Если ты хоть раз терял доступ к важному аккаунту из-за взлома или утечки пароля, ты уже знаешь, насколько двухфакторная аутентификация (2FA) — не просто дополнительная опция, а must have. В этой статье разберём, как Google Authenticator спасает от кражи аккаунтов, почему это не серебряная пуля, и как его правильно внедрять, чтобы не было мучительно больно за потерянные коды.

Возможности

• Генерация одноразовых токенов (TOTP) — пароль меняется каждые 30 секунд.
• Работает оффлайн — не нужен интернет для получения кода.
• Можно добавить неограниченное количество аккаунтов (Google, GitHub, AWS, что угодно).
• Поддержка импорта/экспорта аккаунтов (после обновлений 2023 года).
• Работает на Android и iOS, есть неофициальные десктоп-клиенты.

Что требуется

• Смартфон на Android (5.0+) или iOS (12.0+).
• Свободное место в памяти (приложение весит меньше 10 МБ).
• Доступ к Google Play или App Store.
• В идеале — второй способ восстановления (резервные коды, второй девайс или бэкап).

Установка — пошаговая инструкция

1. Скачай Google Authenticator:
   Google Play (Android)
   App Store (iOS)
2. Запусти приложение и пройди короткий onboarding.
   Обычно просят разрешение на камеру — это нужно для сканирования QR-кодов.
3. Открой настройки безопасности в нужном сервисе (например, Google, GitHub, AWS и т.д.).
   Найди раздел «Двухфакторная аутентификация» или «Two-Factor Authentication (2FA)».
4. Выбери тип 2FA — «Authenticator App» или «Time-based One-Time Password».
5. Сгенерируй QR-код или получи секретный ключ.
6. В Google Authenticator:
   • Нажми на “+” внизу.
   • Выбери «Сканировать QR-код» или «Ввести ключ вручную».
   • Сканируй QR-код или введи ключ.
7. Приложение покажет 6-значный код, который меняется каждые 30 секунд.
8. Введи этот код в настройках сервиса для подтверждения.
9. Сохрани резервные коды восстановления! Если потеряешь телефон — это твой последний шанс вернуть доступ.

Использование: команды и варианты

• Для каждого аккаунта отображается отдельный 6-значный код.
• Можно переименовывать аккаунты, чтобы не путаться (“GitHub Work”, “AWS Prod” и т.д.).
• Долгий тап по аккаунту — копировать код (Android).
• Можно переносить аккаунты на другой телефон: Меню → Перенести аккаунты (экспорт/импорт через QR).
• Для CLI: если хочешь TOTP на сервере — посмотри google-authenticator-libpam или Google Authenticator CLI.
• Для десктопа: есть проекты типа GAuth (web), KeePassXC (TOTP поддержка).

Ошибки, как делать не надо

• Не храни единственный доступ к 2FA на одном телефоне без бэкапа! Потеряешь — потеряешь всё.
• Не скринь QR-код и не кидай его в мессенджеры — это фактически твой пароль.
• Не отключай 2FA «на время», если лень доставать телефон — это самая частая причина взлома.
• Не используй один и тот же секрет для нескольких сервисов.
• Не забывай про резервные коды восстановления.

Пример реального использования в окружении

В продакшене, когда выкатываешь 2FA для доступа в AWS или GitHub организации, обычно делается так:
— На этапе онбординга новый девопс или админ получает инструкции по установке Google Authenticator.
— Включает 2FA в своём аккаунте, сканирует QR-код, сразу сохраняет резервные коды (желательно в менеджер паролей).
— Для особо параноидальных: экспортирует аккаунты в Google Authenticator на второй телефон (например, старый смартфон, который хранится дома в сейфе).
— В случае потери устройства — используется резервный код или второй девайс для восстановления доступа.
— Для сервисных аккаунтов — иногда используют отдельный TOTP-генератор (например, аппаратный токен или десктопный клиент с шифрованием).

Заключение

Google Authenticator — простейший способ добавить 2FA и не потерять голову из-за взлома по паролю. Но не забывай про бэкапы и резервные коды. Если хочешь что-то посложнее — смотри в сторону YubiKey или OpenOTP. Но для 90% задач Google Authenticator — нормальный рабочий инструмент.

Официальная документация:
Google: Как работает Authenticator
Google Authenticator на GitHub