Перейти до основного вмісту

Що таке 2FA? Посібник із двофакторної автентифікації

Що таке 2FA? Як працює двофакторна автентифікація, п'ять типів 2FA та як увімкнути її на найважливіших облікових записах.

Останнє оновлення: 5 квітня 2026 р.

Самих паролів недостатньо для захисту ваших онлайн-облікових записів. Витоки даних розкривають мільярди облікових даних щороку, і навіть надійні паролі можна скомпрометувати через фішинг, кейлогери чи атаки повного перебору. Двофакторна автентифікація (2FA) додає другий рівень захисту — навіть якщо хтось викраде ваш пароль, він не зможе отримати доступ до облікового запису без другого фактора. Цей посібник пояснює, що таке 2FA, як працює кожен метод, які типи найбезпечніші та як налаштувати її на найважливіших облікових записах. Це один із найефективніших кроків, який ви можете зробити для захисту свого цифрового життя.

Типи двофакторної автентифікації

SMS-коди

Одноразовий код надсилається на ваш номер телефону текстовим повідомленням. Ви вводите цей код після пароля для завершення входу. SMS-2FA — найбільш широко доступний метод — майже кожен сервіс її підтримує, і вона не потребує додаткових застосунків чи обладнання. Однак це найслабша форма 2FA через вразливість до атак SIM-swap (коли зловмисник переконує оператора передати ваш номер на свою SIM-карту) та експлуатацій протоколу SS7, які можуть перехоплювати текстові повідомлення.

  • Плюси: Широка підтримка, без застосунку, працює на будь-якому телефоні
  • Мінуси: Вразлива до SIM-swap, перехоплення SS7 та соціальної інженерії операторів

Застосунки-автентифікатори (TOTP)

Застосунки Time-based One-Time Password (TOTP) генерують новий 6-значний код кожні 30 секунд, використовуючи спільний секрет і поточний час. Популярні застосунки: Google Authenticator, Authy, Microsoft Authenticator та Ente Auth. TOTP значно безпечніший за SMS, бо коди генеруються локально на вашому пристрої — немає каналу передачі для перехоплення. Коди працюють офлайн і не прив'язані до вашого номера телефону. Це рекомендований метод 2FA для більшості людей — баланс сильної безпеки та простоти використання.

  • Плюси: Безпечний, працює офлайн, безкоштовні застосунки, не прив'язаний до номера телефону
  • Мінуси: Втрата пристрою без резервних кодів блокує вас; фішингові сайти все одно можуть захоплювати коди в реальному часі

Апаратні ключі безпеки

Фізичні пристрої, як YubiKey, Google Titan і SoloKeys, підключаються до USB-порту або торкаються через NFC для автентифікації. Апаратні ключі використовують стандарт FIDO2/WebAuthn, який є фішинг-стійким за дизайном — ключ криптографічно перевіряє домен сайту перед автентифікацією, унеможливлюючи перехоплення фішинговими сайтами. Google вимагає від усіх співробітників використовувати апаратні ключі та повідомив про нуль успішних фішингових атак з моменту впровадження. Ключі коштують $25–70 і є найбезпечнішим доступним методом 2FA.

  • Плюси: Найсильніша безпека, фішинг-стійкі, без батарей, працюють офлайн, довговічні
  • Мінуси: Коштують $25–70, можна загубити чи забути, не підтримуються всіма сервісами

Біометрія

Сканери відбитків пальців (Touch ID), розпізнавання обличчя (Face ID) та сканери райдужної оболонки використовують ваші фізичні характеристики як фактор автентифікації. Біометрія зручна — ви завжди маєте її з собою, її не можна забути. Вона працює як другий фактор разом із паролями на багатьох пристроях і сервісах. Однак біометрію не можна змінити, якщо її скомпрометовано (на відміну від пароля), і її можуть законно вимагати правоохоронні органи у багатьох юрисдикціях. Якість суттєво різниться між пристроями.

