Перенесення Google Authenticator: перенесення 2FA на новий телефон
Втратьте телефон, на якому зберігаються ваші коди автентифікатора, і Coinbase помістить вас у чергу на 48-72 години для перевірки особи, перш ніж ви знову побачите свій обліковий запис. Binance може зайняти тиждень. Невеликий обмін може зайняти місяць. Така ціна неперенесеного автентифікатора, і це єдина причина, чому існує цей посібник.
У цьому посібнику описано, як використовувати перенесення даних за допомогою Google Authenticator на iOS або Android в будь-якому напрямку, використовуючи два фактично робочі методи: експорт QR-кодів, який постачається з додатком на вашому телефоні з травня 2020 року, та хмарну синхронізацію облікового запису Google, яка з’явилася у квітні 2023 року з певним застереженням безпеки, яке варто зрозуміти. Він також охоплює випадок паніки, коли старий телефон втрачено або викрадено, пастки перенесення кодів 2FA на новий телефон та що робити з цінними онлайн-акаунтами, відновлення яких не завжди можливе. Мета: перенести Google Authenticator без втрати доступу до своїх облікових записів, а потім безпечно зберігати свої коди Google Authenticator.
Чому важливо перенести дані з Google Authenticator перед зміною телефону
SMS 2FA гине разом із SIM-карткою. Атака на перенесення даних, зміна оператора, навіть невдала передача eSIM — і код потрапляє на чужий телефон. У звіті ФБР про інтернет-злочини за 2024 рік зафіксовано 982 скарги на заміну SIM-картки та прямі збитки у розмірі 25,98 мільйона доларів (зниження порівняно з 72,65 мільйона доларів у 2022 році, але ті ж самі шахрайства залишаються відправною точкою для крадіжки особистих даних та виснаження криптогаманців). Одноразові коди з програми-автентифікації зберігаються в безпечному сховищі пристрою, а не в мережі оператора, тому Microsoft роками могла стверджувати, що ввімкнення двофакторної автентифікації блокує понад 99,9% спроб автоматизованого злому облікового запису.
Компроміс очевидний. Кожен код зберігається на одному телефоні. Киньте його в річку, випадково скиньте налаштування до заводських, дайте дитині на «п’ять хвилин» — і ви не зможете отримати доступ до своїх облікових записів, доки не пройдете процес відновлення на кожному сервісі. Тож зберігайте свої коди, генеруйте коди лише на пристрої, яким ви керуєте, і ставтеся до переходу на новий телефон як до планового обслуговування.
Перш ніж почати: підготуйте додаток Google Authenticator на обох телефонах
Дивовижна частка невдалих переказів відбувається через пропущену підготовку, а не зламане програмне забезпечення. Три речі вбивають його частіше за все інше: застарілий додаток, відсутність біометричних даних, нестабільний Wi-Fi. Відкрийте Google Authenticator на старому телефоні та перевірте, чи запускається він і відображає поточні коди керування. Оновіть його через Google Play (Android версії 7.0 або пізнішої, випущено 14 листопада 2024 року) або App Store. Встановіть той самий додаток Google Authenticator на новий телефон, увійдіть, використовуючи свій звичайний обліковий запис Google, увімкніть біометричні дані — запит на експорт відмовляється розкривати QR-код без відбитка пальця або розблокування обличчям. Підключіть обидва пристрої, підключіть їх до однієї надійної мережі Wi-Fi, вимкніть будь-які VPN.
Під час оновлення телефонів перелічіть усі служби, пов’язані з програмою автентифікатора. Більшість людей мають десять або більше облікових записів автентифікатора, навіть не усвідомлюючи цього: кожен обліковий запис Google, GitHub, кожна біржа, менеджер паролів, консоль AWS, CMS. У таблиці нижче показано, де зберігаються резервні коди для служб, які найчастіше блокують доступ до них. Тримайте цей список і надійні паролі для кожної служби закритими — деякі процеси відновлення вимагають обох, перш ніж вони відв’яжуть старий пристрій.
