Почему это важно
Пароли утекают пачками с чужих взломанных сайтов и складываются в публичные базы. Если твой пароль везде один, злоумышленнику достаточно одной такой утечки — он подставит логин-пароль к твоей почте, GitHub, банку и облаку (атака credential stuffing). А почта — это «ключ от всех дверей»: через сброс пароля с неё угоняют всё остальное.
Живой сценарий. Пароль с давно забытого форума утёк и попал в базу. Бот автоматически перебрал его на сотнях сервисов и зашёл в почту, где не было 2FA. Дальше — сброс паролей к остальным аккаунтам, увод домена и платёжек. Всё — из-за одного переиспользованного пароля и отсутствия второго фактора.
Что делать (по шагам)
- Включи 2FA везде, начиная с почты, банка, GitHub, облака и менеджера паролей. Приоритет факторов: аппаратный ключ (FIDO2) > TOTP-приложение > push; SMS — только если ничего другого нет.
Настройка TOTP: Настройки → Безопасность → Двухфакторная аутентификация →
«Приложение-аутентификатор» → отсканировать QR в Aegis/2FAS →
ввести 6-значный код → СОХРАНИТЬ backup-коды офлайн.
- Уникальный длинный пароль на каждый сервис — генерируй и храни их в менеджере паролей, помни только один мастер-пароль.
- Сохрани резервные (backup) коды 2FA в офлайне/менеджере — иначе потеря телефона = потеря доступа.
- Проверяй домен в адресной строке перед вводом логина — фишинг подделывает буквы (
gооgleс кириллицей). Менеджер паролей сам не подставит автозаполнение на поддельном домене — это защита. - Проверь свои адреса на утечки и поменяй засветившиеся пароли:
haveibeenpwned.com → ввести email → если есть в утечках → сменить пароли там.
Чего НЕ делать
- Не используй один пароль повторно и не делай «пароль + 1».
- Не вводи коды 2FA на странице, открытой по ссылке из письма/сообщения.
- Не подтверждай вход/пуш, который ты не инициировал (MFA-fatigue атака — заваливают пушами, пока не нажмёшь).
- Не диктуй одноразовые коды «сотруднику поддержки/банка» — настоящая поддержка их не спрашивает.
- Не полагайся только на SMS — SIM можно перехватить (SIM-swap).
Как проверить себя
- 2FA включён на почте, банке, GitHub, облаке и менеджере паролей.
- Backup-коды 2FA сохранены офлайн.
- Все пароли уникальны и лежат в менеджере (нет повторов).
- Мои email проверены на haveibeenpwned, засветившиеся пароли сменены.
- Я знаю, что поддержка никогда не просит коды/пароли.