Перейти к содержимому
>_ITDITDПлатформа веб-безопасности
tag

phishing defense

2 статей с этим тегом

2026-07-02

Что такое одноразовый пароль (OTP)? TOTP против HOTP против SMS и его пределы

Одноразовый пароль (OTP) — это короткоживущий одноразовый код, который становится недействительным после использования. Виды: TOTP приложения-аутентификатора (на основе времени), HOTP (на основе счётчика) и SMS-OTP. Он силён против утёкших и повторно используемых паролей и обычно служит фактором «то, что у вас есть» в 2FA. Но у него есть предел: фишинг «злоумышленник посередине» (AiTM) может ретранслировать OTP через поддельный сайт и всё равно войти. Настоящая устойчивость к фишингу даёт привязанный к домену passkey. OTP — «намного лучше, чем ничего, но не финишная черта».

2026-07-02

Что такое двухфакторная аутентификация (2FA)? Отличие от двухэтапной проверки и сила методов

Двухфакторная аутентификация (2FA) усиливает проверку личности, добавляя доказательство другой категории — «то, что у вас есть» или «то, чем вы являетесь» (код, ключ или биометрия) — поверх «того, что вы знаете» (пароля). Строго говоря, это не то же самое, что двухэтапная проверка (две проверки, но не обязательно двух категорий). Сила зависит от метода: SMS/email < приложение-аутентификатор (TOTP) < passkey/аппаратный ключ (FIDO2). Позиция нашего сайта: сначала включите хоть какую-то 2FA везде, затем переведите ключевые аккаунты на методы, которые нельзя отдать фишинговому сайту.