TOTP (приложения-аутентификаторы)

ℹ️ О документе

В этом разделе описывается настройка и использование двухфакторной аутентификации на основе TOTP (Time-based One-Time Password) через приложения-аутентификаторы.

Что такое TOTP

TOTP (Time-based One-Time Password) — это метод двухфакторной аутентификации, который генерирует временные одноразовые коды на основе текущего времени и секретного ключа. Код меняется каждые 30 секунд и может быть использован только один раз.

TOTP является одним из самых надежных и популярных методов 2FA, так как:

  • Коды генерируются локально на вашем устройстве и не передаются по сети
  • Не требуется подключение к интернету для генерации кодов
  • Секретный ключ хранится только на вашем устройстве
  • Коды действуют ограниченное время (30 секунд)
✅ Преимущества TOTP

TOTP работает даже без доступа к интернету и считается более безопасным, чем SMS-коды или коды по email, так как защищен от перехвата.

Поддерживаемые приложения

IDENTYX поддерживает все стандартные приложения-аутентификаторы, совместимые с TOTP. Рекомендуемые приложения:

📱 Яндекс Ключ

Бесплатное приложение от Яндекса с простым интерфейсом на русском языке.

Платформы: iOS, Android

Особенности: Резервное копирование в облако, поддержка нескольких аккаунтов

🔐 Google Authenticator

Популярное приложение от Google, используемое миллионами пользователей по всему миру.

Платформы: iOS, Android

Особенности: Синхронизация между устройствами через Google аккаунт

🛡️ Microsoft Authenticator

Надежное приложение от Microsoft с расширенными функциями безопасности.

Платформы: iOS, Android

Особенности: Облачное резервное копирование, биометрическая защита

ℹ️ Совместимость

Также подойдут любые другие приложения, поддерживающие стандарт TOTP: Authy, 1Password, LastPass Authenticator и другие.

Настройка TOTP

Настроить TOTP можно двумя способами: в своем профиле пользователя или при первом входе (если администратор требует 2FA для вашей учетной записи).

Настройка через профиль пользователя

  1. Войдите в систему и перейдите в свой профиль (значок пользователя в правом верхнем углу)
  2. Найдите раздел Безопасность или Двухфакторная аутентификация
  3. Включите переключатель TOTP (приложение-аутентификатор)
  4. Откроется модальное окно с тремя шагами настройки

Шаги настройки TOTP

Процесс настройки состоит из трех простых шагов:

1️⃣ Установите приложение

Установите одно из приложений-аутентификаторов на ваш смартфон:

  • Яндекс Ключ
  • Google Authenticator
  • Microsoft Authenticator

Приложения бесплатны и доступны в App Store и Google Play.

2️⃣ Отсканируйте QR-код

Откройте приложение-аутентификатор и отсканируйте QR-код, который показан на экране.

Альтернатива: Если не можете отсканировать код, скопируйте секретный ключ, показанный под QR-кодом, и введите его вручную в приложении.

3️⃣ Введите код

После сканирования QR-кода приложение начнет генерировать 6-значные коды каждые 30 секунд.

Введите текущий код в поле для подтверждения настройки.

⚠️ Синхронизация времени

Для корректной работы TOTP важно, чтобы время на вашем устройстве было синхронизировано. Если коды не проходят проверку, убедитесь, что на вашем смартфоне включена автоматическая синхронизация времени.

Детали QR-кода

При настройке TOTP система показывает:

  • QR-код для быстрого сканирования камерой смартфона
  • Секретный ключ в текстовом виде для ручного ввода (если сканирование не работает)
  • Таймер с прогресс-баром, показывающий сколько секунд осталось до смены кода
  • Поле для ввода кода из 6 цифр для подтверждения настройки
ℹ️ Обновление QR-кода

Если возникли проблемы с настройкой, вы можете нажать кнопку Обновить для генерации нового QR-кода и секретного ключа.

Использование TOTP при входе

После настройки TOTP он будет автоматически запрашиваться при каждом входе в систему (если у вас включена 2FA или администратор требует 2FA).

Процесс входа с TOTP

  1. Введите свой логин и пароль на странице входа
  2. После успешной проверки пароля откроется окно подтверждения с полем для ввода кода
  3. Откройте приложение-аутентификатор на смартфоне
  4. Найдите код для IDENTYX (он обновляется каждые 30 секунд)
  5. Введите 6-значный код в поле ввода
  6. Код проверяется автоматически после ввода всех 6 цифр
✅ Автоматическая проверка

После ввода всех 6 цифр код проверяется автоматически — нажимать кнопку подтверждения не нужно.

Срок действия кода

Каждый TOTP код действителен в течение ограниченного времени:

  • Базовый период: 30 секунд
  • Допустимое отклонение: ±5 минут (10 интервалов по 30 секунд)
  • Это означает, что даже если время на устройстве немного не синхронизировано, код все равно будет принят
ℹ️ Таймер кода

В окне ввода кода отображается таймер с прогресс-баром, показывающий сколько секунд осталось до смены текущего кода. Если код сменился, просто введите новый код из приложения.

