Довірені пристрої (Запам'ятати пристрій при 2FA)

3 хв читання

Якщо у Вас увімкнено 2FA і Ви хочете пропустити введення 6-значного коду при вході зі звичайного ПК або мобільного пристрою, позначте "Запам'ятати цей пристрій" - протягом 30 днів ми не будемо повторно запитувати TOTP.

Як це працює

1. При першому успішному вході з 2FA на цьому пристрої позначте "Запам'ятати цей пристрій"
2. Ми зберігаємо в браузері HTTP-only кукі з підписаним токеном (HMAC, не підлягає підробці)
3. При наступному вході (той самий браузер, той самий пристрій) ми знаходимо це кукі та пропускаємо крок 2FA
4. Через 30 днів термін дії токена закінчується і Вам потрібно буде знову ввести TOTP

Керування довіреними пристроями

У розділі Налаштування -> розділ Безпека -> Довірені пристрої Ви бачите список:

• Назва пристрою (з user-agent - наприклад, "Chrome на Windows 11")
• IP-адреса та країна останнього входу
• Дата додавання та останнього використання
• Кнопка Видалити - миттєво скасовує довіру (кукі буде відхилено при наступному запиті)

Коли видаляти пристрій

• Якщо Ви увійшли на чужому або загальнодоступному ПК (кав'ярня, бібліотека)
• Якщо Ви загубили / продали ноутбук або мобільний телефон
• Якщо Ви бачите у списку пристрій, якого не впізнаєте (і IP / країну)

Заходи безпеки

• Підпис HMAC: токен підписаний серверним секретом - зловмисник не зможе створити дійсне кукі без злому секрета
• HTTP-only: JavaScript на сторінці не бачить кукі (захист від XSS-ексфільтрації)
• Прапор Secure: кукі передається лише через HTTPS
• Прив'язка до акаунта: токен містить ідентифікатор користувача - кукі, викрадене з акаунта A, не підійде для акаунта B
• Автоматичний термін дії: 30 днів дії, потім необхідне повторне введення TOTP
• При зміні пароля (через "Забутий пароль" або скидання пароля) всі довірені пристрої автоматично видаляються - зловмисник з кукі більше не зможе пропустити 2FA