Глоссарий

Код подтверждения (Verification Code)

16.04.2026

Код подтверждения (verification code) — короткий одноразовый код (обычно 6 цифр), подтверждающий, что пользователь контролирует конкретное устройство, номер телефона или аккаунт. Криптобиржи, кошельки и майнинг-пулы используют коды подтверждения как второй фактор в дополнение к паролю — это называется 2FA (двухфакторная аутентификация).

Типы кодов подтверждения

TOTP (приложения-аутентификаторы)

Генерируются локально приложениями вроде Google Authenticator, Authy или аппаратными токенами. Основаны на стандарте TOTP (Time-based One-Time Password) — код обновляется каждые 30 секунд на базе общего секрета, установленного при настройке.

  • Надёжный — генерация происходит офлайн; посредник не может перехватить код
  • Рекомендуемый способ 2FA по умолчанию на большинстве бирж

SMS-коды

Отправляются на номер телефона пользователя текстовым сообщением.

  • Слабый — уязвим к SIM swap-атакам, когда злоумышленник убеждает оператора перевыпустить номер жертвы на подконтрольную ему SIM-карту, перехватывая все входящие коды
  • Многие крупные криптокражи начинались именно с SIM swap
  • Избегайте SMS-2FA, если доступна альтернатива

Email-коды

Отправляются на зарегистрированный email-адрес пользователя.

  • Защищённость сводится к защищённости самого почтового ящика — если email скомпрометирован, скомпрометированы и коды
  • Обычно применяются для разовых действий (сброс пароля, вход с нового устройства), а не для каждого логина

Аппаратные ключи безопасности (Passkeys, U2F, WebAuthn)

Физические устройства (YubiKey, Titan), подписывающие криптографический challenge. Самый надёжный вариант — это вообще не «код», он иммунен к фишингу.

Анти-фишинг-коды

Многие биржи предлагают анти-фишинг-код — персональную строку, которую вы настраиваете и которая появляется во всех легитимных письмах от биржи. Если письмо претендует быть от биржи, но анти-фишинг-код отсутствует или не тот — это фишинг.

Правила

  • Предпочитайте TOTP или аппаратные ключи вместо SMS
  • Никогда не передавайте код подтверждения никому — сотрудники поддержки никогда его не спросят
  • Сохраняйте резервные копии 2FA-секретов при настройке TOTP (многие приложения предлагают шифрованный облачный бэкап)
  • Включайте белые списки адресов вывода на биржах как дополнительный слой защиты

Смотрите также

Эта статья доступна на других языках: