Как войти в госуслуги без МАХ⁠⁠

Что такое TOTP и почему это лучше «Макса»

🏠 Представьте такую ситуацию

У вас есть квартира. На двери — обычный замок с ключом.
Но вы параноик (и это хорошо!), поэтому поставили второй замок. Особенный.

Код от него меняется каждые 30 секунд. И этот код знаете только вы — он появляется на специальном брелке у вас в кармане.

Вор украл ваш обычный ключ? Не страшно — без второго кода он всё равно не войдёт.
Вот это и есть TOTP — второй замок для ваших аккаунтов в интернете.

TOTP расшифровывается как Time-Based One-Time Password (одноразовый пароль, основанный на времени). это когда на телефоне (например, в приложении «Google Authenticator» или «Яндекс Ключ») каждые 30 секунд появляется новый цифровой код, и этот код нужно ввести вместе с паролем, чтобы зайти на сайт.

Почему это лучше, чем просто пароль (например, как у «Макса»)?
Потому что даже если кто-то подсмотрит этот код — через полминуты он уже не сработает. А обычный пароль (как у Макса) один и тот же всегда: его можно украсть, подобрать или подсмотреть — и потом спокойно притворяться Максом. А с TOTP так не получится — коды меняются сами и только у тебя на телефоне.

Как это работает?
Телефон и сайт заранее «договорились» о секретике (как о слове-пароле, которое никто не знает). Потом телефон каждые 30 секунд криптографически генерирует по этому секретику новый код, и сайт делает то же самое. Если коды совпали — значит, это действительно вы!

🎯 Ещё проще

TOTP — это приложение на телефоне, которое показывает шестизначный код. Типа 482 917.
Код криптографически меняется каждые 30 секунд на основе ранее сверенной фразы и текущего времени.
Когда входите в почту или банк — вводите пароль плюс этот код.

Всё. Это вся магия.

⚙️ Как это работает

• Шаг 1: Настройка
  Вы говорите сервису: «Хочу защиту через приложение». Сервис показывает картинку с квадратиками (QR‑код).

• Шаг 2: Сканируете
  Наводите телефон на эту картинку. В этот момент ваш телефон и сервис договорились о секретном слове.
  Как два шпиона, которые условились: «Пароль — "ромашка" или "обезьян с бананом"».

• Шаг 3: Пользуетесь
  Теперь телефон и сервис смотрят на часы и считают одинаковый код. Не созваниваются, не переписываются — просто оба знают секрет и время.

• Шаг 4: Входите
  Ввели пароль → ввели код с экрана → вы внутри.
  Код протух через 30 секунд? Уже появился новый.

📱 А что такое «Макс» и зачем его пихают?

«Макс» — это мессенджер. Как WhatsApp, только от малопонятной компании.
Некоторые сервисы говорят: «Установи Макс, туда будем слать коды для входа».
Вроде звучит нормально. Но есть нюансы.

⚔️ Сравнение:

🛡 TOTP‑приложение (Aegis, Google Auth):

• 📏 Размер: 5–15 МБ (очень легкое)

• 🌐 Нужен интернет? ❌ Нет

• 📞 Нужен номер телефона? ❌ Нет

• 🕵️ Знает ваш IP? ❌ Нет

• 📡 Что-то отправляет на сервер? ❌ Ничего

💬 Мессенджер «Макс»:

• 📏 Размер: >100 МБ (тяжелое)

• 🌐 Нужен интернет? ✅ Да

• 📞 Нужен номер телефона? ✅ Да

• 🕵️ Знает ваш IP? ✅ Да

• 📡 Что-то отправляет на сервер? ✅ Постоянно

🤔 Если совсем просто: аналогия с почтой

СМС и Макс — это когда вам код присылают по почте.

• Почтальон может подсмотреть.

• Письмо могут украсть из ящика.

• Нет связи — нет письма.

TOTP — криптографически вычисляется на основе общего секрета и текущего времени. Если часы на устройстве сильно расходятся с сервером, TOTP не сработает (хотя многие серверы допускают небольшой дрейф ±30–60 сек).

Уточнение:

«Код генерируется по заранее оговорённому секрету и точному времени. Поэтому важно, чтобы часы на телефоне были в порядке. Нужна точная синхронизация времени между смартфоном и интернетом.

🛡 Почему TOTP безопаснее

1. Работает без интернета
Летите в самолёте, в подвале, в деревне без связи — код всё равно работает. Приложение просто смотрит на часы телефона.

2. Нечего воровать «по пути»
СМС можно перехватить. Сообщение в Макс можно перехватить.
TOTP никуда не летит — он рождается у вас в телефоне.

3. Меньше «глаз»
Мессенджер знает ваш номер, когда вы онлайн, ваш IP и с кем общаетесь.
TOTP‑приложение знает ничего. Оно даже в интернет не ходит.

4. Мошенники с SIM‑картой не пройдут
Есть такой фокус — «SIM‑своп». Мошенник убеждает оператора перевыпустить вашу симку. Получает ваши СМС. Заходит в банк.
С TOTP это не работает. Код в вашем телефоне, а не на симке.

❓ Но ведь «Макс» — тоже приложение?

Да. Но это как забивать гвозди микроскопом.

Для получения кодов вам нужна программа, которая генерирует 6 цифр раз в 30 секунд.
Макс — это: мессенджер, звонки, стикеры, сотни мегабайт, постоянный онлайн, регистрация, аналитика.
Зачем вам это, если нужны только коды?

