Ключі доступу проти 2FA: що краще захищає вашу криптовалюту?
Ваш пароль витікає внаслідок порушення, про яке ви ніколи не чули. Через кілька тижнів хтось намагається використати його на вашій криптовалютній біржі, і єдине, що стоїть між ним та вашим балансом, – це шестизначний код, надісланий на ваш телефон. Цей код мав стати стіною. Роками його було достатньо. Ключі доступу проти двофакторної автентифікації (2FA) – це суперечка про те, чи варто довіряти цій стіні, і чесна відповідь найважливіша для тих, хто тримає гроші, що рухаються лише в одному напрямку. Цей посібник пояснює обидва методи простими словами, порівнює їх безпосередньо та показує, чому атака, яка фактично виснажує облікові записи, ледь сповільнюється для традиційної двофакторної автентифікації.
Що таке двофакторна автентифікація (2FA)?
Двофакторна автентифікація, яку іноді пишуть як «2 factor», — це друга перевірка, прикріплена до вашого пароля, і ідея, що лежить в основі цього, настільки проста, що більшість людей вже використовують її, не замислюючись. Навіть якщо хтось вкраде перший фактор, йому все одно знадобиться другий, перш ніж він зможе отримати доступ. Фахівці з безпеки зазвичай сортують ці фактори на три грубі категорії: щось, що ви знаєте, наприклад, пароль або PIN-код; щось, що у вас є, наприклад, ваш телефон або апаратний токен; і щось, чим ви є, наприклад, відбиток пальця або сканування обличчя, а налаштування 2FA просто поєднує будь-які два з них.
Загвоздка в тому, що не всі другі фактори однакові, і перемикач «2FA увімкнено» непомітно приховує це. SMS-код — найслабший поширений варіант, код із програми автентифікації, такої як Google Authenticator , зазвичай TOTP, який оновлюється кожні 30 секунд, є значно надійнішим, а фізичний ключ безпеки ще надійніший. Microsoft заявила, що ввімкнення MFA блокує близько 99,9% автоматизованих атак на облікові записи, що говорить про те, що базовий рівень добре працює проти масових спроб з низькими зусиллями, і питання, яке обговорюється в цій статті, полягає в тому, що відбувається, коли зловмисник зовсім не працює з низькими зусиллями.
Ось як розподіляються загальні другі фактори.
| Метод 2FA | Як це працює | Захист від фішингу? | Основна слабкість |
|---|---|---|---|
| SMS-код | Одноразовий код, надісланий на ваш номер | Ні | Заміна SIM-карти, перехоплення SS7 |
| Додаток для автентифікації (TOTP) | Ротація коду в додатку | Ні | Фішинг у режимі реального часу через ретрансляцію |
| Схвалення push-повідомлення | Натисніть «схвалити» на своєму телефоні | Ні | Втома від МЗС, швидке бомбардування |
| Апаратний ключ безпеки | Фізичний ключ, який ви підключаєте або торкаєтесь | Так | Вартість, може бути втрачена |
Важливий стрибок знаходиться в нижньому рядку. SMS-коди, коди додатків та push-сповіщення мають одну спільну слабкість: людину можна вмовити ввести їх на неправильному сайті, тоді як апаратний ключ безпеки взагалі неможливо вмовити ні до чого. Це та сама властивість, навколо якої побудований ключ доступу, тому справжній розрив проходить між факторами, схильними до фішингу, та факторами, стійкими до фішингу, а не між паролем та другим фактором.
Що таке ключ доступу та як працюють ключі доступу
Ключ доступу — це не кращий код; це пара криптографічних ключів, і розуміння цієї пари — це насправді вся суть. Коли ви створюєте ключ доступу для веб-сайту чи програми, ваш пристрій непомітно генерує два пов’язані значення: відкритий ключ і закритий ключ, використовуючи стандарти FIDO2 та WebAuthn, які Apple, Google і Microsoft вбудували у свої системи як основу для безпарольної автентифікації.
Ключі доступу швидко розвиваються. Альянс FIDO повідомив про близько 5 мільярдів ключів доступу, що активно використовуються станом на травень 2026 року, причому 75% споживачів увімкнули один з них принаймні в одному обліковому записі. Це вже не нішева функція.
