Глосарій

Код підтвердження (Verification Code)

16.04.2026

Код підтвердження (verification code) — короткий одноразовий код (зазвичай 6 цифр), що підтверджує, що користувач контролює конкретний пристрій, номер телефону або акаунт. Криптобіржі, гаманці та майнінг-пули використовують коди підтвердження як другий фактор на додаток до пароля — це називається 2FA (двофакторна аутентифікація).

Типи кодів підтвердження

TOTP (додатки-аутентифікатори)

Генеруються локально додатками на кшталт Google Authenticator, Authy або апаратними токенами. Засновані на стандарті TOTP (Time-based One-Time Password) — код оновлюється кожні 30 секунд на основі спільного секрету, встановленого при налаштуванні.

  • Надійний — генерація відбувається офлайн; посередник не може перехопити код
  • Рекомендований спосіб 2FA за замовчуванням на більшості бірж

SMS-коди

Надсилаються на номер телефону користувача текстовим повідомленням.

  • Слабкий — вразливий до SIM swap-атак, коли зловмисник переконує оператора перевипустити номер жертви на підконтрольну йому SIM-карту, перехоплюючи всі вхідні коди
  • Багато великих криптокрадіжок починалися саме з SIM swap
  • Уникайте SMS-2FA, якщо доступна альтернатива

Email-коди

Надсилаються на зареєстровану email-адресу користувача.

  • Захищеність зводиться до захищеності самого поштового ящика — якщо email скомпрометовано, скомпрометовані і коди
  • Зазвичай застосовуються для разових дій (скидання пароля, вхід з нового пристрою), а не для кожного входу

Апаратні ключі безпеки (Passkeys, U2F, WebAuthn)

Фізичні пристрої (YubiKey, Titan), що підписують криптографічний challenge. Найнадійніший варіант — це взагалі не «код», він імунний до фішингу.

Анти-фішинг-коди

Багато бірж пропонують анти-фішинг-код — персональний рядок, який ви налаштовуєте і який з'являється у всіх легітимних листах від біржі. Якщо лист претендує бути від біржі, але анти-фішинг-код відсутній або не той — це фішинг.

Правила

  • Віддавайте перевагу TOTP або апаратним ключам замість SMS
  • Ніколи не передавайте код підтвердження нікому — співробітники підтримки ніколи його не запитають
  • Зберігайте резервні копії 2FA-секретів при налаштуванні TOTP (багато додатків пропонують зашифрований хмарний бекап)
  • Вмикайте білі списки адрес виводу на біржах як додатковий шар захисту

Дивіться також

Ця стаття доступна іншими мовами: