Часто задаваемые вопросы о 2FA

Это дополнительный слой защиты помимо пароля — обычно 6-значный код, который генерирует приложение-аутентификатор. Даже если пароль украден, без кода злоумышленник войти не сможет.

TOTP (Time-based One-Time Password — одноразовый пароль на основе времени) — стандартный алгоритм, описанный в RFC 6238. Он объединяет секретный ключ с текущим временем для генерации 6-значного кода, меняющегося каждые 30 секунд. Google Authenticator, Authy и 2FAA используют этот алгоритм.

TOTP использует текущее время как переменную (меняется каждые 30 с); HOTP использует счётчик (увеличивается при каждом использовании). TOTP распространённее, потому что не требует синхронизации счётчика между устройствами.

Да. SMS уязвим к атаке подмены SIM — злоумышленник убеждает оператора перевести ваш номер на свою SIM. Приложение-аутентификатор генерирует коды прямо на устройстве и не зависит от мобильной сети, что намного безопаснее.

В большинстве сервисов 2FA находится в разделе Безопасность или Настройки аккаунта. Ищите «Двухфакторная аутентификация», «Двухэтапная проверка» или «Подтверждение входа». Сервис покажет QR-код — отсканируйте его в приложении-аутентификаторе, и оно начнёт генерировать коды.

Настройки пользователя Discord → Моя учётная запись → Включить двухфакторную аутентификацию. Отсканируйте QR-код в приложении и введите 6-значный код. Discord также покажет резервные коды — сохраните их в безопасном месте.

Settings → Password and authentication → Enable two-factor authentication. Выберите «Set up using an app», отсканируйте QR-код через 2FAA или другое приложение, введите код для подтверждения и сохраните резервные коды.

Да. При настройке 2FA вы можете отсканировать тот же QR-код на нескольких устройствах. Все они будут генерировать одинаковые коды. Также можно сохранить секретный ключ и добавить его на другое устройство позже. 2FAA поддерживает импорт / экспорт ключей.

Резервные коды — это одноразовые коды, которые сервис выдаёт при включении 2FA. Они нужны для входа, если вы потеряли доступ к приложению-аутентификатору (потеря телефона, сброс и т. д.). Храните их в безопасном месте — без них и без приложения вы можете навсегда потерять доступ к аккаунту.

Используйте резервные коды для входа. Если их нет, обратитесь в поддержку сервиса с подтверждением личности. Некоторые сервисы позволяют отключить 2FA через резервную почту. Для профилактики используйте 2FAA для управления ключами в браузере и экспортируйте резервную копию.

Самая частая причина — неправильное время на устройстве. TOTP-коды зависят от точного времени — даже 30-секундная разница приведёт к отклонению кода. Убедитесь, что часы устройства синхронизированы с сетью / выставлены автоматически. Также проверьте, что вы используете правильный ключ для нужного аккаунта.

В Google Authenticator нажмите меню (⋯) → Перенести аккаунты → Экспортировать аккаунты. Появится QR-код со всеми ключами. Отсканируйте его на новом телефоне в Google Authenticator или используйте инструмент импорта 2FAA, чтобы перенести их в браузер.

Да, если инструмент работает полностью в браузере и не отправляет данные на сервер. 2FAA генерирует все TOTP-коды локально через JavaScript. Секретный ключ хранится в локальном хранилище браузера и никогда не передаётся. Это можно проверить во вкладке Network в DevTools.

Удобно, но создаёт единую точку отказа. Если вы потеряете доступ к этому приложению, потеряете всё. Стоит сохранять резервные коды, экспортировать ключи в безопасное хранилище или использовать два метода параллельно.

Сложно, но возможно. Фишинговые атаки в реальном времени могут перехватывать коды, но злоумышленник должен использовать их в течение 30 секунд. Самый реальный риск — социальная инженерия (вас обманом просят сообщить код) или вредоносное ПО на устройстве. Тем не менее 2FA через приложение остаётся одной из лучших защит от угона аккаунта.

2FAA — это набор бесплатных open-source инструментов 2FA. В него входят веб-аутентификатор TOTP, инструмент импорта из Google Authenticator, расширение Chrome с автозаполнением и MCP-сервер для AI-агентов. Всё работает локально в браузере.

Нет. Все секретные ключи хранятся в локальном хранилище браузера (или в chrome.storage.local в расширении). Ничего не отправляется на сервер. Нет системы аккаунтов и нет отслеживания ваших 2FA-данных.

Да. 2FAA — это Progressive Web App (PWA). После первого визита его можно установить на устройство и использовать полностью офлайн. Для генерации TOTP-кодов интернет не нужен.