Двухфакторная аутентификация (2FA)

Обновлено: 2026-07-16 безопасность 2fa totp вход аутентификация

Двухфакторная аутентификация (2FA)

Двухфакторная аутентификация (2FA) добавляет второй шаг при входе: помимо
пароля или входа через Google потребуется одноразовый 6-значный код из
приложения-аутентификатора на телефоне. Даже если пароль скомпрометирован,
без доступа к телефону войти не получится.

Функция добровольная. Если вы входите через Google и уже включили 2FA в
самом Google-аккаунте, отдельная 2FA Skyforge вам скорее всего не нужна — но
она полезна как дополнительный барьер и обязательна к рассмотрению для
администраторов платформы. Пока вы её не включили, вход работает как обычно.

Что понадобится

Приложение-аутентификатор (TOTP) на смартфоне:

  • Google Authenticator
  • Authy
  • 1Password, Microsoft Authenticator и любые другие, поддерживающие
    стандарт TOTP.

Как включить

  1. Откройте Настройки → Безопасность (/settings/security).
  2. Нажмите «Настроить приложение» — появится QR-код и текстовый ключ.
  3. В приложении-аутентификаторе добавьте новый аккаунт: отсканируйте QR-код
    (или введите ключ вручную, если сканировать нельзя).
  4. Приложение начнёт показывать 6-значный код, который меняется каждые
    30 секунд. Введите текущий код в поле подтверждения и нажмите
    «Подтвердить и включить».

После включения Skyforge покажет коды восстановления — сохраните их.

Коды восстановления

Коды восстановления — это одноразовые коды на случай потери или недоступности
телефона. Особенности:

  • показываются только один раз при включении 2FA или при перевыпуске —
    сохраните их в надёжном месте (менеджер паролей, распечатка);
  • каждый код работает один раз; после использования он сгорает;
  • на странице «Безопасность» видно, сколько кодов осталось;
  • закончились или скомпрометированы — нажмите «Перевыпустить коды»
    (старые коды при этом перестают работать).

Вход с включённой 2FA

  1. Введите пароль или войдите через Google, как обычно.
  2. Откроется промежуточный экран — введите текущий код из приложения.
  3. Нет доступа к приложению? Нажмите «Ввести код восстановления» и
    используйте один из сохранённых кодов.

До ввода второго фактора сессия не выдаётся: защищённые страницы недоступны.
На ввод кода отведено ограниченное время и число попыток — при переборе вход
временно блокируется.

Перепривязать устройство

Сменили телефон? На странице «Безопасность» нажмите «Перепривязать» и
настройте приложение заново по новому QR-коду. Старое устройство продолжает
работать, пока вы не подтвердите новое
— так вы не потеряете доступ, если
что-то пойдёт не так.

Отключить 2FA

На странице «Безопасность» нажмите «Отключить 2FA» и подтвердите действие
текущим кодом (из приложения или кодом восстановления). После отключения вход
снова защищён только паролем/Google.

Безопасность

  • Секрет 2FA хранится в базе в зашифрованном виде, а не открытым текстом.
  • Коды восстановления хранятся в виде хэшей — восстановить сам код из базы
    нельзя.
  • Включение, отключение и неудачные попытки ввода кода фиксируются в разделе
    «Моя активность» (/settings/activity).