Правда о 2FA, passkey и резервных кодах

Иерархия 2FA в 2026 году

Не все вторые факторы равны. Защитный разрыв между SMS-2FA и аппаратным ключом безопасности примерно тот же, что разрыв между использованием четырёхзначного PIN и аппаратно шифрованного полнодискового пароля.

Пять уровней, ранжированных

• Уровень 5 — SMS 2FA. Лучше, чем ничего, хуже, чем почти любая другая опция. Уязвим к SIM-swap атакам.
• Уровень 4 — Email 2FA. Чуть лучше SMS, потому что email-аккаунты сложнее скомпрометировать, чем телефонных операторов.
• Уровень 3 — TOTP через authenticator-приложение (Google Authenticator, Authy). Минимальный приемлемый уровень для любого крипто-аккаунта.
• Уровень 2 — Push-based 2FA (Duo, Microsoft Authenticator push). Лучше TOTP, потому что промпт включает контекст («Вход из Лагоса в 3 ночи — одобрить?»).
• Уровень 1 — Аппаратный ключ безопасности (YubiKey, Titan, SoloKey). Защитный потолок. Ключ доказывает владение через криптографический challenge-response.

Практическое распределение

Для крипто-холдеров в 2026 рабочее распределение: уровень 1 (YubiKey + passkey) на email и основной бирже; уровень 2 или 3 на вторичных биржах; уровень 3 или выше на всё остальное. SMS-2FA следует удалить везде, где возможно.

Блокировка на уровне оператора

Позвоните вашему мобильному оператору и добавьте «port-out PIN» или «пароль аккаунта». Это второй фактор на самом SIM-swap. Стоит 15-минутного звонка.

Что меняется после аппаратного ключа

Вы привыкнете носить его. Со временем купите второй как бэкап. Зарегистрируете оба на каждом важном аккаунте. Поток восстановления выглядит так: потерять ключ #1 — использовать ключ #2 — купить замену #1 — перерегистрировать. Весь процесс спокойнее, чем любой другой режим отказа 2FA.