Перейти к содержимому
>_ITDITDПлатформа веб-безопасности

Глоссарий

Что такое двухфакторная аутентификация (2FA)? Отличие от двухэтапной проверки и сила методов

Двухфакторная аутентификация (2FA) добавляет к паролю доказательство другого рода. Чем она отличается от двухэтапной проверки, какова сила каждого метода (SMS, приложение-аутентификатор / TOTP, passkey) и как выбирать. Только защита, без шагов атаки.

Опубликовано 2026-07-02 Обновлено 2026-07-02 4 мин чтения

«Даже если мой пароль утечёт, одного этого не хватит, чтобы кто-то вошёл» — вот что даёт двухфакторная аутентификация (2FA). Разберём, чем она отличается от часто путаемой с ней двухэтапной проверки и как сравнивать методы (без шагов атаки).

«Два фактора» против «двух этапов» — в чём разница?

Слова похожи, но всё просто, если держать в уме цель. Факторы аутентификации делятся на три категории:

Знание
То, что вы знаете: пароль, PIN, контрольный вопрос
Владение
То, что у вас есть: телефон, приложение-аутентификатор, аппаратный ключ, номер, на который приходит SMS
Свойство
То, чем вы являетесь: отпечаток пальца, лицо, радужка

Двухфакторная аутентификация (2FA) смешивает две разные категории (например, пароль = знание + приложение-аутентификатор = владение). Смысл в том, что если одна сломана, устоит другая категория, и злоумышленник не войдёт. Двухэтапная проверка (2SV), напротив, означает лишь «проверить дважды», и оба этапа могут быть одной категории (пароль + контрольный вопрос — это два этапа, но не два фактора). Поэтому если вам действительно нужна сила, ключ — смешивать разные категории.

Сила метода: всё сводится к «можно ли отдать это фишинговому сайту?»

Даже при включённой 2FA сила сильно зависит от метода. Решающий фактор — можете ли вы случайно отдать «доказательство» поддельному сайту.

Сильный ── Passkey / аппаратный ключ (FIDO2)

Подпись привязана к домену — по конструкции не может быть предъявлена поддельному сайту (устойчивость к фишингу)

Средний ── Приложение-аутентификатор (TOTP)

Сильнее SMS, но код читает человек — значит, его можно отдать поддельному сайту

Слабый ── Коды по SMS / email

Уязвимы для SIM-swap и ретрансляции; но всё же сильнее одного пароля

Сила метода 2FA сводится к «можно ли отдать это фишинговому сайту?». Выше — сильнее.

Слабо: коды по SMS / email

  • код читает и вводит человек — значит, его можно отдать прямо поддельному сайту
  • уязвим для SIM-swap и фишинга с атакой «злоумышленник посередине» (AiTM)
  • но всё же явно сильнее одного пароля (намного лучше, чем ничего)

Сильно: passkey / аппаратный ключ (FIDO2)

  • подпись привязана к домену сайта — предъявить её поддельному сайту невозможно
  • устойчива даже к фишингу «злоумышленник посередине» (устойчивый к фишингу MFA)
  • приложение-аутентификатор (TOTP) — посередине: сильнее SMS, но всё же может быть предъявлено поддельному сайту

Взгляд этого сайта: сначала включите, затем перейдите на методы, которые «нельзя отдать»

Самая частая неудача с 2FA — переусердствовать с выбором «какой самый сильный» и в итоге не включить вообще ничего. Приоритет ясен — сначала включите хоть какую-то 2FA на каждом аккаунте, затем поднимите ключевые аккаунты (почта, домен, платежи) до метода, который нельзя отдать фишинговому сайту (passkey). Наш сайт не считает «распознать поддельный сайт за счёт внимательности» стратегией защиты. Вместо человеческой бдительности опирайтесь на методы, где доказательство по конструкции нельзя отдать поддельному сайту.

Читать дальше

FAQ

QДвухфакторная и двухэтапная аутентификация — это одно и то же?
A

Строго говоря, нет. Двухфакторная аутентификация (2FA) сочетает два разных «фактора» — знание (пароль), владение (телефон, ключ) или свойство (отпечаток, лицо). Двухэтапная проверка (2SV) означает лишь «проверить дважды», и два этапа не обязательно относятся к разным факторам (например, пароль плюс контрольный вопрос — это оба знание, то есть два этапа, но не два фактора). На практике они сильно пересекаются, но цель — смешать разные категории, чтобы взлом одной не давал доступа.

QСтоит ли до сих пор использовать 2FA по SMS?
A

Да. Это явно сильнее одного пароля и останавливает большинство захватов из-за повторного использования или утечки паролей. Но SMS — главная цель для SIM-swap и фишинга с атакой «злоумышленник посередине», поэтому как метод он относится к самому слабому уровню. Верная трактовка: «намного лучше, чем ничего, но не финишная черта». Где можно, переходите на приложение-аутентификатор (TOTP) или на passkey.

QКакой метод выбрать?
A

Правило простое: чем труднее метод отдать фишинговому сайту, тем он сильнее. От сильного к слабому: passkey / аппаратный ключ безопасности (FIDO2) > код приложения-аутентификатора (TOTP) > SMS/email. Для аккаунтов-«ключей от королевства» — почта, ваш домен, платежи — предпочитайте устойчивый к фишингу метод вроде passkey. Реалистично: сначала включите хоть какую-то 2FA везде, затем поднимите самые важные аккаунты до сильнейшего метода.