Что важно в приложении для 2FA
Приложение для 2FA хранит секреты, по которым генерируются TOTP-коды. Главные требования простые: надежная защита устройства, понятный список аккаунтов, резервное восстановление и возможность безопасно перенести доступ при смене телефона.
Google Authenticator и Microsoft Authenticator закрывают базовые сценарии, но пользователю может понадобиться authenticator alternative с синхронизацией, командным доступом или экспортом. Важно понимать, где именно хранится секрет и кто может его восстановить.
Онлайн аутентификатор как дополнение
Online authenticator не всегда замена мобильному приложению. Он полезен для тестовых аккаунтов, внутренних инструкций, поддержки и рабочих процессов, где код нужен с компьютера. В таких случаях доступ к Base32 token должен быть ограничен.
Для личных постоянных аккаунтов безопаснее держать секрет в приложении и хранить recovery codes отдельно. Для команд важнее правила доступа, аудит и ротация токенов.
Как не потерять доступ
После включения 2FA сохраните recovery codes и проверьте, что коды действительно принимаются. Не удаляйте старое приложение до переноса всех аккаунтов. Если сервис позволяет добавить несколько факторов, настройте резервный способ.
При увольнении сотрудника или потере устройства переиздайте 2FA-секреты, а не просто удаляйте ссылку из документации.