Рукостискання з відкритим та закритим ключами
Розділення між двома ключами забезпечує безпеку ключа доступу. Уявіть собі відкритий ключ як замок, копію якого зберігає веб-сайт, а закритий ключ — як єдине, що може його відкрити, запечатане всередині вашого телефону. Коли ви входите в систему, сайт передає вашому пристрою одноразову головоломку для підпису. Ваш пристрій підписує цю головоломку закритим ключем, надсилає відповідь назад, сервер перевіряє її з відкритим ключем, який він уже має, і ви в мережі. Ніщо секретне ніколи не передається мережею, тому той, хто прослуховує зв'язок, не має нічого, що можна було б вкрасти та відтворити пізніше.
Біометрична перевірка або PIN-код вашого пристрою розблоковує закритий ключ локально, щоб він міг підписати його. Відбиток пальця також ніколи не надходить на сервер. Порівняйте це з паролем, який ви повністю передаєте щоразу, коли входите в систему, довіряючи тому, хто на іншому кінці, безпечно його зберігати.
Де зберігаються ваші ключі доступу: синхронізовано чи прив’язано до пристрою
Ключі доступу бувають двох видів. Синхронізовані ключі доступу зберігаються в менеджері паролів або зв'язці ключів платформи (Apple, Google, інструменті на кшталт 1Password або Bitwarden) і слідують за вами на всіх пристроях. Ключі доступу, прив'язані до пристрою, включаючи ті, що на апаратних ключах безпеки, ніколи не залишають єдиний пристрій, який їх створив. Синхронізовані ключі доступу зручніші та зберігаються навіть у разі втрати телефону; ключі, прив'язані до пристрою, забезпечують найсильніший фізичний захист, оскільки криптографічні ключі закріплені на одному об'єкті, який можна замкнути в шухляді.
Ключі доступу проти 2FA: ключові відмінності
Найпростіший спосіб запам'ятати різницю: двофакторна аутентифікація (2FA) додає крок до пароля, тоді як ключ доступу повністю замінює пароль. Щойно ви це сприймете таким чином, решта піде за вами. Двофакторна аутентифікація все ще залежить від відомого секрету, який може бути розголошений. Ключ доступу не має спільного секрету, який можна було б розкрити.
Ця єдина зміна каскадно поширюється на все інше, від стійкості до фішингу до швидкості входу. Постачальники, які впроваджують ключі доступу, повідомляють про значно швидший та успішніший вхід, ніж за допомогою пароля в поєднанні з SMS-кодом, оскільки не потрібно нічого вводити та нічого чекати. У таблиці нижче наведено ключові відмінності.
| Що важливо | 2FA (пароль + SMS/TOTP) | Ключ доступу |
|---|---|---|
| Замінює пароль | Ні, це додає до цього. | Так |
| Захист від фішингу | Ні (коди можна передавати) | Так (прив'язано до реального домену) |
| Піддається заміні SIM-картки | Так, за допомогою SMS | Ні |
| Спільний секрет, щоб вкрасти | Так | Ні |
| Швидкість входу | Повільніше (введіть код) | Швидше (торкніться або скануйте) |
| Відновлення у разі втрати пристрою | Резервні коди / SMS | Ключ синхронізації або резервного копіювання |
Чи є сам ключ доступу формою 2FA чи MFA?
Ось нюанс, який бентежить людей. Коли ви розблоковуєте ключ доступу, дві перевірки відбуваються одночасно. Ви доводите, що тримаєте пристрій, на якому зберігається закритий ключ, а відбиток пальця або сканування обличчя доводить, що пристрій справді у ваших руках. Це два фактори одним дотиком, що робить ключ доступу багатофакторним сам по собі. Додайте до нього традиційну 2FA, і ви здебільшого додаєте друге запитання, а не другу стіну.
Ось чому Агентство США з кібербезпеки та безпеки інфраструктури називає лише смарт-картки FIDO2/WebAuthn та PKI справді стійкими до фішингу багатофакторними автентифікаціями. Ключ доступу не є слабшим родичем другого фактора; він є багатофакторним за своєю суттю, об'єднаним в один крок.
