Үндсэн контентруу шилжих

2FA гэж юу вэ? Хоёр хүчин зүйлт баталгаажуулалтын гарын авлага

2FA гэж юу вэ? Хоёр хүчин зүйлт баталгаажуулалт хэрхэн ажилладаг, 2FA-ийн таван төрөл, хамгийн чухал бүртгэлүүддээ үүнийг хэрхэн идэвхжүүлэх вэ.

Сүүлд шинэчилсэн: 2026 оны дөрөвдүгээр сарын 5

Зөвхөн нууц үгүүд таны онлайн бүртгэлүүдийг хамгаалахад хангалттай биш. Өгөгдлийн алдагдал жил бүр тэрбум тэрбум итгэмжлэлийг ил гаргаж байгаа бөгөөд хүчтэй нууц үгүүд хүртэл фишинг, гар утасны кейлоггер, эсвэл хүчирхэгжсэн халдлагуудаар эвдрэх боломжтой. Хоёр хүчин зүйлт баталгаажуулалт (2FA) хоёр дахь хамгаалалтын давхарга нэмдэг — хэн нэгэн таны нууц үгийг хулгайлсан ч тэд хоёр дахь хүчин зүйлгүйгээр таны бүртгэлд хандах боломжгүй хэвээр байх болно. Энэхүү гарын авлага нь 2FA гэж юу болох, арга бүр хэрхэн ажилладаг, аль нь хамгийн аюулгүй, хамгийн чухал бүртгэлүүддээ үүнийг хэрхэн тохируулах талаар тайлбарладаг. Энэ нь таны дижитал амьдралыг хамгаалахын тулд хийж болох хамгийн үр дүнтэй ганц алхамуудын нэг юм.

Хоёр хүчин зүйлт баталгаажуулалтын төрөл

SMS код

Текст мессежээр таны утасны дугаар руу нэг удаагийн код илгээгддэг. Та нэвтрэлтийг дуусгахын тулд нууц үгийн дараа энэ кодыг оруулна. SMS 2FA нь хамгийн өргөнөөр хүртээмжтэй арга бөгөөд бараг бүх үйлчилгээ үүнийг дэмждэг, нэмэлт апп эсвэл тоног төхөөрөмж шаардахгүй. Гэсэн хэдий ч SIM солих халдлагууд (халдагч таны оператороор утасны дугаараа SIM карт руугаа шилжүүлэхийг ятгана) болон текст мессежийг таслан зогсоох боломжтой SS7 протоколын мөлжлөгийн улмаас энэ нь 2FA-ийн хамгийн сул хэлбэр юм.

  • Давуу тал: Өргөнөөр дэмждэг, апп шаардахгүй, ямар ч утсан дээр ажилладаг
  • Сул тал: SIM солих, SS7 таслан зогсоох, утасны операторуудын эсрэг нийгмийн инженерийн халдлагад эмзэг

Баталгаажуулагч апп (TOTP)

Цаг хугацаанд суурилсан нэг удаагийн нууц үгийн (TOTP) аппууд хуваалцсан нууц ба одоогийн цагийг ашиглан 30 секунд тутамд шинэ 6 оронтой код үүсгэдэг. Алдартай аппуудад Google Authenticator, Authy, Microsoft Authenticator, Ente Auth багтдаг. TOTP нь SMS-ээс хамаагүй илүү аюулгүй, учир нь кодууд таны төхөөрөмж дээр локал үүсгэгддэг — таслан зогсоох дамжуулах суваг байхгүй. Кодууд оффлайн ажилладаг бөгөөд утасны дугаартай холбогдоогүй. Энэ бол ихэнх хүмүүст санал болгож буй 2FA арга бөгөөд хүчтэй аюулгүй байдал ба ашиглахад хялбар байдлыг тэнцвэржүүлдэг.

  • Давуу тал: Аюулгүй, оффлайн боломжтой, үнэгүй апп ашиглах боломжтой, утасны дугаартай холбогдоогүй
  • Сул тал: Нөөц кодгүйгээр төхөөрөмжөө алдвал түгжээтэй болно; фишингийн сайтууд кодуудыг бодит цаг хугацаанд авч болно

Тоног төхөөрөмжийн аюулгүй байдлын түлхүүр

YubiKey, Google Titan, SoloKeys зэрэг физик төхөөрөмжүүдийг USB порт руу залгах эсвэл NFC-ээр товших замаар баталгаажуулна. Тоног төхөөрөмжийн түлхүүрүүд FIDO2/WebAuthn стандартыг ашигладаг бөгөөд дизайны хувьд фишингэд тэсвэртэй — түлхүүр нь баталгаажуулахаас өмнө вэбсайтын домэйныг криптографийн хувьд баталгаажуулдаг, фишингийн сайтуудад таслан зогсоох боломжгүй болгодог. Google нь бүх ажилтнуудаас тоног төхөөрөмжийн түлхүүр ашиглахыг шаарддаг бөгөөд хэрэгжүүлснээс хойш амжилттай фишингийн халдлага бүртгэгдээгүй гэж мэдээлсэн. Түлхүүрүүдийн үнэ $25-70 бөгөөд боломжит хамгийн аюулгүй 2FA арга юм.