| Сервіс | Де зберігаються резервні коди | Нотатки |
|---|---|---|
| Обліковий запис Google | myaccount.google.com → Безпека → Двоетапна перевірка | 10 одноразових кодів |
| Майкрософт | account.microsoft.com → Безпека → Розширений захист | Код відновлення, а також резервна електронна адреса |
| GitHub | Налаштування → Пароль та автентифікація → Коди відновлення | 16 кодів |
| Коінбейс | Налаштування → Безпека → Резервні коди | Прив'язано до перевірки особи під час скидання |
| Бінанс | Центр користувача → Безпека → 2FA | Відновлення облікового запису від 24 годин до 7 днів |
| AWS | Центр ідентифікації IAM → Профіль користувача | До 8 пристроїв MFA |
| Фейсбук / Інстаграм | Центр облікових записів → Пароль та безпека | 10 кодів відновлення |
Експорт та імпорт: перенесіть свій Google Authenticator за допомогою QR-коду
Експорт QR-кодів запущено у травні 2020 року. Це залишається шлях, рекомендований на сторінці довідки Google для iOS, і він переміщує насіння для кожного вибраного облікового запису з одного телефону на інший без будь-якого сервера посередника. Без хмари – без облікового запису Google.
Почніть на старому телефоні. Відкрийте програму та знайдіть меню — Android розміщує три горизонтальні лінії у верхньому лівому куті; iPhone розміщує три крапки, зазвичай у верхньому правому куті, хоча деякі збірки розміщують їх внизу. Натисніть меню, виберіть «Перенести облікові записи», а потім «Експортувати облікові записи». Програма запитає ваш відбиток пальця, Face ID або код доступу до пристрою. Після того, як ви пройдете біометричний запит, ви побачите список усіх облікових записів Google Authenticator на пристрої. Позначте ті, які ви хочете перенести (поле приймає множинний вибір), і натисніть «Далі». Тепер програма генерує QR-код, що містить зашифрований початковий матеріал для десяти облікових записів одночасно. Маєте більше десяти? Ви отримаєте чергу пронумерованих QR-кодів, і програма підкаже вам, який з них ви переглядаєте.
Тепер новий телефон. Відкрийте Google Authenticator, натисніть «Почати» або натисніть значок плюса внизу праворуч, якщо додаток вже ініціалізовано. Виберіть «Сканувати QR-код». Якщо на кроці імпорту з’явиться запит, чи імпортуєте ви дані з існуючого облікового запису, дайте відповідь «так». Тримайте новий телефон перед екраном старого телефону та дозвольте камері зафіксуватися на QR-коді. Новий пристрій перерахує всі імпортовані облікові записи. Натисніть «Далі», щоб переглянути всі додаткові QR-коди в пакеті.
Оригінальні коди залишаються на старому телефоні. Спочатку перевірте новий пристрій, а потім очистіть його. Відкрийте один пов’язаний сервіс, увійдіть у систему та перевірте, чи відповідає шестизначний код підтвердження з нового коду автентифікатора тому, що очікує сервіс. Після того, як два сервіси без проблем впустять вас у систему, видаліть записи з програми старого телефону або, ще краще, скиньте налаштування старого пристрою для перепродажу.
На практиці трапляються деякі проблеми. Шлях з Android на Android майже завжди чистий. З Android на iPhone іноді не відображається деякі облікові записи після імпорту, особливо коли крок сканування QR-коду кодує більше п'яти записів; зменште розмір пакета та спробуйте ще раз. З iPhone на Android іноді зависає на екрані експорту, оскільки реалізація Google для iOS відстає від Android; якщо це станеться, примусово закрийте програму, знову відкрийте її та знову почніть експорт. VPN на будь-якому пристрої також може пошкодити сканування через обмеження камери в деяких VPN-клієнтах. Вимкніть його для передачі. Коди передачі, що містяться в QR-коді, обмежені в часі, тому, якщо годинник нового телефону вимкнений, ви можете побачити недійсні коди після імпорту — відкрийте меню програми та натисніть «Корекція часу для кодів», щоб повторно синхронізувати годинник пристрою.
Синхронізуйте коди Google Authenticator з вашим обліковим записом Google
Синхронізація з хмарою, додана 24 квітня 2023 року у версії 6.0 на Android та 4.0 на iOS, – це зручний метод. Після ввімкнення кожен код, який ви додаєте або видаляєте, відображається на будь-якому телефоні, на якому ввімкнено той самий обліковий запис Google, без QR-кодів. Для більшості звичайних входів у систему це саме те, чого люди хочуть.
Варто зупинитися на цьому застереженні щодо безпеки. Протягом 48 годин після запуску у квітні 2023 року дослідники безпеки Mysk Inc. продемонстрували, що трафік, який передавав насіння паролів TOTP до серверів Google, не був зашифрований наскрізним способом. Google публічно зобов'язався додати E2EE «в майбутньому», але на момент написання цієї статті синхронізація захищена лише власним шифруванням Google на стороні сервера, що означає, що сам Google технічно може зчитувати насіння. Для облікового запису Spotify або Twitter це прийнятний компроміс проти втрати доступу. Для головного менеджера паролів або криптобіржі я віддаю перевагу методу QR і приймаю труднощі.
