Доверенные устройства (Запомнить устройство при 2FA)

3 мин чтения

Если у Вас включена 2FA и Вы хотите пропустить ввод 6-значного кода при входе с обычного ПК или мобильного устройства, отметьте "Запомнить это устройство" - в течение 30 дней мы не будем повторно запрашивать TOTP.

Как это работает

1. При первом успешном входе с 2FA на данном устройстве отметьте "Запомнить это устройство"
2. Мы сохраняем в браузере HTTP-only куки с подписанным токеном (HMAC, не подлежит подделке)
3. При следующем входе (тот же браузер, то же устройство) мы находим этот куки и пропускаем шаг 2FA
4. Через 30 дней токен истекает и Вам потребуется снова ввести TOTP

Управление доверенными устройствами

В разделе Настройки -> раздел Безопасность -> Доверенные устройства Вы видите список:

• Название устройства (из user-agent - например, "Chrome на Windows 11")
• IP-адрес и страна последнего входа
• Дата добавления и последнего использования
• Кнопка Удалить - мгновенно отменяет доверие (куки будет отклонён при следующем запросе)

Когда удалять устройство

• Если Вы вошли на чужом или общедоступном ПК (кафе, библиотека)
• Если Вы потеряли / продали ноутбук или мобильный телефон
• Если Вы видите в списке устройство, которое не узнаёте (и IP / страну)

Меры безопасности

• Подпись HMAC: токен подписан серверным секретом - злоумышленник не сможет создать действительный куки без взлома секрета
• HTTP-only: JavaScript на странице не видит куки (защита от эксфильтрации XSS)
• Флаг Secure: куки передаётся только через HTTPS
• Привязка к аккаунту: токен содержит идентификатор пользователя - куки, украденный с аккаунта A, не подойдёт для аккаунта B
• Автоматический срок действия: 30 дней действия, затем необходим повторный ввод TOTP
• При смене пароля (через "Забытый пароль" или сброс пароля) все доверенные устройства автоматически удаляются - злоумышленник с куки больше не сможет пропустить 2FA