2FA — двофакторна автентифікація — це збірне найменування для всього, що біржі додають поверх пароля. Це формулювання приховує факт: у 2FA є принаймні чотири рівні, і розрив між найнижчим і найвищим — це два порядки реальної стійкості.
Чотири рівні
Рівень 1 · SMS-коди. Найпоширеніша реалізація: на телефон приходить шестизначний код. Найслабша. SIM-swap атаки — коли зловмисник переконує Kyivstar, Vodafone Ukraine або lifecell перевипустити SIM на свою картку — обходять це повністю. Хакерська атака на Kyivstar у грудні 2023 року (5 днів простою, 24 мільйони абонентів постраждали) показала, наскільки вразливою є телеком-інфраструктура.
Рівень 2 · TOTP-автентифікатор. Google Authenticator, Authy, вбудований OTP у 1Password. Шестизначний код, що оновлюється кожні 30 секунд, із секретом, що зберігається на пристрої. Кращий за SMS, бо немає оператора в середині, але фішинговий сайт усе ще може ретранслювати код у реальному часі.
Рівень 3 · Апаратні ключі безпеки. YubiKey, Solo Key, Token2. На основі FIDO2 / WebAuthn — браузер передає автентифікацію лише на легітимний домен, фішинг-ретрансляція провалюється на рівні протоколу. WhiteBIT, Binance, Bybit — усі підтримують цей рівень.
Рівень 4 · Passkey. Те саме сімейство протоколів, що й апаратні ключі, але секрет зберігається на самому пристрої (Secure Enclave iPhone, Android TEE, macOS Keychain), синхронізується через iCloud Keychain або Google Password Manager. Найзначніше покращення UX у безпеці акаунтів за десятиліття.
Що і від чого захищає
Лише рівні три і чотири блокують фішинг-ретрансляцію. Лише рівні з другого по четвертий блокують SIM-swap. SMS 2FA — це технічно "два фактори", але практично єдина точка відмови, прив'язана до колл-центру оператора зв'язку.
Як обирати
До п'ятизначної суми в доларах: TOTP плюс роздруковані коди відновлення в шухляді столу. Від п'ятизначної суми і вище: апаратний ключ або Passkey. YubiKey 5C NFC коштує близько 3 800 ₴ через посередника (офіційна доставка в Україну приостановлена); купіть два — один основний, один у сейфі. Passkey безкоштовний, якщо у вас уже є iPhone або сучасний Android.
Незалежно від суми: відмовтеся від SMS 2FA сьогодні на будь-якому біржовому акаунті. Подальше читання: Правда про 2FA, SIM Swap, YubiKey.