Щоб увімкнути синхронізацію, відкрийте Google Authenticator на старому телефоні, торкніться значка аватара або профілю у верхньому правому куті та увійдіть, використовуючи обліковий запис Google, який ви хочете використовувати як резервний. Поруч із кожним синхронізованим записом з’явиться зелений індикатор хмари. Відкрийте той самий додаток на новому телефоні, увійдіть, використовуючи той самий обліковий запис Google, і коди з’являться протягом кількох секунд. Немає QR-коду для сканування та біометричного запиту.
Якщо вам потрібен переказ через Google Authenticator, який майже не потребує додаткових витрат, синхронізація — це рішення, але використовуйте її лише для облікових записів з низькою вартістю, якщо ви не довіряєте дизайну без E2EE. Зберігайте цінні коди (банківські, крипто, серйозний GitHub) прив’язаними до одного пристрою за допомогою експорту QR-кодів або повністю перенесіть їх на ключ доступу чи апаратний ключ. Інформаційний бюлетень CISA про стійкість до фішингу MFA за 2022 рік, підтверджений у 2024 році, ставить апаратні ключі FIDO2 вище за будь-який метод TOTP.
Налаштуйте Google Authenticator на новому пристрої без старого телефону
Якщо старий телефон уже втрачено, вкрадено або заблоковано, жоден із наведених вище методів не працює, оскільки всі вони потребують вихідного пристрою. Немає шляху «відновлення з хмари», якщо ви не ввімкнули синхронізацію перед втратою. Наведений нижче варіант — єдиний, і він повільний.
Для кожної прив’язаної служби вам потрібно увійти іншим способом та окремо переприв’язати 2FA до нового телефону. Резервні коди – це найшвидший спосіб відновлення вашого облікового запису: Google видає десять одноразових резервних кодів з вашого облікового запису Google під час налаштування 2FA, GitHub видає шістнадцять, більшість бірж видають від восьми до дванадцяти. Якщо ви зберегли їх у менеджері паролів або роздрукували, скористайтеся одним із них для входу, потім одразу перейдіть до налаштувань безпеки, видаліть старе прив’язування автентифікатора з іншого пристрою та підключіть новий телефон, просканувавши новий QR-код, щоб знову надіслати коди до вашого облікового запису Google.
Якщо у вас немає резервних кодів, ви потрапляєте у повільну смугу. Довідка Coinbase документує, що скидання 2FA займає від 48 до 72 годин, і довше, коли починає діяти перевірка особи. Деякі банки вимагають відвідування відділення. Урок: налаштуйте Google Authenticator із резервними кодами, прив’язаними до менеджера паролів, у день першого ввімкнення та роздрукуйте паперову копію, яку зберігайте там, де немає вашого телефону. У будь-якому випадку, ведіть контрольний список імені користувача та електронної пошти для відновлення для кожного онлайн-облікового запису, що керується Authenticator.
Переміщення кодів 2FA між Android та iPhone без втрати доступу
Найбільше потоків допомоги зосереджено саме на міжплатформній міграції. Передача за допомогою Google Authenticator працює в обох напрямках на iOS та Android, але виникають два режими збоїв. Перший – успішне сканування QR-коду експорту, і новий пристрій показує лише підмножину облікових записів. Майже завжди це пов’язано з тим, що стеля з десяти облікових записів на QR-код тихо кусається, особливо коли додаток iOS генерує QR-код. Зменште експорт до п’яти облікових записів одночасно. Другий – меню експорту показує напис «немає облікових записів для експорту» на iOS, хоча коди явно працюють. Виправлення у збірках 2026 року полягає в оновленні до останньої версії TestFlight або App Store, примусовому закритті програми та одноразовому ввімкненні та вимкненні біометричних налаштувань пристрою.
Зробіть скріншоти кожного експортованого QR-коду перед скануванням — на другому пристрої або роздрукуйте їх. Будь-який пристрій може сканувати QR-код для імпорту, але Google не дозволяє повторно створювати той самий експорт, тому чистий скріншот — це різниця між п’ятьма хвилинами роботи та панікою, як зазначено вище. Незалежно від того, чи ви мігруєте на iOS чи Android, безпечне зберігання цих скріншотів QR-коду (у зашифрованій нотатці менеджера паролів) — це найдешевша можлива страховка.