Чому фішинг порушує 2FA, але не ключі доступу
Фішингова атака вирішує всю цю дискусію. Звіт Verizon про розслідування витоків даних за 2025 рік виявив викрадені облікові дані за 22% порушень та фішинг за ще 16%, тож це не екзотичні експлойти, а парадні двері, через які проходить більшість зловмисників.
Уявіть собі звичайну пастку. Електронний лист попереджає, що ваш обліковий запис заблоковано, ви переходите на сторінку, яка виглядає точно так само, як ваша біржа, і сумлінно вводите свій пароль і шестизначний код із програми автентифікації. На справжньому сайті цей код був би прийнятним. На копії зловмисника він захоплює його та повторює його зі справжнім логіном протягом кількох секунд, і другий фактор, якому ви довіряли, щойно ввів їх у гру. Саме це люди недооцінюють. 2FA все ще просить людину передати щось, а людину можна вмовити майже на що завгодно. Ключ доступу нічого не передає. Закритий ключ не можна ввести, прочитати вголос або вставити у підроблену форму, і він працює лише на тому самому домені, де ви його створили, тому сторінка-подібність не має нічого збирати та нічого відтворювати.
Заміна SIM-картки та проблема з SMS-кодом
SMS – це м’яка сторона двофакторної аутентифікації (2FA). Під час заміни SIM-картки зловмисник переконує вашого оператора перенести ваш номер на його телефон, і кожен код, призначений для вас, тепер з’являється на його екрані. Центр скарг на інтернет-злочини ФБР зареєстрував 982 скарги на заміну SIM-картки у своєму звіті за 2024 рік, зі збитками близько 26 мільйонів доларів, і це лише ті випадки, про які люди насправді потурбувалися повідомити. SMS-повідомлення також можуть бути перехоплені безпосередньо через недоліки застарілого телекомунікаційного протоколу SS7, що залишає вас із незручною правдою: будь-який код, що передається телефонною мережею, – це код, який хтось інший може непомітно перенаправити.
Фішинг за допомогою одноразових паролів та втома від багатофакторної автентифікації
Навіть додаток для автентифікації не застрахований, оскільки зловмисники запускають сайти ретрансляції в реальному часі, які знаходяться між вами та справжнім логіном, захоплюючи ваш TOTP та відтворюючи його протягом 30-секундного вікна. 2FA на основі push-повідомлень має власний режим відмови, відомий як втома MFA, коли зловмисник розсилає запити на схвалення, доки втомлений користувач нарешті не натисне кнопку схвалення, щоб просто припинити дзижчання. Жоден із цих трюків не працює з ключем доступу, оскільки немає коду для перехоплення, і немає запиту, який можна схвалити помилково.
Використовуйте ключі доступу на криптовалютних біржах та гаманцях
Саме тут порівняння ключів доступу та двофакторної аутентифікації (2FA) перестає бути академічним, і більшість загальних посібників замовкають. Банк може скасувати шахрайське списання. Блокчейн – ні. Коли зловмисник підміняє SIM-картку, щоб отримати доступ до вашого логіну на біржі та зняти ваш баланс, ця транзакція є остаточною. У звіті ФБР про інтернет-злочини за 2025 рік було підраховано загальні збитки у розмірі 20,9 мільярда доларів, з яких приблизно 11,4 мільярда доларів пов'язані з криптовалютним шахрайством, а захоплення облікових записів є постійною частиною цієї суміші.
Великі біржі, включаючи Coinbase, Binance та Kraken, тепер дозволяють захистити ваш логін за допомогою ключа доступу. Його ввімкнення видаляє SMS-код, який шукають команди з заміни SIM-карт, і замінює його ключем, який зловмисник не може отримати фішингом з іншої країни.
Одна відмінність важлива, оскільки легко помилитися. Ключ доступу захищає спосіб входу до облікового запису зберігача на біржі. Він не те саме, що закритий ключ або основне слово вашого гаманця для самостійного зберігання , і не замінює їх. Якщо ви зберігаєте власні монети, основне слово все ще є головним ключем до ваших коштів; ключ доступу захищає двері біржі, а не сховище, яке ви носите самі. Розуміння цього полягає в різниці між безпекою реального облікового запису та хибним відчуттям її.