  • Плюси: Зручна, завжди доступна, швидка автентифікація, важко відтворити
  • Мінуси: Не можна змінити, якщо скомпрометовано, можна законно вимагати, якість різна

Passkeys

Passkeys — найновіший стандарт автентифікації, розроблений для повної заміни паролів. На основі FIDO2/WebAuthn, passkeys використовують криптографію публічного ключа — ваш пристрій зберігає приватний ключ, а сервіс зберігає відповідний публічний ключ. Автентифікація відбувається через біометричний сенсор пристрою або PIN, без пароля для введення, фішингу чи крадіжки. Apple, Google і Microsoft інтегрували підтримку passkeys у свої операційні системи. Passkeys синхронізуються між пристроями через iCloud Keychain, Google Password Manager або інших провайдерів, поєднуючи безпеку апаратних ключів зі зручністю біометрії.

  • Плюси: Фішинг-стійкі, без паролів, синхронізуються між пристроями, швидкі
  • Мінуси: Відносно нові, ще не повсюдно підтримуються, питання прив'язки до платформи при синхронізації

Найкращі практики 2FA

  1. Спочатку вмикайте 2FA на обліковому записі електронної пошти — це головний ключ до всіх інших облікових записів. Якщо хтось скомпрометує вашу пошту, він зможе скинути паролі на кожному сервісі, прив'язаному до неї. Ваша пошта — єдиний найважливіший обліковий запис, який треба захистити 2FA.
  2. Користуйтесь застосунком-автентифікатором замість SMS скрізь, де можна. TOTP-застосунки несприйнятливі до SIM-swap і атак SS7. Якщо сервіс пропонує лише SMS-2FA, використовуйте її все одно — SMS-2FA все ще значно краща, ніж її відсутність.
  3. Тримайте резервні коди в безпечному окремому місці. Зберігайте їх у менеджері паролів (відмінному від того, який захищено 2FA), роздрукуйте і тримайте у сейфі, або запишіть на папері та зберігайте безпечно. Ніколи не зберігайте резервні коди в незашифрованій нотатці на тому самому пристрої, що й автентифікатор.
  4. Розгляньте апаратний ключ безпеки для найкритичніших облікових записів — пошти, банкінгу, хмарного сховища та менеджера паролів. YubiKey 5 NFC ($50) працює з USB-A, USB-C і NFC, охоплюючи практично кожен пристрій. Реєструйте два ключі на обліковий запис, щоб мати резерв.
  5. Регулярно перевіряйте, на яких облікових записах увімкнена 2FA. Використовуйте менеджер паролів для відстеження. Порядок пріоритету: пошта, банк і фінансові сервіси, хмарне сховище, соцмережі, торгові сайти зі збереженими платіжними методами та будь-які робочі або професійні облікові записи.

Як налаштувати 2FA

Налаштування 2FA на один обліковий запис займає менше п'яти хвилин. Ось процес для 2FA на базі застосунку-автентифікатора, який є рекомендованим методом для більшості людей:

  1. Відкрийте налаштування безпеки:Перейдіть до налаштувань безпеки облікового запису. Шукайте «Двофакторна автентифікація», «Дворівнева перевірка» або «Безпека входу». У Google — myaccount.google.com > Безпека > Двоетапна перевірка. У Apple — Налаштування > [Ваше ім'я] > Вхід і безпека.
  2. Оберіть метод 2FA:Виберіть метод 2FA. Оберіть «Застосунок-автентифікатор» для найкращого балансу безпеки і зручності. Установіть TOTP-застосунок, якщо у вас його немає — Google Authenticator, Authy або Ente Auth — усі надійні варіанти. Authy та Ente Auth пропонують зашифроване хмарне резервне копіювання ваших кодів.
  3. Відскануйте QR-код:Відскануйте QR-код, відображений на екрані, своїм застосунком-автентифікатором. Застосунок генеруватиме 6-значний код, що оновлюється кожні 30 секунд. Введіть поточний код, щоб переконатися, що налаштування працює правильно.
  4. Збережіть резервні коди:Збережіть резервні коди негайно. Більшість сервісів надають одноразові коди відновлення, які дозволяють повернути доступ, якщо ви втратите пристрій-автентифікатор. Зберігайте їх у менеджері паролів, роздрукуйте або запишіть і тримайте у безпечному місці, окремо від ваших пристроїв. Без резервних кодів втрата телефона може назавжди заблокувати вас від облікового запису.

