Я поставил двухфакторку на все сервисы и понял, что зря откладывал
Как меня взломали
Однажды я открыл свой аккаунт на mail.ru, а там письмо: «Вы вошли с нового устройства, Нигерия». Я в тот день вообще не заходил. Кто-то подобрал пароль.
Пароль был сложный — Qwerty123! — но, видимо, я его светил где-то. Я успел поменять пароль, ничего не пропало. Но осадок остался.
После этого я перерыл интернет и понял: единственный способ защититься — включить двухфакторную аутентификацию везде, где можно.
Что я подключил
Начал с Google. У меня там почта, документы, фото — если потеряю, это катастрофа. Включил 2FA через Google Authenticator, скачал резервные коды (это важно, без них если телефон потеряете — пиши пропало).
Дальше — GitHub. Там код, деплои, доступ к серверам. Без 2FA на GitHub — считай, что доступа к серверу нет, но любой может код посмотреть. Включил TOTP через тот же Authenticator.
Telegram. В Telegram 2FA включается в настройках конфиденциальности: пароль + облачный пароль. Теперь даже если кто-то узнает SMS-код, без пароля не войдёт.
WordPress. На админку mysurik.ru я поставил плагин Google Authenticator — теперь при входе спрашивает шестизначный код. Плюс сменил стандартный /wp-admin на другой URL.
Proxmox. Веб-морда поддерживает TOTP из коробки. Включил в Datacenter → Options → Two-Factor Authentication.
Anthropic (AI Client, хоть и не пользуюсь). Там 2FA через SMS — включил на всякий случай.
Чем пользуюсь
Сначала я юзал Google Authenticator — он простой, но бесит, что при смене телефона все ключи теряются. Потом перешёл на Authy — он синхронизируется между устройствами, можно с компа заходить через расширение. Сейчас попробовал 2FAS (бесплатно, открытый исходник) — он делает бекап ключей в Google Drive. Самое то.
Ещё купил пару NFC-ключей: один в кошелёк, второй в ящик стола. На AliExpress копейки. Настроил через них доступ к Bitwarden (менеджер паролей, self-hosted). Теперь если теряю телефон — захожу ключом, не парюсь.
Подводные камни
Первое время забывал, на каких сервисах включена 2FA, на каких нет. Завёл табличку в Bitwarden: сервис, тип 2FA (SMS/TOTP/ключ), есть ли резервные коды.
Ложные срабатывания. Один раз не мог войти в GitHub потому что на сервере сбилось время, и код не совпадал. Помучился 10 минут, пока не догадался синхронизировать часы через NTP.
Телефон сел. Было такое — сел аккумулятор, а мне срочно нужно зайти на почту. Хорошо, что резервные коды лежали в бумажнике. Теперь коды храню и в Bitwarden, и на бумажке.
Как я отключал 2FA на старом телефоне
Когда я купил новый телефон, Google Authenticator сказал: «Извини, ключи остались на старом». Я тогда ещё не перешёл на Authy пришлось перевыпускать ключи на всех сервисах. Заново заходить в каждый аккаунт, отключать старый ключ, добавлять новый. GitHub, Google, Telegram, WordPress, Proxmox — около часа возни. Теперь я храню ключи в Bitwarden — при смене телефона просто сканирую QR-коды заново.
Что я пропустил сначала
Первое время я думал, что 2FA защищает только от взлома пароля. Но на самом деле она защищает и от фишинга. Если вы попали на поддельный сайт Google и ввели пароль, хакер тут же подставляет ваш TOTP-код и входит. Поэтому важно проверять URL перед вводом кода. Я теперь смотрю на адресную строку как ястреб.
Второе — резервные коды. Я их сохранил, но положил в тот же Google Drive, который защищал 2FA. Если бы меня залочили из аккаунта, я бы и до резервных кодов не добрался. Теперь они лежат на бумажке в кошельке и отдельно в зашифрованном файле на домашнем сервере.
Кому это вообще нужно
Если у вас обычный аккаунт на mail.ru для рассылок и доступ к сайту через админку — 2FA не обязательна. Но если у вас на аккаунте висят домены, серверы, платёжные данные — включайте обязательно. Один потерянный пароль может стоить дороже часа настройки.
Я потерял один сервер из-за забытого пароля к облаку (без 2FA). Злоумышленник зашёл, запустил майнер на 100% CPU и получил счёт на 30000 рублей от облачного провайдера. К счастью, провайдер пошёл навстречу и списал половину. Но с 2FA такого бы не случилось — он бы не зашёл даже с правильным паролем.
Мой минимальный набор сейчас
Google — TOTP + аппаратный ключ. GitHub — TOTP + резервные коды на бумаге. Telegram — облачный пароль. WordPress — TOTP через плагин. Proxmox — TOTP. Bitwarden — аппаратный ключ. Всё остальное — TOTP в Authy.
Если вы думаете «меня не взломают, я никому не интересен» — вы ошибаетесь. Боты не разбирают, интересны вы или нет. Они просто перебирают пароли из слитых баз. 2FA — единственное, что остановит бота.
Совет
Начните с одного самого важного аккаунта — Google или почты. Включите 2FA, сохраните резервные коды, поносите неделю. Когда привыкнете — добавьте следующий.
Главное — не включайте всё сразу. Вы выпадите из всех аккаунтов и будете восстанавливать доступ неделю.