Банковская безопасность может казаться запутанной, потому что каждый счет, кажется, работает с ней по-разному. Один банк присылает SMS. Другой — email. Третий просит подтвердить вход в своем приложении. Поэтому, когда кто-то говорит: «Используйте более надежную двухфакторную аутентификацию», вполне справедливо задаться вопросом, что это на самом деле значит.
Кира из Уэст-Плейнс, штат Миссури, связалась с нами с вопросом:
«Я смотрела ваше видео на подкасте, где вы говорили о двухфакторной аутентификации и получении кодов по электронной почте от вашего банка и других аккаунтов. Насколько я знаю, мои аккаунты делают это автоматически. Этого достаточно, или мне нужно связаться с банком, чтобы убедиться, что все настроено правильно?»
Кира, это отличный вопрос, потому что многие люди находятся в той же лодке. Они видят всплывающий код и предполагают, что полностью защищены. Правда немного сложнее. Коды по SMS или email лучше, чем только пароль.
Однако коды по SMS и email не всегда являются самыми надежными вариантами. Мошенники нашли способы красть коды, обманом заставлять людей делиться ими или захватывать контроль над номером телефона с помощью SIM-свопинга. Как только мошенники получают контроль над вашим номером, они могут получать SMS-коды, необходимые для доступа к аккаунтам, использующим SMS-основанную многофакторную аутентификацию.
Клиенты банков, использующие SMS-коды безопасности, все еще могут сталкиваться с рисками SIM-свопинга и фишинговых атак. Эксперты по кибербезопасности рекомендуют использовать более надежную защиту входа, когда это возможно. (Anna Barclay/Getty Images)
Подпишитесь на мой БЕСПЛАТНЫЙ CyberGuy Report
Что на самом деле делает двухфакторная аутентификация
Двухфакторная аутентификация, также называемая 2FA или многофакторной аутентификацией, добавляет дополнительный шаг при входе в систему. Вместо того чтобы полагаться только на ваш пароль, аккаунт запрашивает что-то еще, чтобы доказать, что это действительно вы.
Этим «чем-то еще» может быть код, отправленный по SMS, код из приложения-аутентификатора, ключ безопасности или запрос в мобильном приложении вашего банка. Двухфакторная аутентификация — один из лучших способов защитить ваши аккаунты, поскольку она добавляет второй уровень поверх вашего пароля.
Итак, Кира, если ваш банк уже присылает вам код, это хороший знак. Это означает, что включена какая-то форма дополнительной защиты. Но следующий вопрос: предлагает ли ваш банк более надежный вариант.
Почему SMS-коды — не самый надежный выбор
SMS-коды популярны, потому что их легко использовать. Большинство людей знают, как прочитать SMS и ввести код. Это удобство сопряжено с риском.
SIM-свопинг происходит, когда преступник обманом заставляет вашего мобильного оператора перенести ваш номер телефона на устройство, которое он контролирует. Как только это происходит, ваши звонки и SMS могут поступать мошеннику вместо вас. Американская ассоциация банкиров предупреждает, что мошенники могут пытаться перехватывать коды двухфакторной аутентификации, чтобы получить доступ к финансовым счетам.
Мошенники также могут звонить, писать SMS или электронные письма, притворяясь вашим банком. Они могут сказать, что на вашем счету мошенничество, и попросить вас продиктовать код. Этот код на самом деле может быть ключом, который им нужен для входа. Мошенники часто пытаются обманом заставить людей поделиться кодами подтверждения, потому что им нужны и пароль, и код, чтобы взломать аккаунт.
Вот почему самое безопасное правило простое: никогда никому не сообщайте код безопасности банка, если с вами связались. Настоящий банк не должен звонить и просить вас продиктовать код для входа.
Почему приложение-аутентификатор обычно лучше
Когда ваш банк это поддерживает, приложение-аутентификатор обычно является более надежным выбором, чем SMS. Такие приложения, как Google Authenticator, Microsoft Authenticator, Authy и Duo Mobile, генерируют на вашем телефоне меняющийся шестизначный код.