Часті запитання

Саме тому резервні коди є необхідними. Коли ви налаштовуєте 2FA, більшість сервісів надають коди відновлення — одноразові коди, які обходять 2FA. Скористайтесь одним, щоб повернути доступ, потім налаштуйте 2FA на новому пристрої. Якщо ви користуєтесь Authy або Ente Auth, ваші коди резервно копіюються у зашифроване хмарне сховище та можуть бути відновлені на новому пристрої. Google Authenticator тепер також підтримує хмарне резервне копіювання. Якщо у вас немає ні резервних кодів, ні методу відновлення, вам доведеться пройти процедуру відновлення облікового запису сервісу, що може зайняти дні чи тижні та вимагати підтвердження особи.

Безумовно так. Попри вразливості до атак SIM-swap і протоколу SS7, SMS-2FA блокує переважну більшість автоматизованих атак. Дослідження Google показало, що вона зупиняє 100 % автоматизованих ботів і 96 % масового фішингу. Реалістична модель загроз для більшості людей не включає цілеспрямованого SIM-swap — це переважно ризик для високоцінних цілей, як-от власників криптовалюти і публічних персон. Якщо сервіс пропонує лише SMS-2FA, увімкніть її. Будь-яка 2FA значно краща за відсутність 2FA.

Жоден метод 2FA не є на 100 % нездоланним, але складність дуже різна. SMS-коди можна перехопити через SIM-swap. TOTP-коди можна фішингувати в режимі реального часу за допомогою складних атак, що передають коди справжній сторінці входу. Однак апаратні ключі безпеки, що використовують FIDO2, є фішинг-стійкими за дизайном — ключ криптографічно перевіряє домен сайту, що робить фішинг неможливим. Passkeys успадковують цей самий захист. Для більшості людей TOTP-2FA забезпечує більш ніж достатній захист від реалістичних загроз.

В ідеалі так, але пріоритизуйте стратегічно. Ваш обліковий запис електронної пошти — найкритичніший — це механізм відновлення для всього іншого. Далі увімкніть 2FA на банківських і фінансових сервісах, хмарному сховищі (Google Drive, iCloud, Dropbox), соцмережах, будь-якому обліковому записі зі збереженими платіжними даними та вашому менеджері паролів. Облікові записи низького пріоритету без особистих даних можна пропустити, якщо ви перевантажені, але мета — 2FA скрізь.

Апаратні ключі безпеки (YubiKey, Google Titan), що використовують стандарт FIDO2/WebAuthn, — це найбезпечніша форма 2FA. Вони фішинг-стійкі за дизайном, вимагають фізичної наявності та не мають кодів, які можна перехопити чи передати. Passkeys пропонують схожу безпеку з додатковою зручністю хмарної синхронізації. Застосунки-автентифікатори TOTP — наступний найкращий варіант — значно безпечніший за SMS. SMS — найслабша 2FA, але все одно набагато краща, ніж лише пароль.

Так, це їхній дизайнерський задум. Passkeys поєднують пароль і другий фактор в один фішинг-стійкий крок автентифікації. Замість того щоб вводити пароль і потім код, ви просто автентифікуєтесь біометричним сенсором пристрою або PIN. Лежача в основі криптографія FIDO2 забезпечує сильніший захист, ніж пароль + TOTP разом узяті. Однак поширення passkeys ще зростає — не всі сервіси їх ще підтримують. У перехідний період продовжуйте використовувати традиційну 2FA (застосунок-автентифікатор або апаратний ключ) на сервісах, які ще не підтримують passkeys.