Правда про 2FA, passkey і резервні коди

Ієрархія 2FA у 2026 році

Не всі другі фактори рівні. Захисний розрив між SMS-2FA і апаратним ключем безпеки приблизно той самий, що розрив між використанням чотиризначного PIN і апаратно зашифрованого повнодискового пароля.

П'ять рівнів, ранжованих

• Рівень 5 — SMS 2FA. Краще ніж нічого, гірше майже за будь-яку іншу опцію. Вразливий до SIM-swap атак.
• Рівень 4 — Email 2FA. Трохи краще SMS, бо email-акаунти важче скомпрометувати, ніж телефонних операторів.
• Рівень 3 — TOTP через authenticator-застосунок. Мінімальний прийнятний рівень для будь-якого крипто-акаунту.
• Рівень 2 — Push-based 2FA (Duo, Microsoft Authenticator push). Краще TOTP, бо промпт включає контекст.
• Рівень 1 — Апаратний ключ безпеки (YubiKey, Titan, SoloKey). Захисна стеля. Ключ доводить володіння через криптографічний challenge-response.

Практичний розподіл

Для крипто-холдерів у 2026 робочий розподіл: рівень 1 (YubiKey + passkey) на email і основній біржі; рівень 2 або 3 на вторинних біржах; рівень 3 або вище на все інше. SMS-2FA слід видалити скрізь, де можливо.

Блокування на рівні оператора

Зателефонуйте вашому мобільному оператору — Київстар, Vodafone Україна, lifecell — і додайте «port-out PIN» або «пароль акаунту». Це другий фактор на самому SIM-swap. Варто 15-хвилинного дзвінка.

Що змінюється після апаратного ключа

Ви звикнете носити його. З часом купите другий як бекап. Зареєструєте обидва на кожному важливому акаунті. Потік відновлення виглядає так: втратити ключ #1 — використати ключ #2 — купити заміну #1 — перереєструвати. Весь процес спокійніший, ніж будь-який інший режим відмови 2FA.