Перенос Google Authenticator: перенос двухфакторной аутентификации на новый телефон
Потеряв телефон с кодами аутентификатора, вы попадаете в очередь на проверку личности Coinbase, которая занимает от 48 до 72 часов, прежде чем вы снова увидите свой аккаунт. На Binance это может занять неделю. На небольшой бирже — месяц. Такова цена использования неперенесенного аутентификатора, и это единственная причина существования этого руководства.
В этом руководстве описано, как перенести данные из Google Authenticator на iOS или Android в любом направлении, используя два действительно работающих метода: экспорт с помощью QR-кода, который поставляется с приложением на вашем телефоне с мая 2020 года, и облачную синхронизацию учетных записей Google, появившуюся в апреле 2023 года с важным нюансом безопасности. Также рассматриваются ситуации, когда старый телефон потерян или украден, подводные камни переноса кодов двухфакторной аутентификации на новый телефон и что делать с ценными онлайн-аккаунтами, где восстановление не всегда возможно. Цель: перенести данные из Google Authenticator, не потеряв доступ к своим учетным записям, и обеспечить безопасность кодов Google Authenticator.
Почему важно перенести Google Authenticator перед сменой телефона
Двухфакторная аутентификация по SMS перестаёт работать вместе с SIM-картой. Атака с переносом номера, смена оператора, даже неудачная передача eSIM — и код попадает на чужой телефон. В отчёте ФБР о преступлениях в интернете за 2024 год зафиксировано 982 случая подмены SIM-карт и прямые убытки в размере 25,98 млн долларов (по сравнению с 72,65 млн долларов в 2022 году, но те же самые мошеннические схемы по-прежнему являются путём кражи личных данных и опустошения криптовалютных кошельков). Одноразовые коды из приложения-аутентификатора хранятся в защищённом хранилище устройства, а не в сети оператора, поэтому Microsoft годами заявляла, что включение двухфакторной аутентификации блокирует более 99,9% попыток автоматического взлома учётных записей.
Компромисс очевиден. Все коды хранятся на одном телефоне. Уроните его в реку, случайно сбросьте до заводских настроек, дайте ребенку на «пять минут» — и вы не сможете получить доступ к своим учетным записям, пока не пройдете процедуру восстановления для каждого сервиса. Поэтому сохраняйте свои коды, генерируйте коды только на устройстве, которое вы контролируете, и рассматривайте переход на новый телефон как плановое техническое обслуживание.
Перед началом работы: подготовьте приложение Google Authenticator на обоих телефонах.
Удивительно большая доля неудачных попыток переноса происходит из-за пропущенной подготовки, а не из-за неисправного программного обеспечения. Три вещи чаще всего приводят к сбою: устаревшее приложение, отсутствие биометрической аутентификации и нестабильный Wi-Fi. Откройте Google Authenticator на старом телефоне и убедитесь, что он запускается и отображает текущие коды. Обновите его через Google Play (Android версии 7.0 или более поздней, выпущенной 14 ноября 2024 г.) или App Store. Установите то же приложение Google Authenticator на новый телефон, войдите в систему с помощью своей обычной учетной записи Google, включите биометрическую аутентификацию — запрос на экспорт отказывается отображать QR-код без разблокировки по отпечатку пальца или лицу. Подключите оба устройства к сети, подключите их к одной и той же доверенной сети Wi-Fi, отключите все VPN-соединения.
Пока телефоны обновляются, составьте список всех сервисов, привязанных к приложению аутентификатора. У большинства людей, даже не подозревая об этом, есть десять и более учетных записей аутентификатора: каждая учетная запись Google, GitHub, каждая биржа, менеджер паролей, консоль AWS, CMS. В таблице ниже показано, где хранятся резервные коды для сервисов, которые чаще всего блокируют доступ. Держите этот список и надежные пароли для каждого сервиса под рукой — для некоторых сценариев восстановления требуется и то, и другое, прежде чем они смогут отвязать старое устройство.
| Услуга | Где хранятся резервные коды | Примечания |
|---|---|---|
| аккаунт Google | myaccount.google.com → Безопасность → Двухфакторная аутентификация | 10 одноразовых кодов |
| Microsoft | account.microsoft.com → Безопасность → Расширенные параметры безопасности | Код восстановления, а также резервный адрес электронной почты. |
| GitHub | Настройки → Пароль и аутентификация → Коды восстановления | 16 кодов |
| Coinbase | Настройки → Безопасность → Резервные коды | Привязка к проверке личности при сбросе настроек. |
| Binance | Центр пользователя → Безопасность → Двухфакторная аутентификация | Восстановление аккаунта: от 24 часов до 7 дней. |
| AWS | Центр идентификации IAM → Профиль пользователя | До 8 устройств многофакторной аутентификации. |
| Facebook / Instagram | Центр учетных записей → Пароли и безопасность | 10 кодов восстановления |
Экспорт и импорт: перенос данных из Google Аутентификатора с помощью QR-кода.