Використовуйте облікові записи Google Authenticator з криптовалютними біржами та Web3
Захоплення облікового запису на криптовалютній біржі або гаманці є функціонально незворотним: як тільки кошти переміщуються, вони зникають. Коди автентифікатора є мінімальною планкою, і звіт Microsoft про 146% річне зростання фішингових атак типу «злочинець посередині» до 2024 року означає, що навіть TOTP сам по собі недостатньо. Кампанія «кодексу поведінки» AiTM у травні 2026 року охопила понад 35 000 користувачів у 13 000 організаціях у 26 країнах — зловмисники проксували легітимні сторінки входу, захоплювали код TOTP у режимі реального часу та крали файли cookie сесії, перш ніж користувач це помітив. Спочатку прив’яжіть апаратний ключ (YubiKey або подібний) до головного облікового запису Google, потім додайте Authenticator на стороні біржі та вимкніть SMS 2FA, як тільки буде підтверджено, що Authenticator працює. Дані IC3 ФБР за 2024 рік показують, що загальні втрати від кіберзлочинності склали 16,6 мільярда доларів, і кількість скарг, пов’язаних із криптовалютою, продовжує зростати з кожним роком.
Платіжні системи для криптовалют заслуговують на таке ж ставлення, як і біржі. Наприклад, Plisio підтримує TOTP для мерчант-акаунтів, а його прив’язка через Google Authenticator (або будь-який додаток, сумісний з TOTP) захищає панель керування, яка контролює вихідні транзакції. Під час переходу на новий телефон ставтеся до панелі керування платіжним шлюзом так само, як до гарячого гаманця: лише експорт QR-кодів, без хмарної синхронізації, нові резервні коди генеруються та зберігаються після перенесення.
Альтернативи додатку Google Authenticator, які варто розглянути
Крах Authy перетасував ринок. 19 березня 2024 року Twilio знищив настільні додатки Authy за кілька місяців до спочатку оголошеної дати у серпні. Потім, у липні 2024 року, зловмисники викрали 33 420 546 номерів телефонів Authy через неавтентифікований API, і Twilio підтвердила порушення. Два атаки за чотири місяці. Користувачі Authy розбіглися.
| Додаток | Синхронізація з хмарою | Синхронізація E2EE | Платформи | Відкритий код |
|---|---|---|---|---|
| Генератор кодів Google | Так (з 2023 року) | Ні (лише на стороні сервера) | iOS, Android | Ні |
| 2FAS | Так (необов'язково) | Так | iOS, Android, браузер | Так |
| Егіда | Ні (лише локальне резервне копіювання) | Немає даних | Андроїд | Так |
| Авторизація входу | Так | Так | iOS, Android, комп'ютер | Так |
| Код авторизації Microsoft | Так | Так | iOS, Android | Ні |
| Додаток для паролів iOS 18 | Брелок iCloud | Так | iOS, macOS | Ні |
У вересні 2024 року Apple зробила дещо непомітне, про що варто знати. iOS 18 перетворила iCloud Keychain на спеціальний додаток для паролів, який автоматично генерує коди TOTP, автоматично заповнює Safari та синхронізується з наскрізним шифруванням. Для користувачів лише Apple це взагалі усуває потребу в окремому додатку для автентифікації. Для всіх інших таблиця вище є коротким списком.
Зберігайте свої коди Google Authenticator після перенесення
Перегляньте цей список одразу після завершення імпорту. Увійдіть щонайменше до трьох найважливіших пов’язаних служб з нового телефону та переконайтеся, що коди працюють, а також що на головному екрані програми-автентифікатора відображаються всі облікові записи, які ви очікували. Згенеруйте резервні коди для кожної служби, яку ви щойно перенесли; збережіть їх у менеджері паролів та на папері в різних місцях. Зітріть старий телефон за допомогою функції «Знайти iPhone» або «Знайти пристрій» на Android, перш ніж передати його третім особам. Для головного облікового запису Google накладіть зверху ключ доступу або апаратний ключ безпеки, щоб навіть ще один телефон із вашим Authenticator був недостатнім сам по собі. Саме це багаторівневе налаштування зупиняє кампанії AiTM, які Microsoft відстежувала протягом 2026 року. Що ще важливіше, саме це перетворює наступне перенесення Google Authenticator на п’ятнадцятихвилинну роботу, а не на паніку.
