Почему TOTP-токен чувствительный
TOTP-токен не является обычной подсказкой или публичным идентификатором. Это секрет, по которому можно получать одноразовые коды для входа. Если токен попадает к постороннему человеку, защита аккаунта ослабевает.
Поэтому в FAQ мы отдельно объясняем, что такое 2FA secret, base32 token, TOTP generator и почему онлайн-аутентификатор нужно использовать осознанно.
Практические правила
- Не отправляйте токен в публичные чаты.
- Не храните token base32 в открытых документах.
- Не показывайте токен на скриншотах и трансляциях.
- Ограничивайте доступ к прямым ссылкам, если в них есть секрет.
- Меняйте токен, если есть подозрение на утечку.
Как работает Interzone
Аутентификатор Interzone нужен для быстрого получения кода по токену. При этом страницы с токенами не должны использоваться как SEO-страницы, а аналитика не должна собирать исходные секреты как обычные URL.
Как снизить риск при работе с 2FA online
Главное правило: одноразовый код можно показывать на короткое время, но TOTP secret показывать нельзя. Код живет секунды, а секрет генерирует новые коды постоянно. Поэтому base32 token, otpauth-ссылка и QR-код должны считаться чувствительными данными.
Для команд стоит разделять роли: кто имеет доступ к токену, кто использует готовый код, где хранятся recovery codes, как ротируется доступ при увольнении или смене проекта. Это особенно важно для маркетплейсов, почты, рекламных кабинетов, платежных систем и админ-панелей.
Хорошая практика
- хранить токены в доверенном менеджере;
- ограничивать доступ к ссылкам с секретами;
- не отправлять QR-коды в открытые чаты;
- регулярно проверять список людей с доступом;
- менять 2FA-токен при подозрении на утечку.