qvib.pro
EN

Аккаунты и 2FA

Один пароль на всё = одна утечка ломает всё. 2FA + менеджер паролей закрывают 99% угроз.

бесплатно любой

Почему это важно

Пароли утекают пачками с чужих взломанных сайтов и складываются в публичные базы. Если твой пароль везде один, злоумышленнику достаточно одной такой утечки — он подставит логин-пароль к твоей почте, GitHub, банку и облаку (атака credential stuffing). А почта — это «ключ от всех дверей»: через сброс пароля с неё угоняют всё остальное.

Живой сценарий. Пароль с давно забытого форума утёк и попал в базу. Бот автоматически перебрал его на сотнях сервисов и зашёл в почту, где не было 2FA. Дальше — сброс паролей к остальным аккаунтам, увод домена и платёжек. Всё — из-за одного переиспользованного пароля и отсутствия второго фактора.

Что делать (по шагам)

  1. Включи 2FA везде, начиная с почты, банка, GitHub, облака и менеджера паролей. Приоритет факторов: аппаратный ключ (FIDO2) > TOTP-приложение > push; SMS — только если ничего другого нет.
Настройка TOTP: Настройки → Безопасность → Двухфакторная аутентификация →
«Приложение-аутентификатор» → отсканировать QR в Aegis/2FAS →
ввести 6-значный код → СОХРАНИТЬ backup-коды офлайн.
  1. Уникальный длинный пароль на каждый сервис — генерируй и храни их в менеджере паролей, помни только один мастер-пароль.
  2. Сохрани резервные (backup) коды 2FA в офлайне/менеджере — иначе потеря телефона = потеря доступа.
  3. Проверяй домен в адресной строке перед вводом логина — фишинг подделывает буквы (gооgle с кириллицей). Менеджер паролей сам не подставит автозаполнение на поддельном домене — это защита.
  4. Проверь свои адреса на утечки и поменяй засветившиеся пароли:
haveibeenpwned.com → ввести email → если есть в утечках → сменить пароли там.

Чего НЕ делать

  • Не используй один пароль повторно и не делай «пароль + 1».
  • Не вводи коды 2FA на странице, открытой по ссылке из письма/сообщения.
  • Не подтверждай вход/пуш, который ты не инициировал (MFA-fatigue атака — заваливают пушами, пока не нажмёшь).
  • Не диктуй одноразовые коды «сотруднику поддержки/банка» — настоящая поддержка их не спрашивает.
  • Не полагайся только на SMS — SIM можно перехватить (SIM-swap).

Как проверить себя

  • 2FA включён на почте, банке, GitHub, облаке и менеджере паролей.
  • Backup-коды 2FA сохранены офлайн.
  • Все пароли уникальны и лежат в менеджере (нет повторов).
  • Мои email проверены на haveibeenpwned, засветившиеся пароли сменены.
  • Я знаю, что поддержка никогда не просит коды/пароли.

Инструменты