2FA-аутентификация для крипто: какой метод выбрать и почему это обязательно

SMS — наиболее уязвимый метод 2FA. Злоумышленник может перевыпустить вашу SIM-карту через оператора (SIM-swap), перехватить сообщение через уязвимости протокола SS7 или с помощью социальной инженерии. В РФ зафиксированы случаи мошеннического перевыпуска SIM у крупных операторов. Для крипто-аккаунтов с реальными деньгами SMS недопустима как единственный второй фактор. Используйте её только там, где нет других опций, и немедленно меняйте на TOTP или аппаратный ключ.

TOTP (Time-based One-Time Password) — одноразовый код, генерируемый приложением каждые 30 секунд на основе секретного ключа и текущего времени. Приложение работает офлайн — коды не передаются по сети и не перехватываются. Популярные приложения: Google Authenticator, Authy, 2FAS. Риск: если вы потеряете телефон без резервной копии seed-фразы приложения, доступ к аккаунтам будет заблокирован. Всегда сохраняйте резервные коды при подключении TOTP.

Аппаратный ключ (YubiKey, Trezor как 2FA, аналоги) физически защищён от удалённых атак: секретный ключ никогда не покидает устройство, фишинг-сайты не могут перехватить подтверждение. TOTP-приложение уязвимо, если телефон заражён вредоносным ПО. Аппаратный ключ — единственный метод с защитой от фишинга на уровне протокола (FIDO2/WebAuthn). Риск: потеря физического ключа без резервного экземпляра означает потерю доступа к аккаунтам.

Да, без исключений. Включайте 2FA на биржах, кошельках с веб-доступом, почте, к которой привязаны аккаунты, и менеджере паролей. Слабое звено — почта: если злоумышленник получит доступ к ней, он сможет сбросить пароли на биржах. Приоритет: сначала защитите email, затем биржи по убыванию суммы активов. Риск: не используйте один и тот же метод 2FA для email и биржи — компрометация телефона не должна открывать всё сразу.

Действуйте немедленно. Зайдите на биржу через резервные коды (они выдаются при подключении 2FA — храните их в офлайн-распечатке). Если резервных кодов нет — обращайтесь в службу поддержки с документами, подтверждающими личность и владение аккаунтом. Процедура восстановления занимает от нескольких часов до нескольких недель. Вывод: резервные коды — обязательное условие, без них потеря телефона равна временной или полной потере доступа.

Частично. TOTP-коды перехватываемы в реальном времени: фишинг-сайт может запросить ваш код и немедленно использовать его на настоящей бирже (атака типа real-time phishing). Аппаратные ключи с FIDO2/WebAuthn защищены от этого полностью — ключ привязан к домену и не сработает на фишинговом сайте. Поэтому для крупных сумм рекомендуется аппаратный ключ, а не только TOTP. Всегда проверяйте URL биржи перед вводом любых данных.

Можно, но рискованно: потеря или компрометация одного приложения открывает доступ ко всему сразу. Для критичных аккаунтов (основная биржа, email) рассмотрите отдельное устройство или аппаратный ключ. Для менее важных сервисов одно приложение приемлемо.