2FA и пароли: как защитить аккаунты пользователей

Пароли утекают и подбираются. Двухфакторная аутентификация (2FA) добавляет второй рубеж: даже зная пароль, злоумышленник не войдёт без одноразового кода.

Как работает TOTP

Самый распространённый способ — TOTP (одноразовые коды по времени, RFC 6238). Приложение (Google Authenticator, 1Password) и сервер хранят общий секрет и каждые 30 секунд генерируют одинаковый 6-значный код. Подключение — через QR-код.

Как хранить пароли правильно

• Никогда не храните пароли в открытом виде.
• Используйте bcrypt или argon2 с солью.
• Не ограничивайте длину пароля жёстко и поощряйте парольные фразы.
• Сравнивайте секреты через timing-safe функции.

Восстановление без дыр

Токен сброса должен быть одноразовым, с коротким сроком жизни, а в базе храните только его хэш. Ответ системы делайте одинаковым независимо от того, существует ли email — иначе можно перебирать пользователей.

Вывод

2FA и грамотное хранение паролей закрывают самый частый вектор атак — компрометацию аккаунтов. Это обязательный минимум для любого сервиса с входом.