Большое преимущество в том, что код создается внутри приложения. Обычно он работает, даже если у вас нет сотовой связи. Он также не зависит от вашего номера телефона, что помогает снизить риск SIM-свопинга.
Тем не менее, приложения-аутентификаторы — не магия. Если вы введете код на поддельном сайте банка, мошенник все равно может его перехватить. Аутентификация по одноразовым паролям не является фишингоустойчивой. Тем не менее, приложения-аутентификаторы устраняют некоторые из самых больших слабых мест, связанных с SMS-кодами.
Двухфакторная аутентификация добавляет второй уровень защиты к счетам онлайн-банкинга, но не все методы обеспечивают одинаковый уровень безопасности. Приложения-аутентификаторы и ключи доступа (passkeys) обычно безопаснее, чем SMS-коды. (Kyle Ericksen/WWD/Penske Media via Getty Images)
Самый надежный вариант, если ваш банк его предлагает
Некоторые банки и финансовые службы предоставляют вам более надежные способы подтверждения вашей личности при входе в систему. Два самых надежных варианта — это аппаратные ключи безопасности и ключи доступа (passkeys).
Аппаратный ключ безопасности — это небольшое физическое устройство, часто имеющее форму USB-флешки, которое вы подключаете к компьютеру или прикладываете к телефону для подтверждения входа.
Ключ доступа (passkey) позволяет вам войти в систему, используя ваше устройство (телефон или компьютер), часто с помощью Face ID, Touch ID, отпечатка пальца или блокировки экрана.
Эти варианты сложнее украсть мошенникам, потому что они разработаны для работы только с реальным сайтом или приложением. Это означает, что поддельный сайт банка обычно не может их обмануть так же, как может обмануть кого-то, заставив ввести SMS-код.
Для большинства людей самый безопасный порядок прост: используйте ключ безопасности или ключ доступа, если ваш банк это поддерживает. Если нет, используйте приложение-аутентификатор. Если SMS-коды — единственный вариант, оставьте их включенными, потому что они все равно лучше, чем использование только пароля.
Как проверить настройки безопасности вашего банка
Возможно, вам не нужно идти в отделение. В большинстве случаев вы можете проверить это на официальном сайте или в приложении вашего банка.
По возможности начните с компьютера. Зайдите на официальный сайт вашего банка, самостоятельно введя веб-адрес. Не нажимайте на ссылку из SMS или email, даже если она выглядит реальной.
Затем найдите раздел с названием вроде:
Как только вы там, найдите опцию «Приложение-аутентификатор». Некоторые банки могут использовать другие формулировки, такие как «приложение для аутентификации», «приложение для одноразовых паролей», «TOTP», «приложение безопасности» или «сторонний аутентификатор». Если вы видите эту опцию, следуйте инструкциям по настройке. Ваш банк обычно покажет QR-код на экране компьютера. Откройте приложение-аутентификатор на телефоне, нажмите «Добавить аккаунт» или кнопку «+», затем отсканируйте QR-код. Приложение сгенерирует шестизначный код. Введите этот код на сайте банка, чтобы подтвердить настройку.
Не пропускайте резервные коды
Эта часть важнее, чем люди думают. Если ваш банк выдает вам резервные коды, сохраните их немедленно. Распечатайте их и храните в безопасном месте или поместите в надежный менеджер паролей. Эти коды помогут вам восстановить доступ к аккаунту, если ваш телефон потеряется, повредится или будет заменен.
Кроме того, убедитесь, что в банке указаны ваш актуальный адрес электронной почты и номер телефона. Если ваша контактная информация для восстановления устарела, восстановить доступ к аккаунту станет намного сложнее.
Если вы делите доступ с супругом или доверенным членом семьи, спросите в банке, как дополнительные пользователи должны настраивать свой собственный безопасный вход. Избегайте совместного использования одного пароля или одного кода аутентификатора, если банк предлагает отдельный доступ для пользователей.
