2FA — двухфакторная аутентификация — это собирательное название для всего, что биржи накладывают поверх пароля. Эта формулировка скрывает факт: у 2FA есть как минимум четыре уровня, и разрыв между низшим и высшим — это два порядка реальной устойчивости.
Четыре уровня
Уровень 1 · SMS-коды. Самая распространённая реализация: на телефон приходит шестизначный код. Самая слабая. Атаки SIM-swap — когда злоумышленник убеждает МТС, МегаФон, Билайн или Tele2 перевыпустить SIM на свою карту — обходят это полностью. По данным Касперского, в 2024 году в РФ зафиксировано более 4 000 случаев SIM-swap с потерями свыше 800 млн рублей.
Уровень 2 · TOTP-аутентификатор. Google Authenticator, Authy, встроенный OTP в 1Password, Яндекс.Ключ. Шестизначный код, обновляющийся каждые 30 секунд, с секретом, хранящимся на устройстве. Лучше SMS, потому что нет оператора в середине, но фишинговый сайт всё ещё может ретранслировать код в реальном времени — именно такая атака поразила сотни пользователей Bybit и OKX в 2023 году.
Уровень 3 · Аппаратные ключи безопасности. YubiKey, Solo Key, Token2. На основе FIDO2 / WebAuthn — браузер передаёт аутентификацию только на легитимный домен, фишинг-ретрансляция проваливается на уровне протокола. Bybit, OKX, Bitget, MEXC, WhiteBIT — все поддерживают этот уровень.
Уровень 4 · Passkey. То же семейство протоколов, что и аппаратные ключи, но секрет хранится на самом устройстве (Secure Enclave iPhone, Android TEE, macOS Keychain), синхронизируется через iCloud Keychain или Google Password Manager. Самое значимое улучшение UX в безопасности аккаунтов за десятилетие.
Что и от чего защищает
Только уровни три и четыре блокируют фишинг-ретрансляцию. Только уровни со второго по четвёртый блокируют SIM-swap. SMS 2FA — это технически "два фактора", но практически единая точка отказа, привязанная к колл-центру оператора связи.
Как выбирать
До пятизначной суммы в долларах: TOTP плюс распечатанные коды восстановления в ящике стола. От пятизначной суммы и выше: аппаратный ключ или Passkey. YubiKey 5C NFC стоит около 8 000 ₽ при заказе через посредника (официальная доставка в РФ приостановлена с 2022); купите два — один основной, один в сейфе. Passkey бесплатен, если у вас уже есть iPhone или современный Android.
Независимо от суммы: откажитесь от SMS 2FA сегодня на любой биржевой учётной записи. Дополнительное чтение: Правда о 2FA, SIM Swap, YubiKey.