Справка и руководстваБезопасность аккаунта › Доверенные устройства (Remember device с 2FA)

Доверенные устройства (Remember device с 2FA)

3 мин чтения · Безопасность аккаунта

Если у Вас включена двухфакторная аутентификация (2FA) и Вы хотите пропустить ввод шестизначного кода при входе с обычного компьютера или мобильного устройства, отметьте "Запомнить это устройство". В течение 30 дней мы не будем повторно запрашивать одноразовый код (TOTP).

Настройки аккаунта - электронная почта, пароль, 2FA и доверенные устройства
Раздел Аккаунт: здесь Вы управляете 2FA и доверенными устройствами.

Как это работает

  1. При первом успешном входе с 2FA на данном устройстве отметьте "Запомнить это устройство".
  2. В браузер мы сохраняем случайный токен безопасности (256 бит). На сервере мы храним только его хеш (SHA-256), поэтому токен невозможно угадать или вывести - злоумышленник не сможет подделать действительный куки.
  3. При следующем входе в том же браузере мы находим этот куки и пропускаем шаг 2FA.
  4. Через 30 дней срок действия куки истекает, и Вам потребуется снова ввести одноразовый код.

Управление доверенными устройствами

В разделе Настройки в секции Аккаунт -> Доверенные устройства Вы видите список:

  • Название устройства, полученное от браузера (например, "Chrome на Windows 11").
  • IP-адрес и страну последнего входа.
  • Дату добавления и последнего использования.
  • Кнопку Удалить - мгновенно отменяет доверие, и следующий вход с этого устройства снова потребует код 2FA.

Когда удалять устройство

  • Вы вошли на чужом или общедоступном компьютере (кафе, библиотека).
  • Вы потеряли или продали ноутбук либо мобильный телефон.
  • Вы видите в списке устройство, которое не узнаёте (чужой IP-адрес, неизвестная страна).

Меры безопасности

  • Случайный токен на стороне сервера: в браузер отправляется только случайный 256-битный токен, сервер хранит лишь его хеш SHA-256 и сравнивает его - злоумышленник не сможет подделать действительный куки.
  • JavaScript не имеет доступа к куки: защита от того, чтобы его мог украсть вредоносный скрипт на странице.
  • Только через зашифрованное соединение: куки передаётся исключительно через HTTPS.
  • Привязка к аккаунту: куки из аккаунта A не подойдёт для аккаунта B.
  • Автоматическое истечение срока: через 30 дней 2FA снова обязательна.
  • При смене пароля (через "Забытый пароль" или ручное изменение) все доверенные устройства автоматически удаляются. Даже если у злоумышленника есть Ваш старый куки, он больше не пропустит 2FA.
Было ли это руководство полезным?