Функция экспорта QR-кодов появилась в мае 2020 года. Она по-прежнему рекомендуется на странице справки Google для iOS и передает начальные данные для каждой выбранной учетной записи с одного телефона на другой без какого-либо промежуточного сервера. Нет облака, нет учетной записи Google.
Начните со старого телефона. Откройте приложение и найдите меню — на Android в верхнем левом углу отображаются три горизонтальные линии; на iPhone — три точки, обычно в верхнем правом углу, хотя в некоторых версиях они расположены внизу. Нажмите на меню, выберите «Перенести учетные записи», а затем «Экспорт учетных записей». Приложение запросит ваш отпечаток пальца, Face ID или пароль устройства. После прохождения биометрической проверки вы увидите список всех учетных записей Google Authenticator на устройстве. Отметьте те, которые хотите переместить (поле допускает множественный выбор), и нажмите «Далее». Теперь приложение сгенерирует QR-код, содержащий зашифрованный исходный код, для десяти учетных записей одновременно. У вас больше десяти? Вы получите список пронумерованных QR-кодов, и приложение покажет вам, какой из них вы просматриваете.
Теперь перейдём к новому телефону. Откройте Google Authenticator, нажмите «Начать» или значок плюса в правом нижнем углу, если приложение уже запущено. Выберите «Сканировать QR-код». Если на этапе импорта вас спросят, импортируете ли вы данные из существующей учётной записи, ответьте «да». Поднесите новый телефон к экрану старого телефона и дождитесь, пока камера зафиксируется на QR-коде. На новом устройстве отобразится список всех импортированных учётных записей. Нажмите «Далее», чтобы просмотреть список дополнительных QR-кодов в пакете.
Исходные коды остаются на старом телефоне. Сначала проверьте новое устройство, а затем удалите все лишнее. Откройте один привязанный сервис, войдите в систему и убедитесь, что шестизначный код подтверждения из нового кода аутентификатора соответствует тому, что ожидает сервис. Как только два сервиса обеспечат вам беспрепятственный доступ, удалите записи из приложения старого телефона — или, что еще лучше, сбросьте настройки старого устройства для перепродажи.
На практике могут возникать некоторые проблемы. Процесс переноса данных с Android на Android почти всегда проходит без ошибок. При переносе с Android на iPhone иногда не отображаются некоторые учетные записи после импорта, особенно если на этапе сканирования QR-кода кодируется более пяти записей; уменьшите размер пакета и попробуйте снова. При переносе с iPhone на Android иногда происходит зависание на экране экспорта, поскольку реализация iOS от Google отстает от Android; в этом случае принудительно закройте приложение, откройте его снова и начните экспорт заново. Использование VPN на любом из устройств также может привести к искажению результатов сканирования из-за ограничения скорости камеры в некоторых VPN-клиентах. Отключите VPN на время переноса. Коды переноса, содержащиеся в QR-коде, имеют ограниченный срок действия, поэтому, если часы нового телефона сбиты, после импорта вы можете увидеть недействительные коды — откройте меню приложения и нажмите «Коррекция времени», чтобы синхронизировать часы устройства.
Синхронизируйте коды Google Authenticator с вашей учетной записью Google.
Облачная синхронизация, добавленная 24 апреля 2023 года в версии 6.0 для Android и 4.0 для iOS, — это удобный способ. После включения все добавленные или удаленные вами коды отображаются на любом телефоне, подключенном к той же учетной записи Google, без использования QR-кодов. Для большинства обычных пользователей это именно то, что им нужно.
Стоит остановиться на нюансах безопасности. В течение 48 часов после запуска в апреле 2023 года исследователи безопасности из Mysk Inc. продемонстрировали, что трафик, передающий TOTP-коды на серверы Google, не был зашифрован сквозным шифрованием. Google публично заявила о намерении добавить сквозное шифрование «в будущем», но на момент написания этой статьи синхронизация защищена только собственным серверным шифрованием Google, а это значит, что Google технически может читать эти коды. Для аккаунта Spotify или Twitter это приемлемый компромисс с потерей доступа. Для менеджера главных паролей или депозитарной криптовалютной биржи я предпочитаю метод QR-кода и мирюсь с неудобствами.
