Пароля мало. Второй фактор у MyNUC обеспечивает наш собственный
сервер аутентификации — «Паспорт» на
passport.limonkina.ru. TOTP-коды, Passkey-ключи и
backup-коды живут только внутри нашей инфраструктуры — ни Google,
ни Apple, ни один внешний сервис о вашем втором факторе не знает.
1 Зачем нужен второй фактор
Пароль — это что-то, что вы знаете. Его можно угадать,
подобрать, подсмотреть за плечом, выдернуть из утечки стороннего сайта
(где вы использовали такой же), получить фишингом. Один пароль = одна
точка отказа.
Второй фактор — это что-то, что вы имеете: телефон с
приложением-генератором, физический ключ YubiKey, встроенный Touch ID
в MacBook. Даже если пароль украли, без этой вещи злоумышленник не
зайдёт. И наоборот: без пароля второй фактор тоже бесполезен.
Главный сценарий для почты MyNUC: утечка пароля через
другой сайт. Если вы в 2017-м зарегистрировались на форуме, который в
2024-м слили, и пароль был тот же — ваша почта уже в словаре атакующего.
2FA превращает эту брешь в «они не смогут войти».
2 Три способа войти — выберите свой
Разные методы подходят разным людям. Вы не обязаны выбирать один —
обычно включают TOTP плюс резервные коды, а опытные
пользователи добавляют ещё и Passkey. Чем больше подтверждённых методов,
тем сложнее потерять доступ.
TOTP-коды
6 цифр каждые 30 секунд из любого authenticator-приложения
(Google Authenticator, Яндекс.Ключ, Aegis, 1Password, KeePassXC —
любое на выбор). Один QR — и готово.
Passkeys / ключи
Touch ID, Face ID, Windows Hello, YubiKey — биометрия или железо.
Никаких кодов для набора, защита от фишинга на уровне протокола.
Самый удобный из вариантов.
Backup-коды
10 одноразовых кодов, которые вы распечатываете и кладёте в сейф.
На случай «потерял телефон и YubiKey одновременно». Каждый срабатывает
ровно один раз.
Свойство
TOTP
Passkey
Backup
Удобство
6 цифр каждый раз
Один тап
Только для аварии
Фишинг-стойкость
Слабая
Полная
Как пароль
Нужно устройство
Телефон
Ключ / встроенная биометрия
Бумажка
Работает офлайн
Да
Да
Да
3 Принцип работы — ни одного запроса наружу
Главное, что важно понять про TOTP: название «Google Authenticator»
вводит в заблуждение. Это просто калькулятор, считающий по открытому
стандарту RFC 6238.
Никакой связи с Google у него нет.
Регистрация
Сервер генерирует секрет → показывает QR → телефон сохраняет локально
→
Хранение
Секрет зашифрован AES-256-GCM в нашей БД. У телефона — копия в защищённой области ОС
→
Проверка
Оба считают HMAC-SHA1(секрет, время/30). Сервер сверяет — пускает
Для Passkey схема чуть другая (асимметричная криптография: приватный
ключ никогда не покидает устройство, сервер хранит только публичный),
но принцип тот же: обмен происходит между вашим устройством и
нашим сервером. Никакой «облачной проверки», никакой третьей
стороны.
4 Что это значит для вас
Вся цепочка от регистрации до проверки кода проходит только
между нашим сервером и вашим устройством. Никаких API Google,
никаких push-сервисов Apple, никаких SMS-шлюзов Twilio.
self-hosted
Всё на нашем сервере. TOTP-секреты, Passkey-credentials и
хэши backup-кодов хранятся внутри нашей инфраструктуры на собственных
мощностях. Никакие внешние «облака доверия», SMS-шлюзы и push-сервисы
не задействованы.
at-rest
Шифрование в базе. TOTP-секреты шифруются на стороне
сервера специальным ключом, который доступен только нашей системе.
Утечка дампа БД без этого ключа — бесполезные байты.
audit
Каждая попытка — в логе. Успешные входы, неверные
коды, регистрации новых устройств, использование backup-кодов —
всё попадает в журнал событий «Паспорта». Свою историю входов вы
видите в личном кабинете на passport.limonkina.ru.
open
Открытые стандарты. TOTP — RFC 6238. WebAuthn —
спецификация W3C. Никакого нашего собственного протокола, который
нельзя проверить — всё на признанных международных стандартах.
5 Как включить 2FA в Паспорте
Все настройки второго фактора живут в личном кабинете «Паспорта». Шаги
одинаковы для бизнес-аккаунта и почтового — TOTP / Passkey / backup
предлагаются на одной странице.
Слева в меню — «User Settings». В нижней части страницы блок
«MFA Devices» с кнопкой «Enroll». Выберите тип:
TOTP, WebAuthn / Passkey или Static (backup-коды).
3
TOTP — отсканируйте QR-код
Откройте любое authenticator-приложение
(Aegis,
1Password,
Яндекс.Ключ, Google Authenticator) и наведите камеру на QR. Введите
6-значный код один раз — Паспорт подтвердит привязку.
4
Passkey — Touch ID / Face ID / YubiKey
Браузер сам предложит сохранить ключ в системном «Связке ключей»
macOS, Windows Hello, в менеджере паролей или на физическом ключе.
Достаточно одного нажатия. Для надёжности добавьте 2–3 разных
устройства (рабочий ноутбук + телефон + YubiKey).
5
Backup-коды — обязательно сохраните
Enroll → Static Tokens — Паспорт сгенерирует
набор одноразовых кодов. Распечатайте или скопируйте в Vaultwarden
(vault.limonkina.ru). Это ваш «парашют» если потеряете
телефон и YubiKey одновременно.
6 Если потерял доступ
Жизнь бывает разной. Вот что делать, в порядке от лучшего к крайнему:
backup
Используйте backup-код. На странице входа выберите
«Use a different method» → «Static Token» и введите один из
сохранённых одноразовых кодов. После входа — обязательно
сгенерируйте новый набор в MFA Devices.
recovery-mail
Восстановление по резервному e-mail. На странице
входа Паспорта — ссылка
«Забыли пароль?».
На указанный при регистрации внешний e-mail (gmail / yandex / mail.ru)
придёт письмо со ссылкой сброса. После сброса пароль и 2FA
переустанавливаются заново.
admin
Связаться с администратором. Если потеряны и
устройство, и backup-коды, и нет доступа к резервной почте — пишите
на admin@limonkina.ru с
указанием логина. Администратор может вручную снять привязку 2FA
(после подтверждения личности).
→ Включить прямо сейчас
Откройте Паспорт и зайдите в раздел MFA Devices.
Привязка одного TOTP-устройства занимает примерно 30 секунд,
а защита получается на годы вперёд.