Несколько методов 2FA

Если у вас настроено несколько методов 2FA (например, TOTP и Email 2FA), система может предложить выбрать метод:

  • При первом входе система покажет окно выбора метода 2FA
  • Вы можете выбрать TOTP или Email 2FA
  • Выбранный метод будет использоваться для текущего входа

Предпочтительный метод

Вы можете настроить предпочтительный метод 2FA в своем профиле:

  1. Перейдите в свой профиль пользователя
  2. Найдите раздел Двухфакторная аутентификация
  3. Установите переключатель Предпочтительный метод 2FA:
    • TOTP (приложение-аутентификатор)
    • Email (код на почту)
  4. При следующем входе будет автоматически использован выбранный метод
ℹ️ Гибкость выбора

Даже если установлен предпочтительный метод, вы всегда можете выбрать другой метод при входе, если оба метода настроены.

Отключение TOTP

Вы можете отключить TOTP в любой момент через свой профиль:

  1. Войдите в систему и перейдите в свой профиль
  2. Найдите раздел Безопасность или Двухфакторная аутентификация
  3. Выключите переключатель TOTP (приложение-аутентификатор)
  4. Подтвердите отключение
⚠️ Требование 2FA

Если администратор установил обязательное требование 2FA для вашей учетной записи, вы не сможете полностью отключить двухфакторную аутентификацию. В этом случае вам нужно настроить хотя бы один метод 2FA (TOTP или Email).

Что происходит при отключении

При отключении TOTP:

  • Секретный ключ удаляется из системы
  • Приложение-аутентификатор больше не будет запрашиваться при входе
  • Событие отключения записывается в журнал безопасности
  • Важно: Не забудьте удалить запись IDENTYX из приложения-аутентификатора на смартфоне

Решение проблем

Код не проходит проверку

Если введенный код не принимается системой:

  1. Проверьте синхронизацию времени
    • Убедитесь, что на вашем смартфоне включена автоматическая синхронизация времени
    • На Android: Настройки → Система → Дата и время → Автоопределение времени
    • На iOS: Настройки → Основные → Дата и время → Автоматически
  2. Дождитесь нового кода
    • Если код скоро истечет (осталось менее 5 секунд), дождитесь генерации нового кода
  3. Проверьте правильность ввода
    • Убедитесь, что вводите код именно для IDENTYX, а не для другого сервиса
    • Код должен состоять из 6 цифр

Потерян смартфон с приложением

Если вы потеряли доступ к устройству с приложением-аутентификатором:

  • Если есть доступ к email: Используйте Email 2FA для входа (если он настроен)
  • Если нет доступа к email: Обратитесь к администратору системы для сброса 2FA
  • После восстановления доступа: Настройте TOTP заново на новом устройстве
🚫 Важно для безопасности

Храните резервную копию секретного ключа TOTP в безопасном месте или используйте приложения-аутентификаторы с функцией облачного резервного копирования (Яндекс Ключ, Microsoft Authenticator).

Не получается настроить TOTP

Если возникли проблемы при настройке:

  1. Обновите QR-код: Нажмите кнопку Обновить в окне настройки для генерации нового QR-кода
  2. Используйте ручной ввод: Скопируйте секретный ключ (показан под QR-кодом) и введите его вручную в приложении-аутентификаторе
  3. Проверьте настройки приложения: Убедитесь, что в приложении выбран тип кода Time-based (на основе времени), а не Counter-based
  4. Обновите приложение: Убедитесь, что используете последнюю версию приложения-аутентификатора

Рекомендации по безопасности

🔐 Защита устройства
  • Установите PIN-код или биометрическую защиту на смартфон
  • Не оставляйте смартфон без присмотра
  • Используйте дополнительную защиту приложения-аутентификатора (если доступна)
💾 Резервное копирование
  • Настройте облачное резервное копирование в приложении (если доступно)
  • Сохраните секретный ключ в надежном месте (например, в менеджере паролей)
  • Настройте несколько методов 2FA (TOTP + Email) для резервного доступа
⚠️ Что не делать
  • Не делайте скриншоты QR-кодов и не сохраняйте их в облаке
  • Не передавайте коды другим людям
  • Не используйте один и тот же секретный ключ на нескольких устройствах без необходимости

Требования администратора

Администратор системы может установить требование обязательной 2FA:

  • Для всех пользователей: Все пользователи должны настроить 2FA при первом входе
  • Для конкретных пользователей: Отдельным пользователям может быть установлено индивидуальное требование 2FA

В этом случае при первом входе после установки требования:

  1. После ввода логина и пароля откроется окно выбора метода 2FA
  2. Выберите TOTP (приложение-аутентификатор) или Email 2FA
  3. Выполните настройку выбранного метода
  4. После успешной настройки вы сможете войти в систему
ℹ️ Обязательная настройка

Если администратор требует 2FA, вы не сможете пропустить настройку и войти в систему без нее. Это сделано для обеспечения безопасности вашей учетной записи и данных системы.

События в журнале

Все действия с TOTP записываются в журнал событий безопасности:

  • Настройка TOTP: Запись о первоначальной настройке двухфакторной аутентификации
  • Успешная проверка кода: Каждый успешный вход с использованием TOTP
  • Неудачная проверка кода: Попытки входа с неправильным кодом
  • Отключение TOTP: Удаление TOTP из учетной записи пользователя

Администраторы могут просматривать эти события в разделе Журнал событий для аудита и расследования инцидентов безопасности.

✅ Готовы продолжить?

Переходите к разделу Email 2FA для изучения альтернативного метода двухфакторной аутентификации через электронную почту.