Ключ доступу також добре поєднується з елементами керування, які біржа вже надає вам. Увімкніть його для входу, а потім додайте список дозволених адрес для виведення коштів, щоб навіть викрадений сеанс не міг надсилати кошти на невідомий гаманець без періоду очікування. Ключ доступу блокує злом; список дозволених адрес обмежує збитки, якщо щось ще прослизне. Використовувані разом, ключі доступу та елементи керування 2FA підвищують безпеку набагато більше, ніж кожен з них окремо, і ваш обліковий запис перестає залежати від коду, який можна перенаправити по радіоканалу на телефон незнайомця.
Коли вам все ще потрібна традиційна 2FA
Ключі доступу ще не скрізь, і вибір між ключами доступу та двофакторною аутентифікацією (2FA) часто зводиться до того, що підтримує певний сервіс, тому не відмовляйтеся від другого фактора з першого ж дня. FIDO Alliance налічує понад 15 мільярдів облікових записів, які готові до використання ключів доступу станом на 2025 рік, проте покриття на менших сайтах залишається нерівномірним, і багато сервісів, на які ви покладаєтеся, все ще пропонують лише пароль та код. Для них збережіть свою двофакторну аутентифікацію та просто оберіть кращу її версію – додаток для автентифікації, а не SMS. Відновлення – це ще одне місце, де вона заробляє на життя. Втратьте пристрій, на якому зберігається ключ доступу, пов’язаний з пристроєм, і резервний фактор або збережений набір кодів відновлення – це те, що поверне вас до системи. Розумна система використовує обидва варіанти: ключі доступу там, де ви можете їх мати, двофакторну аутентифікацію на основі додатків там, де ви не можете, та план відновлення, що непомітно знаходиться під обома.
Також варто згадати про витрати на перехід. Поки сайт не підтримуватиме ключі доступу, ви будете змушені використовувати найсильніший доступний варіант, а для багатьох сервісів це все ще означає простий додаток для автентифікації. Ставтеся до цього як до шаблону очікування, а не до місця призначення, і переглядайте свої важливі облікові записи кожні кілька місяців, оскільки підтримка ключів доступу постійно розширюється, і обліковий запис, який ви не змогли захистити минулої весни, може пропонувати її зараз.
Як перейти з 2FA на ключі доступу
Перехід — це драбина, а не стрибок, і єдине правило — ніколи не видаляти шлях відновлення під час перемикання. Ось розумний порядок дій:
1. Замініть SMS на додаток для автентифікації в кожному обліковому записі, який досі використовує коди. Це вже само по собі знищує ризик заміни SIM-картки.
2. Додайте ключ доступу всюди, де він пропонується, зазвичай у налаштуваннях безпеки облікового запису або входу.
3. Зберігайте ключ доступу в синхронізованому менеджері паролів або на апаратному ключі безпеки, залежно від того, який рівень фізичної безпеки ви хочете.
4. Зберігайте один резервний метод автентифікації та коди відновлення десь офлайн.
5. Видаліть SMS як фактор лише після того, як ключ доступу повністю ввійде в систему.
Почніть з облікових записів, на яких зберігаються гроші або особисті дані: ваша електронна пошта (головний ключ до скидання пароля), ваша біржа, ваш менеджер паролів. Далі рухайтеся вниз. Уся міграція може зайняти до полудня, і більша її частина — очікування завантаження сторінок.
Вердикт: ключі доступу, двофакторна аутентифікація (2FA) чи обидва варіанти?
У дебатах про ключі доступу проти двофакторної аутентифікації (2FA) саме ключі доступу перемагають у атаці, яка фактично спустошує облікові записи. Фішинг та заміна SIM-карт проходять повз SMS-коди, а часто й повз коди додатків, а потім наштовхуються на стіну з ключами доступу. Використовуйте ключ доступу всюди, де його пропонують, ставтеся до нього як до стандартного на будь-якій криптовалютній біржі та залиште двофакторну аутентифікацію на основі додатків як резервний варіант для всього, що ще не наздогнало. Справжнє питання не в тому, якому з них довіряти. Питання в тому, як швидко ви можете перенести найважливіші облікові записи. Який з них ви переключите першим?
