# Двухфакторная аутентификация — полный гид для казахстанцев > Двухфакторная аутентификация — самый доступный способ защитить банковский аккаунт и личные данные. Разбираем, как её правильно настроить и почему SMS-коды уже недостаточно. - **Дата публикации:** 2024-01-18 - **Автор:** Бекзат Жақсыбеков (Киберқауіпсіздік маманы) - **Язык:** Русский - **Теги:** кибербезопасность, защита потребителей, банки, антифрод, Казахстан --- Каждый год тысячи казахстанцев теряют доступ к банковским приложениям, социальным сетям и почте — не потому что придумали слабый пароль, а потому что не включили _двухфакторную аутентификацию_ (2FA). По данным Национальный банк, более 60% несанкционированных входов в мобильный банкинг можно было предотвратить с помощью второго фактора. ## Что такое двухфакторная аутентификация 2FA — это метод защиты аккаунта, при котором для входа требуется не только пароль, но и второй способ подтверждения личности. Логика простая: даже если злоумышленник узнал ваш пароль, без второго фактора он не войдёт в аккаунт. ### Три типа факторов - **Что вы знаете** — пароль, PIN-код, секретный вопрос. - **Что у вас есть** — телефон (SMS), приложение-аутентификатор, аппаратный ключ (USB-токен). - **Кто вы есть** — биометрия: отпечаток пальца, Face ID, сканирование радужки. 2FA комбинирует минимум два из трёх типов. Самая распространённая комбинация — пароль + SMS-код. ## Почему SMS-кодов уже недостаточно SMS-коды долгое время считались надёжным вторым фактором. Но мошенники научились их перехватывать несколькими способами: - **SIM-свопинг** — злоумышленник убеждает оператора связи перевыпустить вашу SIM-карту на новый номер. После этого все SMS приходят ему. - **SS7-атаки** — технические уязвимости в протоколе телефонных сетей позволяют перехватывать SMS. - **Вредоносные приложения** — троянские программы читают входящие SMS прямо на устройстве. > «SIM-свопинг стал одной из главных угроз для пользователей мобильного банкинга в Казахстане. В 2023 году зафиксировано более 800 подтверждённых случаев. Операторы связи обязаны верифицировать личность перед перевыпуском SIM — но не всегда делают это достаточно строго». > > — Комитет информационной безопасности МЦ РК, 2023 ## Надёжные альтернативы SMS ### Приложения-аутентификаторы Google Authenticator, Microsoft Authenticator, Authy — эти приложения генерируют одноразовые коды прямо на устройстве, без интернета и без SMS. Код меняется каждые 30 секунд. Даже если ваш телефон перехватили через SIM-своп — код из аутентификатора не придёт злоумышленнику. ### Аппаратные ключи (FIDO2/WebAuthn) USB или NFC-токен (YubiKey и аналоги) — наиболее надёжный второй фактор. Физически вставляете ключ при входе, и никакая удалённая атака не поможет хакеру. Пока не распространены в Казахстане для частных пользователей, но активно используются в корпоративном сегменте. ### Биометрия Face ID и Touch ID в банковских приложениях — удобный и достаточно надёжный второй фактор. Главный риск — принудительное использование (приложили палец, пока вы спали). Поэтому биометрию лучше сочетать с дополнительным PIN-кодом. ## Как настроить 2FA в казахстанских банках 1. **Kaspi Bank.** Приложение Kaspi → Профиль → Безопасность → Вход с подтверждением. Включите «Подтверждение по SMS» и по возможности активируйте Face ID как дополнение. 2. **Halyk Bank.** Homebank → Настройки → Безопасность → Двухэтапная верификация. Доступна настройка через SMS или push-уведомления. 3. **Forte Bank.** Fortebank → Настройки профиля → Уведомления → Включить подтверждение операций. Для всех банков: убедитесь, что к аккаунту привязан актуальный номер телефона, и запросите смену, если телефон потеряли. ## 2FA для не-банковских сервисов Защита нужна не только банкам. Злоумышленники взламывают почту, чтобы восстанавливать пароли от банков — или соцсети, чтобы вымогать деньги от вашего имени. Сервис Где включить 2FA Рекомендованный метод Gmail / Google myaccount.google.com → Безопасность Google Authenticator или ключ Telegram Настройки → Конфиденциальность → Двухэтапная верификация Пароль + email резервный egov.kz Кабинет → Безопасность SMS (других вариантов нет) Instagram Настройки → Безопасность → Двухфакторная аутентификация Authenticator app ## Что делать, если вы потеряли телефон с 2FA 1. Немедленно заблокируйте SIM-карту у оператора. 2. Войдите в аккаунты через резервные коды (их нужно сохранять при настройке 2FA — распечатайте и храните в безопасном месте). 3. Свяжитесь со службой поддержки банка или сервиса для восстановления доступа с верификацией личности. Если ваш аккаунт уже взломан — изучите [пошаговый гид для жертв мошенничества](/blog/chto-delat-zhertve-moshennichestva) и действуйте незамедлительно. Команда StopAntiFraud поможет разобраться с блокировками и восстановлением доступа к счетам.