  • Давуу тал: Хамгийн хүчтэй аюулгүй байдал, фишингэд тэсвэртэй, батерейгүй, оффлайн ажилладаг, удаан эдэлгээтэй
  • Сул тал: $25-70 өртөгтэй, алдагдаж эсвэл мартагдаж болно, бүх үйлчилгээгээр дэмждэггүй

Биометр

Хурууны хээ сканнер (Touch ID), нүүр царайн танилт (Face ID), нүдний цахилгаан сканнерууд таны биеийн шинж тэмдгийг баталгаажуулалтын хүчин зүйл болгон ашигладаг. Биометр нь тав тухтай — тэдгээр нь үргэлж тантай хамт байдаг бөгөөд мартагдаж чадахгүй. Тэдгээр нь олон төхөөрөмж, үйлчилгээн дээр нууц үгийн хамт хоёр дахь хүчин зүйл болж ажилладаг. Гэсэн хэдий ч биометрийг (нууц үгээс ялгаатай) эвдвэл өөрчилж болохгүй, олон бүсүүдэд хууль сахиулагчдад хүчээр авах боломжтой. Чанар нь төхөөрөмж бүрт ихээхэн ялгаатай.

  • Давуу тал: Тав тухтай, үргэлж бэлэн, хурдан баталгаажуулалт, давтахад хэцүү
  • Сул тал: Эвдвэл өөрчилж болохгүй, хууль ёсоор хүчээр авах боломжтой, төхөөрөмжөөс хамаарч чанар ялгаатай

Нууц түлхүүр (Passkey)

Нууц түлхүүрүүд нь хамгийн шинэ баталгаажуулалтын стандарт бөгөөд нууц үгийг бүхэлд нь орлуулахаар зохиогдсон. FIDO2/WebAuthn дээр үндэслэсэн нууц түлхүүрүүд нь нийтийн түлхүүрийн криптографийг ашигладаг — таны төхөөрөмж хувийн түлхүүрийг хадгалдаг, үйлчилгээ нь харгалзах нийтийн түлхүүрийг хадгалдаг. Баталгаажуулалт нь төхөөрөмжийн биометрийн мэдрэгч эсвэл PIN-ээр явагддаг бөгөөд бичих, фишинг хийх, хулгайлах нууц үг байхгүй. Apple, Google, Microsoft нар нууц түлхүүрийн дэмжлэгийг үйлдлийн системдээ нэгтгэсэн. Нууц түлхүүрүүд iCloud Keychain, Google Password Manager эсвэл бусад үйлчилгээ үзүүлэгчдээр төхөөрөмжүүдийн хооронд синхрончлогддог бөгөөд тоног төхөөрөмжийн түлхүүрийн аюулгүй байдал, биометрийн тав тухтай байдлыг хослуулдаг.

  • Давуу тал: Фишингэд тэсвэртэй, цээжлэх нууц үг байхгүй, төхөөрөмжүүдийн хооронд синхрончлогддог, хурдан
  • Сул тал: Харьцангуй шинэ, бүгд хараахан дэмжихгүй байна, синхрончлогдсон нууц түлхүүрүүдтэй платформын түгжээний асуудал

