Скажу так: минулого року в одного друга зламали пароль акаунта біржі, але через те, що він увімкнув Google Authenticator, Хакер не зміг потрапити в акаунт. Зекономлених грошей вистачило, щоб купити автомобіль.

Це цінність двоетапної перевірки — не навчити вас криптографії, а допомогти зменшити ваші втрати.

Принцип у трьох реченнях: ви скануєте, зберігаючи ключ, біржа також зберігає копію, обидві сторони кожні 30 секунд обчислюють один і той же 6-значний код за одним і тим же формулою. Це можна обчислити без підключення до Інтернету, тому офлайн є найнебезпечнішим. Хакер не має вашого ключа, тому навіть якщо він буде намагатися, він не зможе вгадати код.

Практична порада: знайдіть старий телефон, витягніть SIM-карту, вимкніть Інтернет, вимкніть WiFi, спеціально встановіть Google Authenticator. Це називається "повітряна ізоляція", захист військового рівня, вартість - лише один старий телефон. Можна тестувати, копіювати, відразу використовувати.

Не використовуйте SMS-підтвердження, атаки SS7, клонування SIM-карт, занадто багато вразливостей. Те ж саме з електронною поштою, атаки на бази даних і фішинг непередбачувані.

Далі, Passkey поступово замінить TOTP. Він використовує асиметричне шифрування, приватний ключ ніколи не залишає вашого пристрою, сервер зберігає лише публічний ключ, і навіть якщо його зламають, нічого страшного. Але для поширення знадобиться ще кілька років, а зараз цілком достатньо використовувати офлайн-автентифікатори.

Старий телефон, зекономлені гроші на автомобіль, цей підрахунок зрозумілий кожному.