Двухфакторная аутентификация убьёт твой Insta-профиль? 2FAgate

Двухфакторка, двухфакторная аутентификация — инструмент, который должен защитить аккаунт от взлома и обезопасить учётную запись в Instagram (да и в любом другом сервисе) неожиданно стал огромной проблемой для тысяч пользователей, которые потеряли свои аккаунты. 

Главную проблему тут выделить сложно. Пострадавшие пишут, что главная проблема в технической поддержке Instagram, точнее в её отсутствии. Другие говорят про технический сбой. Но и вина самих пользователей (частичная) тоже имеет место быть. 

Разберёмся с проблемой. 

Есть такое приложение Google Authenticator. Его можно использовать для двухфакторного входа в свой Insta-профиль. Для тех, кто не сталкивался, работает это так: 

1. Устанавливаешь приложение на смартфон 
2. Добавляешь в него учётную запись Instagram через QR-код
3. Дальше видишь в нём постоянно обновляемые коды
4. При попытке войти в Instagram с нового устройства или просто после выхода из своей учётной записи, кроме логина и пароля, система потребует один из временных кодов приложения, без него войти не даст 

В этом и кроется главное преимущество такого способа защиты. Даже если у тебя угнали пароль, войти в профиль никто не сможет без твоего смартфона и без временных кодов. Но работает и обратная ситуация. 

На Reddit есть куча тем, собравших сотни комментариев с обсуждением проблемы 2FA, когда люди теряют аккаунты. Есть огромные инструкции, как восстановить профиль в данном случае, например вот и вот. Только в последнее время эти инструкции работать перестали. 

Стоп. Как можно потерять свой Instagram-профиль из-за 2FA? 

Мне писали по этой проблеме и я тоже не понимал. А сценариев 3: 

Взлом аккаунта с целью мошенничества или выкупа

Большая часть пострадавших в русскоязычном комьюнити проблемы (да, такое есть, собираются тут) была просто взломана. 

Взломать сам Instagram-аккаунт невозможно (ну или крайне трудно), поэтому взламывают почту, на которую привязан аккаунт. Почти все, с кем я пообщался, имели почту на mail.ru. Хотят слухи и легенды, среди тех, кого взломали, что это самая незащищённая почта. Я в это не сильно верю, но факт есть факт. 

Instagram-аккаунты взламывают и уводят через почту, к которой они привязаны! 

После этого мошенники ставят 2FA на профиль и всё. Он потерян. 

Ты пишешь в техническую поддержку, тебе восстанавливают аккаунт, но войти в него ты не можешь, потому что профиль требует временный код. А его нет. Поддержка будет упорно говорить, что двухфакторка отключена, но код система требует всё равно. И войти в аккаунт невозможно. 

Обычно после этого мошенники выкладывают в профиль мольбы о сборе денег. Кто-то болеет, пострадал, требуется срочное лечение. Тебе явно встречались такие посты: 

Иногда доходит до обсуждения выкупа аккаунта, но как правило, это такой же развод.

То есть: 

• незащищённая почта 
• взлом почты 
• привязка 2FA к аккаунту 
• потеря аккаунта

Но есть и другие сценарии, где «вина пользователя» чуть выше. 

Утерян телефон, приложение, потерян доступ к приложению Google Authenticator

Google Authenticator классная штука, которая имеет несколько вариантов восстановления: резервные коды, QR-код, электронный ключ и даже резервный номер телефона. Но классика жанра заключается в том, что резервными копиями и способами восстановления люди начинают интересоваться тогда, когда уже поздно. 

Поэтому если ты используешь Google Authenticator, возьми и сделай скриншот QR-кода для восстановления ПРЯМО СЕЙЧАС. А лучше распечатай и положи в документы, между свидетельством о рождении и аттестатом. Поверь, когда-нибудь он пригодится. 

Закончу с лирикой. Происходит следующее. У юзера всё в жизни ок, он использует двухфакторку, аккаунты надёжно защищены. 

Но тут он разбивает телефон и тот умирает. Или теряет его. Или покупает новый, но не переносит приложение со старого через QR-код. Либо любой другой вариант. 

И теряет доступ к аккаунту! Если не озаботиться способами восстановления Google Authenticator, потеря телефона = потеря всех аккаунтов на двухфакторке! Когда я купил новый айфон, первое, что я сделал, это перенёс приложение через QR-код не выходя и не обнуляя старый айфон. Честно, в первый раз даже руки немного трясло, вдруг не получится. 

В чём заключается 2FAgate? 

В том, что на тебя всем плевать. Техническая поддержка в Instagram работает через 🍑. Плохо. Отвечает долго, шаблонами, не разбирается. Да, у Instagram больше миллиарда пользователей, но это не значит, что на своих же пользователей можно забить. 

В комментариях и реплаях в Twitter, Instagram и Facebook тысячи людей пишут о том, что потеряли доступ к аккаунту из-за 2FA и тишина. 

Думаешь надо писать в поддержку, а не в комментариях? Всё так. Но поддержка не помогает. Есть подробные гайды, как восстанавливать аккаунт: 

Есть даже Telegram-бот с инструкцией. Она помогала до конца сентября, примерно. Дальше схема перестала работать и помогает единицам (никому). 

Какой вывод и что делать?

1. Смени пароли у почты прямо сейчас
2. Не указывай в контактах почту своего Insta-профиля нигде и не свети её
3. Поставь на почту двухфакторную аутентификацию 
4. Привяжи резервную почту к своей почте и привяжи номер телефона 
5. Запиши резервные коды у Google Authenticator
6. Сохрани, а лучше распечатай, QR-код для восстановления Google Authenticator 
7. Я не шучу, распечатай, скажешь потом спасибо
8. Установи 2FA на все свои соцсети 
9. Подключи FaceID и другие способы защиты самого Google Authenticator
10. И да, поменяй/включи PIN код у своей симкарты с дефолтного, на любой другой. Если смартфон украдут, симкой не смогут воспользоваться, а там вся твоя жизнь

Такие проблемы могут жить в Instagram годами. Есть пользователи, которые потеряли доступ к своему аккаунту ещё весной и до сих пор не могут его восстановить. 

Лучший способ решения этой проблемы — предотвратить её.