 2FA - это ещё не выбор: способов несколько, и их безопасность отличается.

SMS-коды

Самый распространённый вариант: при входе банк или сервис присылает 6-значный код в SMS. Просто включить, работает на любом телефоне.

Минусы серьёзные:

SIM-swap. Атакующий переоформляет вашу SIM-карту на свой телефон - и принимает все ваши SMS-коды. Это не редкость в США и в России; банки в 2024-2025 несколько раз публично признавали проблему.
SS7-атаки. Уязвимость в протоколе SS7 позволяет перехватывать SMS, не имея физического доступа к SIM. Атаки технически сложнее, но используются для значимых целей.
SIM в роуминге. Не приходит вовремя или не приходит совсем.

SMS лучше, чем ничего, но это худшая опция 2FA из доступных.

Authenticator-приложения

Google Authenticator, Authy, Microsoft Authenticator, FreeOTP, Aegis (Android) или Raivo (iOS) - приложения, которые генерируют 6-значные коды локально, без интернета. Стандарт - TOTP, RFC 6238.

Плюсы: не зависит от мобильного оператора, нечего перехватывать через SS7, работает в офлайне.

Минусы: если потеряете телефон без бэкапа кодов восстановления - доступ потерян. Поэтому при включении 2FA через приложение всегда сохраняйте recovery codes в надёжном месте.

Authy и Microsoft Authenticator поддерживают облачный бэкап (с шифрованием), что снижает риск потери, но и добавляет точку отказа в виде учётки в Microsoft/Twilio.

Аппаратные ключи

YubiKey, Google Titan, SoloKeys - физические USB/NFC-устройства. Подключаете в USB или прикладываете к телефону - нажимаете кнопку.

Плюсы: устойчивы к фишингу. Даже если атакующий подсунул вам поддельный сайт, ключ не подтвердит вход - потому что URL в запросе подписи не совпадает с настоящим. Это единственный метод, который защищает от продвинутого фишинга в реальном времени.

Минусы: цена ($25-50 за ключ), нужно иметь резервный (если потеряете единственный - проблемы), не все сервисы поддерживают.

Что выбрать на практике

Для крупных аккаунтов (банковский, рабочая Google/Microsoft-учётка, крипто-биржа) - аппаратный ключ, плюс резервный. Стоит этих $50 однозначно.

Для остального - authenticator-приложение. Никогда - SMS, если можно избежать.

Если сервис поддерживает только SMS - смотрите, можно ли отвязать номер от поиска и от восстановления пароля; иначе SMS становится главным фактором, и весь смысл 2FA теряется.

Материал носит информационный характер и не является финансовой рекомендацией. Данные и условия сервисов могут меняться, поэтому перед оплатой или инвестиционным решением проверяйте первоисточники. Упоминание сторонних брендов и сервисов не означает официальное партнёрство, поддержку или одобрение VirtCardPay с их стороны.