KtoZvonil

言語を変更

SMS-коды и приложения-аутентификаторы: что безопаснее для 2FA

公開日 10 июля 2026

Двухфакторная аутентификация (2FA) — это второй рубеж защиты после пароля: даже если пароль украден, войти в аккаунт без второго подтверждения не получится. Самый распространённый способ такого подтверждения — код из SMS. Но это далеко не самый надёжный вариант, и стоит понимать разницу между SMS-кодами, приложениями-аутентификаторами и более новой технологией passkey.

Как устроены три способа защиты

SMS-код приходит на ваш номер телефона от оператора связи и передаётся через мобильную сеть. Приложение-аутентификатор генерирует одноразовый код прямо на вашем устройстве, без участия сети — коды меняются каждые 30–60 секунд по алгоритму, который знают только сервер и ваш телефон. Passkey — это криптографический ключ, который создаётся и хранится на устройстве (телефоне, компьютере) и подтверждается биометрией или PIN-кодом устройства, без ввода какого-либо кода вручную.

Почему SMS-коды — самое слабое звено

SMS-коды удобны, но у них есть несколько уязвимостей, которыми пользуются мошенники:

  • Подмена SIM-карты (SIM swap). Злоумышленник, используя украденные личные данные, убеждает оператора связи перевыпустить вашу SIM-карту на новое устройство. После этого все SMS, включая коды 2FA, приходят уже мошеннику.
  • Социальная инженерия. Вам звонят от имени банка, службы поддержки или «безопасности» сервиса и просят продиктовать код, который только что пришёл по SMS. Это самый частый способ обхода 2FA — не технический взлом, а обман.
  • Фишинговые сайты-двойники. Поддельная страница входа собирает и логин, и пароль, и SMS-код в реальном времени, мгновенно передавая их на настоящий сайт для входа под вашим именем.
  • Перехват на уровне сети. Мобильные сети имеют известные уязвимости в служебных протоколах, которые теоретически позволяют перехватывать SMS без физического доступа к телефону.

Ни один из этих сценариев не требует от мошенника взламывать пароль — достаточно получить код тем или иным способом, часто просто попросив вас его назвать.

Приложения-аутентификаторы: надёжнее, но не идеальны

Приложение-аутентификатор устраняет главную уязвимость SMS — код больше не передаётся через мобильную сеть, а генерируется локально на устройстве. Это защищает от подмены SIM-карты и перехвата на уровне сети. Однако полностью от обмана это не спасает:

  • Фишинговый сайт-двойник по-прежнему может попросить вас ввести код из приложения и мгновенно использовать его для входа на настоящем сайте — этот сценарий работает так же, как и с SMS.
  • Если вы потеряете телефон и не сохранили резервные коды или не настроили перенос на новое устройство, можно временно потерять доступ к своим аккаунтам.
  • Мошенники иногда убеждают жертву самостоятельно установить приложение удалённого доступа и «показать» код с экрана — здесь опасность создаёт не технология, а доверчивость пользователя.

Тем не менее приложения-аутентификаторы значительно снижают риск массовых автоматизированных атак и делают SIM-swap бесполезным для взломщика.

Passkeys: следующий шаг в защите

Passkey решает и проблему фишинга. Технически он «привязан» к конкретному сайту или сервису: даже если вас обманом заведут на поддельную страницу, ваше устройство просто не сможет подтвердить вход, потому что адрес не совпадает с тем, для которого создавался ключ. Кода, который можно продиктовать по телефону или ввести на чужом сайте, здесь попросту не существует — подтверждение происходит биометрией или PIN-кодом устройства, и передать его мошеннику невозможно в принципе.

Пока не все сервисы поддерживают passkeys, но там, где эта опция доступна, она надёжнее и SMS, и обычных приложений-аутентификаторов.

Как повысить свою защиту уже сейчас

  • Там, где это возможно, замените SMS-подтверждение на приложение-аутентификатор или passkey в настройках безопасности аккаунта.
  • Сохраните резервные коды восстановления, которые сервисы выдают при подключении 2FA, и храните их отдельно от телефона.
  • Установите у своего мобильного оператора дополнительный код или PIN для операций с SIM-картой, если такая услуга предусмотрена.
  • Никогда не диктуйте код из SMS или приложения по телефону — ни банку, ни «службе поддержки», ни курьеру. Настоящие организации не запрашивают такие коды устно.
  • Проверяйте адрес сайта перед вводом кода: даже одна лишняя буква в домене может означать, что перед вами подделка.

Если вы подозреваете, что стали жертвой

Если SMS с кодами перестали приходить без видимой причины или телефон внезапно потерял связь с сетью — это может быть признаком подмены SIM-карты. В этом случае как можно быстрее свяжитесь с оператором связи по официальному номеру и с банком, используя номер с обратной стороны карты, чтобы заблокировать доступ к счетам до выяснения ситуации. Также стоит сменить пароли на ключевых аккаунтах и включить более надёжный способ подтверждения входа, как только доступ будет восстановлен.

Двухфакторная аутентификация — это не формальность, а реальный барьер для мошенников. Но выбор способа подтверждения имеет значение: переход от SMS к приложению-аутентификатору, а затем и к passkey, там где это доступно, заметно снижает риск того, что кто-то войдёт в ваш аккаунт вместо вас.

共有:

Читайте также

最新のコメント

すべて →
  1. +7 927 792-41-97

    Мошенники хотят код от карты!

  2. +7 958 825-35-87

    *** ебанное

  3. +380 95 881 65 35

    М. Харків, Чоловік назвався на імя Юра, він шахрай, тримає дівчаток для утіх чих-пих, фото на сайті зовсім інші, приїзж…

  4. +380 63 911 30 00

    Машенник.Харьков. Псевдомастер пневмоподвески. Берёт машину на обслуживание специально что-то в ней ломает или меняет н…

  5. +380 68 989 61 24

    Эти жильцы Юля и Сергей не заплатили долг за 2 месяца аренды квартиры, после чего сбежали без расчёта. Квартира и имуще…

最近閲覧した番号

最近の番号検索

現在

お問い合わせ

バグを見つけた、レビューを削除したい、提携の提案がありますか? ご連絡ください — 24時間以内に返信します。

報告

何が問題かを教えてください。すべての苦情に目を通し、通常24時間以内に回答します。

理由