🧓 Аналогия для бабушки, дедушки, школьника, не спецов по безопасности

Самая простая аналогия для бабушки

Тебе нужно просто узнавать правильное время.

Вариант 1: обычные наручные часы. Работают сами по себе.
Вариант 2: огромная умная колонка, которую надо подключить к интернету, зарегистрировать, дать все контакты и чтобы она каждые 30 секунд кричала тебе время.

Оба варианта показывают время. Но на хрена тебе колонка?

Что ставить прямо сейчас (рекомендация 2025 года)

1. Максимально параноидальный и правильный выбор → Aegis (Android, открытый код, бэкапы шифрованные, ничего никуда не шлёт).

2. Уже стоит у 90% людей → приложение твоего банка (Тинькофф, Сбер, Альфа и т.д.) — там уже встроенный генератор TOTP, отдельное приложение не нужно.

3. Если лень думать → встроенный генератор в iOS (Настройки → Пароли → нажми на сайт → «Настроить код проверки»).

4. Google Authenticator — можно, но сразу выключи облачную синхронизацию, иначе все секреты улетят в Google.

Что сделать за 5 минут прямо сейчас

Зайди в важные сервисы (Госуслуги, почта, банки, Telegram, VK и т.д.) → найдите «Двухфакторная аутентификация» или «Безопасность» → выбери «Приложение-аутентификатор»(TOTP) (не SMS и не мессенджер!) → отсканируй QR-код.

СРАЗУ ЖЕ сохрани резервные коды (обычно показывают 8–10 штук), сфотай или запиши на бумажку и убери в надёжное место. Это твой запасной ключ на случай потери телефона.

Готово. Теперь ты в 10 раз безопаснее 99% людей, и всё это заняло меньше времени, чем чтение этого поста.

TOTP — это нож для масла.
Мессенджер для кодов — это комбайн размером с дом, чтобы нарезать хлеб вместо ножа.

Выбирай нож.

ВАЖНО!!!!!!!!!!!!!!!!!!

Если злоумышленник узнает ту самую «секретную фразу, секретик» (или получит скриншот того самого QR-кода, который вы сканировали при настройке), то ваша защита TOTP взломана.

Вернемся к аналогии с квартирой и электронным замком.

🏠 Аналогия: Дубликат ключа

Представьте, что вы с замком договорились о секрете (той самой «фразе»). Но в момент, когда вы шептали этот секрет замку, вор стоял за шторкой и всё слышал.

Теперь вор идёт в магазин, покупает точно такой же брелок, как у вас, и вводит туда услышанную фразу.
Результат: Его брелок начинает показывать те же самые цифры, в то же самое время, что и ваш.

Теперь у вора есть идеальный дубликат вашего электронного ключа.

💥 Что происходит технически

1. Клонирование: Злоумышленник вводит украденную «секретную фразу» (Secret Key) в своё приложение (например, в свой Aegis или Google Auth).

2. Синхронность: Поскольку алгоритм зависит только от фразы и текущего времени, телефон хакера и ваш телефон будут генерировать абсолютно одинаковые коды (например, 482 917) секунда в секунду.

3. Доступ: Если хакер уже знает ваш основной пароль, он спокойно входит в аккаунт. TOTP его больше не остановит.

🛡 Есть ли хорошие новости?

Да, две:

1. Одного кода мало. Чтобы войти, злоумышленнику всё равно нужно знать ваш логин и основной пароль. Сама по себе генерация кодов (без пароля) не даст ему доступа внутрь аккаунта. Это как иметь ключ от второго замка, но не иметь от первого.

2. Это лечится за 1 минуту. Секретную фразу можно «сбросить».

🚨 Что делать, если вы подозреваете утечку фразы?

Если вы думаете, что кто-то увидел QR-код, или вы сохранили его скриншот в "облаке", которое взломали:

1. Зайдите в настройки безопасности сервиса (банка, почты, соцсети).

2. Нажмите «Отключить 2FA» (или «Удалить аутентификатор»).

3. Нажмите «Включить 2FA» заново.

4. Сервис сгенерирует НОВУЮ секретную фразу и покажет НОВЫЙ QR-код.

5. Старый секрет мгновенно превращается в тыкву. Даже если хакер его знает — он больше не подходит к замку.

🧠 Как злоумышленники могут украсть фразу?

Обычно это происходит не через «взлом алгоритма», а через человеческие ошибки:

1. Фишинг (самое частое): Поддельный сайт просит вас не просто ввести код, а заново настроить безопасность и показывает вам QR-код. На самом деле это QR-код, который злоумышленник получил от настоящего сайта. Вы сканируете — хакер получает доступ.

2. Скриншоты в галерее: Вы сделали скриншот QR-кода «на память» и он улетел в Google Фото или iCloud. Если взломают вашу почту — найдут и этот скриншот.

   • Совет: Не храните QR-коды в виде картинок. Храните их в зашифрованных приложениях (как Aegis или KeePassXC). А лучше распечатка в сейфе.

3. Вирусы на ПК: Если вы сканируете код с экрана зараженного компьютера, вирус может перехватить данные в момент отображения.

Итог

Если фразу украли — у хакера есть дубликат ключа.
Решение: Сменить замок (сбросить и настроить 2FA заново). Это бесплатно и быстро