Чтобы включить синхронизацию, откройте Google Authenticator на старом телефоне, коснитесь значка аватара или профиля в правом верхнем углу и войдите в систему с учетной записью Google, которую вы хотите использовать в качестве резервной копии. Рядом с каждой синхронизированной записью появится зеленый индикатор облака. Откройте то же приложение на новом телефоне, войдите в систему с той же учетной записью Google, и коды появятся в течение нескольких секунд. Сканировать QR-код не нужно, и биометрическая идентификация не требуется.
Если вам нужна передача данных через Google Authenticator с минимальными затратами времени и усилий, синхронизация — это то, что вам нужно, но используйте её только для аккаунтов с низкой стоимостью, если вы не доверяете её конструкции без сквозного шифрования (E2EE). Сертифицированные ключи высокой стоимости (банковские, криптовалютные, для серьёзного GitHub) следует привязывать к одному устройству с помощью экспорта QR-кода или полностью перенести на пароль или аппаратный ключ. В информационном бюллетене CISA 2022 года о многофакторной аутентификации, устойчивой к фишингу, подтверждённом в 2024 году, аппаратные ключи FIDO2 ставятся выше любого метода TOTP.
Настройте Google Authenticator на новом устройстве без старого телефона.
Если старый телефон уже потерян, украден или вышел из строя, ни один из вышеперечисленных способов не сработает, поскольку для всех них требуется исходное устройство. Восстановить данные из облака невозможно, если вы не включили синхронизацию до потери телефона. Следующий способ — единственный вариант, и он медленный.
Для каждой привязанной службы вам потребуется войти в систему другим способом и заново привязать двухфакторную аутентификацию к новому телефону. Резервные коды — самый быстрый способ восстановить учетную запись: Google выдает десять одноразовых резервных кодов из вашей учетной записи Google во время настройки двухфакторной аутентификации, GitHub — шестнадцать, большинство бирж — от восьми до двенадцати. Если вы сохранили их в менеджере паролей или распечатали, используйте один из них для входа в систему, затем перейдите в настройки безопасности, удалите старую привязку аутентификатора с другого устройства и выполните сопряжение нового телефона, отсканировав новый QR-код, чтобы снова отправить коды в вашу учетную запись Google.
Если у вас нет резервных кодов, вы окажетесь в ситуации, когда всё работает медленно. В справке Coinbase указано, что сброс двухфакторной аутентификации занимает от 48 до 72 часов, а при включении подтверждения личности — дольше. Некоторые банки требуют посещения отделения. Вывод: настройте Google Authenticator с резервными кодами, привязанными к менеджеру паролей, в день его первого включения и распечатайте бумажную копию, которую можно хранить в недоступном для вас месте на телефоне. В любом случае, ведите список имен пользователей и адресов электронной почты для восстановления для каждой онлайн-учетной записи, доступ к которой осуществляется через Authenticator.
Перемещайте коды двухфакторной аутентификации между Android и iPhone, не теряя доступа.
Миграция между платформами — это тема, где чаще всего встречаются запросы на помощь. Перенос данных через Google Authenticator работает в обоих направлениях на iOS и Android, но повторяются две ошибки. Первая — при успешном сканировании QR-кода для экспорта на новом устройстве отображается только часть учетных записей. Это почти всегда связано с ограничением в десять учетных записей на один QR-код, особенно когда QR-код генерируется приложением для iOS. Следует сократить экспорт до пяти учетных записей за раз. Вторая ошибка — в меню экспорта на iOS отображается сообщение «нет учетных записей для экспорта», хотя коды явно работают. В сборках 2026 года решение заключается в обновлении до последней версии TestFlight или App Store, принудительном закрытии приложения и однократном включении и выключении биометрической аутентификации устройства.
Перед сканированием сделайте скриншоты каждого экспортируемого QR-кода — на другом устройстве или распечатайте их. Любое устройство может отсканировать QR-код для импорта, но Google не позволяет повторно сгенерировать тот же экспортированный файл, поэтому чистый скриншот — это разница между пятью минутами работы и паникой, описанной выше. Независимо от того, переносите ли вы данные на iOS или Android, надежное хранение скриншотов QR-кодов (в зашифрованной заметке в менеджере паролей) — это самая дешевая возможная страховка.