2FA-ийн шилдэг туршлага

  1. Имэйл бүртгэл дээр эхлээд 2FA-г идэвхжүүлээрэй — энэ нь бусад бүх бүртгэлийн мастер түлхүүр юм. Хэн нэгэн таны имэйлийг эвдвэл түүнтэй холбогдсон бүх үйлчилгээн дээр нууц үгийг шинэчилж чадна. Таны имэйл бол 2FA-ээр хамгаалах хамгийн чухал ганц бүртгэл юм.
  2. Боломжтой үед SMS-ийн оронд баталгаажуулагч апп ашиглах. TOTP аппууд нь SIM солих, SS7 халдлагаас дархлаатай. Хэрэв үйлчилгээ нь зөвхөн SMS-д суурилсан 2FA-г санал болгож байгаа бол түүнийг ашиглаарай — SMS 2FA нь 2FA байхгүй байснаас огт ялгаатай юм.
  3. Нөөц кодуудыг аюулгүй, тусдаа газар хадгалах. Тэдгээрийг нууц үг менежерт (2FA-аар хамгаалагдсанаас өөр) хадгалах, хэвлэх ба сейфэнд хадгалах, эсвэл цаасан дээр бичээд аюулгүй хадгалах. Баталгаажуулагч аппаа байрладаг ижил төхөөрөмж дээр нөөц кодуудыг шифрлэгдээгүй тэмдэглэлд хэзээ ч бүү хадгал.
  4. Хамгийн чухал бүртгэлүүддээ тоног төхөөрөмжийн аюулгүй байдлын түлхүүрийг авч үзээрэй — имэйл, банкны үйлчилгээ, үүлэн сан, нууц үг менежерүүд. YubiKey 5 NFC ($50) USB-A, USB-C, NFC-тэй ажилладаг бөгөөд бараг бүх төхөөрөмжийг хамарна. Нөөцтэй байхын тулд бүртгэл бүрд хоёр түлхүүр бүртгүүл.
  5. Аль бүртгэлд 2FA идэвхжсэн болохыг тогтмол шалгана уу. Хянахын тулд нууц үг менежер ашиглана уу. Нэн тэргүүний дараалал: имэйл, банкны болон санхүүгийн үйлчилгээ, үүлэн сан, нийгмийн сүлжээ, төлбөрийн мэдээлэлтэй худалдааны сайтууд, ажил эсвэл мэргэжлийн бүртгэлүүд.

2FA-г хэрхэн тохируулах вэ

Бүртгэл бүрд 2FA тохируулахад таван минутаас бага хугацаа шаардагдана. Ихэнх хүмүүст санал болгож буй баталгаажуулагч апп дээр суурилсан 2FA-ийн үйл явц энд байна:

  1. Аюулгүй байдлын тохиргоог нээх:Бүртгэлийнхээ аюулгүй байдлын тохиргоо руу шилжинэ үү. "Two-Factor Authentication," "2-Step Verification," эсвэл "Login Security" гэснийг хайна уу. Google дээр myaccount.google.com > Security > 2-Step Verification руу очно уу. Apple дээр Settings > [Your Name] > Sign-In & Security руу очно уу.
  2. 2FA арга сонгох:2FA арга сонгоно уу. Аюулгүй байдал, тав тухын хамгийн сайн тэнцвэрт байдлын тулд "Authenticator App" сонгоно уу. Танд TOTP апп байхгүй бол суулгана уу — Google Authenticator, Authy, эсвэл Ente Auth бүгд бат бөх сонголтууд юм. Authy ба Ente Auth таны кодуудын шифрлэгдсэн үүлэн нөөцлөлтийг санал болгодог.
  3. QR кодыг сканнердах:Баталгаажуулагч аппаараа дэлгэцэн дээр харуулсан QR кодыг сканнердана уу. Апп 30 секунд тутамд шинэчлэгддэг 6 оронтой код үүсгэх болно. Тохиргоо зөв ажиллаж байгааг батлахын тулд одоогийн кодыг оруулна уу.
  4. Нөөц кодуудыг хадгалах:Нөөц кодуудаа нэн даруй хадгална уу. Ихэнх үйлчилгээ нь баталгаажуулагч төхөөрөмжөө алдвал дахин нэвтрэх боломжийг олгодог нэг удаагийн сэргээх кодуудыг өгдөг. Эдгээрийг нууц үг менежерт хадгалах, хэвлэх, эсвэл бичээд төхөөрөмжүүдээсээ тусдаа аюулгүй газар хадгална уу. Нөөц код байхгүй бол утсаа алдах нь таныг бүртгэлээсээ бүрмөсөн түгжиж орхиж болно.

Түгээмэл асуултууд

Иймээс нөөц кодууд маш чухал юм. 2FA-г тохируулах үед ихэнх үйлчилгээ нь сэргээх кодуудыг өгдөг — 2FA-г тойрох нэг удаагийн ашиглалтын кодууд. Дахин нэвтрэхийн тулд нэгийг нь ашигла, дараа нь шинэ төхөөрөмж дээрээ 2FA-г дахин тохируул. Хэрэв та Authy эсвэл Ente Auth ашигладаг бол кодууд шифрлэгдсэн үүлэн санд нөөцлөгдсөн бөгөөд шинэ төхөөрөмжид сэргээх боломжтой. Google Authenticator одоо мөн үүлэн нөөцлөлтийг дэмждэг. Хэрэв та нөөц код болон сэргээх аргагүй бол үйлчилгээний бүртгэл сэргээх процессоор дамжих шаардлагатай бөгөөд энэ нь өдөр эсвэл долоо хоног үргэлжилж болох ба биеийн байцаалт шаардаж болзошгүй.

