Двухфакторная аутентификация (2FA)
Двухфакторная аутентификация (2FA) добавляет второй шаг при входе: помимо
пароля или входа через Google потребуется одноразовый 6-значный код из
приложения-аутентификатора на телефоне. Даже если пароль скомпрометирован,
без доступа к телефону войти не получится.
Функция добровольная. Если вы входите через Google и уже включили 2FA в
самом Google-аккаунте, отдельная 2FA Skyforge вам скорее всего не нужна — но
она полезна как дополнительный барьер и обязательна к рассмотрению для
администраторов платформы. Пока вы её не включили, вход работает как обычно.
Что понадобится
Приложение-аутентификатор (TOTP) на смартфоне:
- Google Authenticator
- Authy
- 1Password, Microsoft Authenticator и любые другие, поддерживающие
стандарт TOTP.
Как включить
- Откройте Настройки → Безопасность (
/settings/security). - Нажмите «Настроить приложение» — появится QR-код и текстовый ключ.
- В приложении-аутентификаторе добавьте новый аккаунт: отсканируйте QR-код
(или введите ключ вручную, если сканировать нельзя). - Приложение начнёт показывать 6-значный код, который меняется каждые
30 секунд. Введите текущий код в поле подтверждения и нажмите
«Подтвердить и включить».
После включения Skyforge покажет коды восстановления — сохраните их.
Коды восстановления
Коды восстановления — это одноразовые коды на случай потери или недоступности
телефона. Особенности:
- показываются только один раз при включении 2FA или при перевыпуске —
сохраните их в надёжном месте (менеджер паролей, распечатка); - каждый код работает один раз; после использования он сгорает;
- на странице «Безопасность» видно, сколько кодов осталось;
- закончились или скомпрометированы — нажмите «Перевыпустить коды»
(старые коды при этом перестают работать).
Вход с включённой 2FA
- Введите пароль или войдите через Google, как обычно.
- Откроется промежуточный экран — введите текущий код из приложения.
- Нет доступа к приложению? Нажмите «Ввести код восстановления» и
используйте один из сохранённых кодов.
До ввода второго фактора сессия не выдаётся: защищённые страницы недоступны.
На ввод кода отведено ограниченное время и число попыток — при переборе вход
временно блокируется.
Перепривязать устройство
Сменили телефон? На странице «Безопасность» нажмите «Перепривязать» и
настройте приложение заново по новому QR-коду. Старое устройство продолжает
работать, пока вы не подтвердите новое — так вы не потеряете доступ, если
что-то пойдёт не так.
Отключить 2FA
На странице «Безопасность» нажмите «Отключить 2FA» и подтвердите действие
текущим кодом (из приложения или кодом восстановления). После отключения вход
снова защищён только паролем/Google.
Безопасность
- Секрет 2FA хранится в базе в зашифрованном виде, а не открытым текстом.
- Коды восстановления хранятся в виде хэшей — восстановить сам код из базы
нельзя. - Включение, отключение и неудачные попытки ввода кода фиксируются в разделе
«Моя активность» (/settings/activity).