Что делать, если ваш банк предлагает только SMS-коды
Некоторые банки могут не предлагать стороннее приложение-аутентификатор, но могут позволить вам подтверждать входы в собственном мобильном приложении банка. Это может быть надежнее, чем SMS, потому что подтверждение происходит внутри приложения банка, а не через ваш номер телефона.
Если ваш банк предлагает только SMS-коды, не отключайте их. SMS-коды все равно лучше, чем полное отсутствие второго уровня. Однако вам следует спросить в банке, поддерживает ли он более надежный вариант. Вы можете позвонить по номеру на обратной стороне вашей дебетовой или кредитной карты, использовать защищенный обмен сообщениями в приложении банка или посетить отделение.
Спросите так: «Поддерживаете ли вы приложения-аутентификаторы, ключи доступа, аппаратные ключи безопасности или подтверждение входа через приложение для онлайн-банкинга?»
Если ответ «нет», оставьте SMS-коды включенными. Затем усильте то, что вы можете контролировать. Используйте надежный и уникальный пароль для банка и храните его в надежном менеджере паролей, чтобы вам не нужно было его запоминать или использовать где-либо еще. Ознакомьтесь с лучшими проверенными экспертами менеджерами паролей 2026 года на CyberGuy.com.
Кроме того, попросите вашего мобильного оператора добавить PIN-код для переноса номера, блокировку переноса номера или PIN-код безопасности аккаунта, чтобы снизить риск SIM-свопинга. Также включите оповещения аккаунта о переводах, изменении пароля и входе с новых устройств.
Эксперты по безопасности предупреждают, что мошенники могут перехватывать SMS-коды подтверждения или обманом заставлять клиентов делиться ими. Клиенты никогда не должны предоставлять коды для входа нежелательным звонящим или в ответ на нежелательные сообщения. (Karl-Josef Hildenbrand/picture alliance via Getty Images)
Стоит ли Кире связаться с банком?
Да, но ей, вероятно, не нужно идти в отделение, если она не предпочитает личную помощь. Кире следует сначала войти на официальный сайт или в приложение своего банка и проверить настройки безопасности. Если она увидит опцию приложения-аутентификатора, ключа доступа, ключа безопасности или подтверждения через приложение, ей следует рассмотреть возможность ее использования. Если она видит только SMS или email-коды, ей следует оставить их включенными и связаться с банком, чтобы узнать, доступны ли более надежные варианты входа.
Ей также следует убедиться, что ее пароль от банка надежный и уникальный, защитить свою электронную почту надежной двухфакторной аутентификацией и подтвердить, что оповещения аккаунта включены.
Ключевые выводы Курта
Вопрос Киры затрагивает самую суть безопасности аккаунтов. Видеть код, приходящий по SMS или email, может быть успокаивающе. И да, это лучше, чем полагаться только на пароль. Однако банковские счета заслуживают самой надежной защиты, которую предлагает ваш банк. Если вы можете перейти от SMS-кодов к приложению-аутентификатору, это разумное улучшение. Если ваш банк поддерживает ключ доступа или ключ безопасности, еще лучше. И независимо от того, какой метод вы используете, никогда не сообщайте код безопасности тому, кто звонит, пишет SMS или email вам неожиданно.
Проверили ли вы, полагается ли ваш банк по-прежнему на SMS-коды, и сменили бы вы банк, если бы он отказался предлагать более надежную защиту входа? Дайте нам знать, написав нам на CyberGuy.com.
Подпишитесь на мой БЕСПЛАТНЫЙ CyberGuy Report
Copyright 2026 CyberGuy.com. Все права защищены.
Курт «CyberGuy» Кнутссон — удостоенный наград технический журналист, который глубоко любит технологии, гаджеты и устройства, делающие жизнь лучше, со своим вкладом для Fox News и FOX Business, начиная с утренних выпусков «FOX & Friends». Есть технический вопрос? Получите бесплатную рассылку CyberGuy от Курта, поделитесь своим мнением, идеей для статьи или комментарием на CyberGuy.com."