Используйте учетные записи Google Authenticator для работы с криптовалютными биржами и Web3.
Захват учетной записи на криптовалютной бирже или в кошельке практически необратим: как только средства перемещаются, они исчезают навсегда. Коды аутентификации — это минимальный уровень защиты, а отчет Microsoft о 146-процентном росте фишинговых атак типа «злоумышленник в середине» (AiTM) до 2024 года означает, что даже TOTP недостаточно. Кампания AiTM в мае 2026 года, в рамках которой был разработан «кодекс поведения», затронула более 35 000 пользователей в 13 000 организациях в 26 странах — злоумышленники использовали прокси для легитимных страниц входа, перехватывали код TOTP в режиме реального времени и крали сессионный cookie-файл до того, как пользователь это заметил. Сначала привяжите аппаратный ключ (YubiKey или аналогичный) к основной учетной записи Google, затем добавьте Authenticator на стороне биржи и отключите SMS-двухфакторную аутентификацию, как только подтвердится работоспособность Authenticator. По данным ФБР за 2024 год, общий ущерб от киберпреступлений составил 16,6 миллиарда долларов, а число жалоб, связанных с криптовалютой, продолжает расти с каждым годом.
Криптовалютные платежные системы заслуживают такого же отношения, как и биржи. Например, Plisio поддерживает TOTP для торговых счетов, а привязка его через Google Authenticator (или любое другое приложение, совместимое с TOTP) защищает панель управления исходящими транзакциями. При переходе на новый телефон используйте панель управления платежным шлюзом так же, как и горячий кошелек: только экспорт QR-кодов, без синхронизации с облаком, новые резервные коды генерируются и сохраняются после переноса.
Стоит рассмотреть альтернативы приложению Google Authenticator.
Крах Authy перевернул рынок. 19 марта 2024 года Twilio закрыла десктопные приложения Authy за несколько месяцев до первоначально объявленной даты в августе. Затем в июле 2024 года злоумышленники получили доступ к 33 420 546 телефонным номерам Authy через неаутентифицированный API, и Twilio подтвердила взлом. Два удара за четыре месяца. Пользователи Authy разбежались.
| Приложение | Синхронизация с облаком | E2EE синхронизация | Платформы | Открытый исходный код |
|---|---|---|---|---|
| Google Аутентификатор | Да (с 2023 года) | Нет (только на стороне сервера) | iOS, Android | Нет |
| 2FAS | Да (необязательно) | Да | iOS, Android, браузер | Да |
| Эгида | Нет (только локальное резервное копирование) | Н/Д | Android | Да |
| Ente Auth | Да | Да | iOS, Android, настольный компьютер | Да |
| Аутентификатор Microsoft | Да | Да | iOS, Android | Нет |
| Приложение «Пароли» для iOS 18 | iCloud Keychain | Да | iOS, macOS | Нет |
В сентябре 2024 года Apple незаметно для всех предприняла кое-что важное. В iOS 18 iCloud Keychain был выделен в отдельное приложение для паролей, которое генерирует TOTP-коды, автоматически заполняет поля в Safari и синхронизируется с использованием сквозного шифрования. Для пользователей Apple это полностью избавляет от необходимости в отдельном приложении-аутентификаторе. Для всех остальных в таблице выше представлен краткий список.
Сохраните свои коды Google Authenticator в безопасности после передачи.
Сразу после завершения импорта проверьте этот список. Войдите как минимум в три наиболее важных привязанных сервиса с нового телефона и убедитесь, что коды работают — и что на главном экране приложения Authenticator отображаются все ожидаемые учетные записи. Сгенерируйте резервные коды для каждого сервиса, который вы только что перенесли; сохраните их в менеджере паролей и на бумаге, в разных местах. Удалите данные со старого телефона с помощью функции «Найти iPhone» или «Найти устройство» на Android, прежде чем передавать его другому лицу. Для основной учетной записи Google добавьте пароль или аппаратный ключ безопасности, чтобы даже другой телефон с вашим Authenticator сам по себе был недостаточен. Именно такая многоуровневая настройка предотвращает кампании AiTM, которые Microsoft отслеживает до 2026 года. Что еще важнее, именно она превращает следующую передачу Google Authenticator в пятнадцатиминутную операцию, а не в панику.