Мэдээж тийм. SIM солих, SS7 халдлагын эмзэг байдалтай ч SMS 2FA нь автомат халдлагуудын дийлэнх хувийг хаадаг. Google-ийн судалгаагаар автомат ботуудын 100%, бөөн фишингийн 96%-ийг зогсоодог болохыг харуулсан. Ихэнх хүмүүсийн бодит аюулын загварт зорилтот SIM солих орохгүй — энэ нь крипто валют эзэмшигчид, олон нийтийн зүтгэлтнүүд гэх мэт өндөр үнэ цэнэтэй зорилтуудад голчлон аюул учруулдаг. Хэрэв үйлчилгээ зөвхөн SMS 2FA санал болгож байгаа бол идэвхжүүлээрэй. 2FA байх нь 2FA байхгүй байснаас эрс илүү.

Ямар ч 2FA арга 100% эвдрэшгүй биш боловч хүндрэл маш их хэлбэлздэг. SMS кодуудыг SIM солих замаар таслан зогсоож болно. TOTP кодуудыг бодит нэвтрэх хуудас руу шилжүүлдэг боловсронгуй халдлагуудаар бодит цаг хугацаанд фишинг хийж болно. Гэсэн хэдий ч FIDO2 ашигладаг тоног төхөөрөмжийн аюулгүй байдлын түлхүүрүүд нь дизайны хувьд фишингэд тэсвэртэй — түлхүүр нь баталгаажуулахаас өмнө вэбсайтын домэйныг криптографийн хувьд баталгаажуулдаг, фишинг боломжгүй болгодог. Нууц түлхүүрүүд (passkeys) ижил хамгаалалтыг өвлөн авдаг. Ихэнх хүмүүст TOTP дээр суурилсан 2FA нь бодит аюулын эсрэг хангалттай хамгаалалт үзүүлдэг.

Хамгийн оновчтой нь тийм, гэхдээ стратегийн дагуу нэн тэргүүнд тавь. Имэйл бүртгэл хамгийн чухал — энэ нь бусад бүх бүртгэлийн сэргээх механизм юм. Дараа нь банкны болон санхүүгийн үйлчилгээ, үүлэн сан (Google Drive, iCloud, Dropbox), нийгмийн сүлжээ, төлбөрийн мэдээллийг хадгалсан аливаа бүртгэл, нууц үг менежер дээрээ 2FA-г идэвхжүүлээрэй. Хувийн мэдээлэлгүй, бага ач холбогдолтой нэг удаагийн бүртгэлийг алгасч болно, гэхдээ зорилго нь хаа сайгүй 2FA байх ёстой.

FIDO2/WebAuthn стандартыг ашигладаг тоног төхөөрөмжийн аюулгүй байдлын түлхүүрүүд (YubiKey, Google Titan) нь одоогийн хүрэлцэхүйц хамгийн аюулгүй 2FA-ийн хэлбэр юм. Тэдгээр нь дизайны хувьд фишингэд тэсвэртэй, биеийн эзэмшил шаардлагатай, таслан зогсоох эсвэл шилжүүлэх ямар ч код байхгүй. Нууц түлхүүрүүд (passkeys) нь үүлэн синхрончлолын тав тухтай байдалтай ижил аюулгүй байдлыг санал болгодог. TOTP баталгаажуулагч апп нь дараагийн хамгийн сайн сонголт — SMS-ээс хамаагүй илүү аюулгүй. SMS нь хамгийн сул 2FA боловч зөвхөн нууц үгтэй баталгаажуулалтаас илүү дээр хэвээр байна.

Тийм, тэдний дизайны зорилго юм. Нууц түлхүүрүүд нь нууц үг ба хоёр дахь хүчин зүйлийг ганц, фишингэд тэсвэртэй баталгаажуулалтын алхамд нэгтгэдэг. Нууц үг бичээд кодыг оруулахын оронд та зүгээр л төхөөрөмжийнхөө биометрийн мэдрэгч эсвэл PIN-ээр баталгаажуулна. FIDO2 криптографийн үндэс нь нууц үг + TOTP-ийн нийлбэрээс илүү хүчтэй аюулгүй байдлыг өгдөг. Гэсэн хэдий ч нууц түлхүүрийн нэвтрүүлэлт өсөн нэмэгдсээр байгаа — бүх үйлчилгээ үүнийг хараахан дэмжихгүй байна. Шилжилтийн үед нууц түлхүүрийг хараахан дэмжээгүй үйлчилгээнүүд дээр уламжлалт 2FA (баталгаажуулагч апп эсвэл тоног төхөөрөмжийн түлхүүр) үргэлжлүүлэн ашиглаарай.