Цифровой, электронный характер криптовалют делает их уязвимыми для разных способов нарушить вашу безопасность. Присущие технические сложности заставили многих лишиться своих накоплений в цифровой валюте, часто из-за отсутствия адекватной защиты или глупости. Поэтому крайне важно принять все необходимые меры для защиты связанных аккаунтов: криптовалютных бирж, кошельков для монет, 2р2-обменников и пр., в идеале даже аккаунт электронной почты, которая используется для регистраций. Если вы не слышали о 2FA, лучше поставить ее после прочтения этой статьи.
Что такое двухфакторная аутентификация или 2FA
2FA — это простой способ повысить безопасность, используя независимый канал аутентификации. После ввода логина и пароля при регистрации, сервис будет требовать подтверждение через 2FA: ввод одноразового пароля, который отправляется на смартфон, чтобы завершить процесс входа в систему. Это значительно повышает безопасность, поскольку для подтверждения действий требуется дополнительный уровень проверки. Также пароль из сервиса 2FA требуется для совершения действий, например, переводов средств или голосований.
Есть два основных способа получения одноразового пароля:
- через sms,
- через специальное приложение.
Таким образом, используя еще один метод подтверждения входа и действий, вы защищаете учетную запись от взлома. Даже если аккаунт будет взломан, или украден файл с хранилищем паролей, или если вы не используете надежный пароль из-за забывчивости, есть шанс сохранить аккаунт.
Двухфакторная авторизация через смс
Этот способ считается недостаточно надежным:
- есть относительно легкие способы подменить номер телефона (а также перехватить трафик), так что код будет отправлен на номер злоумышленника,
- не подходит для путешествий, когда телефон в роуминге/с переставленной симкартой/по какой-то причине не ловит сеть другого оператора,
- смс могут приходить с опозданием, а время на ввод кода может быть ограничено.
Приложения для двухфакторной авторизации
Этот метод авторизации может работать в автономном режиме, потому что одноразовый пароль генерируется сразу на смартфоне, без подключения к серверу. Но для первой настройки нужен Интернет на телефоне.
Проверенными являются следующие сервисы:
- Google Authenticator — самый популярный, подходит для всех приложений и сайтов, которые защищают аккаунт таким методом авторизации пользователей.
- Authy — большой конкурент гугла, главная причина выбора этого приложения — поддержка нескольких устройств. Если вы потеряли устройство c Google Authenticator и не делали никаких бэкапов (об этом ниже), то с аккаунтами буддут проблемы, в большинство из них будет вообще не зайти. У Authy функция одинакового токена на нескольких устройствах опциональна, ее можно отключить, если считаете ее рискованной. Также программа доступна с компьютера.
- Самый высокий уровень защиты у токена на отдельном устройстве, обычно USB. Это платные флешки от фирм YubiKey. При использовании с ПК нужно только нажать на одну кнопку, вставив девайс в порт, а с телефона подключается через NFC.
Как поставить двухфакторную аутентификацию
Это не так сложно, как может показаться. Возьмем в пример cex.io и Google Authenticator. Инструкция подходит под большинство бирж:
- Авторизуемся в аккаунте,
- Заходим на вкладку «Профиль» (Profile, Account)
- Заходим на вкладку «Безопасность» (Security Settings, Security и подобные названия),
- Выбираем «Подключить 2FA» через приложение (App),
- Обязательно скачайте бэкап ключ (или запишите на бумажку), зайдите в приложение Google,
- В приложении выберите «Добавить аккаунт» через сканирование штрихкода,
- Наведите сканер на код, введите в поле цифровую комбинаций, нажмите Next.
- В приложении Google Authenticator нажмите «Сохранить аккаунт».
- Все готово.
Еще раз повторим, что для лучшей безопасности подтверждение через приложение аутентификатора нужно поставить на все аккаунты, включая почту.
Для некоторых бирж необходимо выбрать тип одноразового пароля для настройки 2FA. Существует два типа:
HOTP — действует в течение неопределенного периода времени,
TOTP — изменяется каждые 30 секунд. Он предпочтительнее, поскольку более безопасен, генерируется приложением Authenticator каждые 30 секунд и требует синхронизации между смартфоном и сервером. Время можно настраивать.
Что делать, если удалил приложение двойной аутентификации
Чтобы не потерять безвозвратно доступ к аккаунту или долго не общаться с техподдержкой, нужно сохранить бэкап-ключ. Обычно он подписан рядом с QR-кодом (как у cex.io) или его можно скачать отдельным файлом. Если такой подписи нет, то нужно самостоятельно «вытащить» эту информацию из QR-кода. Для этого нужно сделать скрин QR-кода и прочитать информацию из него (это будет все тот же текстовый ключ, который обычно указывается рядом с кодом) любым другим приложением для распознования QR-кодов.
Этот файл (код) нужно хранить в надежном месте. Кто-то шифрует и записывает на автономную флешку, кто-то переписывает на лист бумаги. Как правило, уровень осознанности зависит от суммы средств, которую можно потерять =) Данные можно положить в несвязанный с вами облачный сервис (с секретной почты), в банковскую ячейку, доверенному лицу или, скажем, закопать флешку где-то. Лучше использовать комбинацию способов.
В противном случае, один выход из ситуации — общаться с техподдержкой сайте, где вы потеряли доступ к аккаунту. Зная загруженность бирж и высокую вероятность мошенничества, лучше не доводить ситуацию до такого исхода.
