Пароль — одна линия защиты. Если он попал в чужие руки (фишинг, утечка, повторное использование с других сайтов), злоумышленник зайдёт в кабинет. Двухфакторная аутентификация (2FA) добавляет вторую линию: чтобы войти, нужен код из SMS или приложения.
Coming soon: 2FA сейчас в активной разработке (дорожная карта 2026). Эта статья описывает дизайн будущей функции и текущие альтернативы.
Виды 2FA
- SMS-код: 6-значный код приходит на телефон при каждом входе. Проще в setup, но менее безопасно (SIM-swap, перехват SMS).
- TOTP-приложение: Google Authenticator, Authy, 1Password, FreeOTP — генерируют код локально по shared secret. Не зависит от сотовой связи. Рекомендуем.
Что защищает 2FA
- Подбор пароля по словарю — без второго фактора bruteforce бесполезен.
- Утечки паролей с других сайтов — даже если ваш пароль попал в leaks базу, без 2FA-кода не войдут.
- Фишинг — кодом из реального приложения нельзя залогиниться на поддельный сайт (TOTP уникальны для домена).
Что НЕ защищает 2FA
- Сессии уже вошедших в кабинет (используйте мониторинг активных сессий).
- Доступ к 1С базе через тонкий клиент (там своя авторизация в самой 1С).
- Социнженерия — если злоумышленник убедит вас сказать SMS-код по телефону, 2FA не поможет.
Альтернативы до релиза 2FA
- Сложный уникальный пароль — 16+ символов, не использованный нигде ещё. Используйте менеджер паролей (1Password, Bitwarden).
- Мониторинг сессий — каждую неделю смотрите список активных сессий. Незнакомые IP — закрывайте.
- Уникальный email — не используйте основной email учётной записи в публичных формах.
Когда ждать релиз 2FA
Запланирован на Q3 2026. Для VIP-клиентов с высокими требованиями к безопасности — можем включить SSO с вашей корпоративной системой (Yandex 360, Microsoft Entra). Напишите в поддержку.