2FA на собеседовании системного аналитика

Что такое 2FA / MFA

Multi-Factor Authentication. Verify user через 2+ factors:

• Knowledge. Что знаешь (пароль).
• Possession. Что имеешь (phone, token).
• Inherence. Кто ты (biometric).

2FA = 2 factors. MFA = 2+.

TOTP

Time-based One-Time Password. Standard 2FA.

Server и client share secret.
Client generates 6-digit code based на time + secret (HMAC-SHA1).
Code rotates каждые 30 sec.
Server verifies — same algorithm.

Apps: Google Authenticator, Authy, 1Password.

Standard. RFC 6238.

SMS / Email

Server sends code via SMS / email. User enters.

Pros: No app needed. Easy adoption.

Cons:

• SIM swapping attacks.
• Phone access compromise.
• Email compromise → 2FA bypass.
• SMS delivery delays / failures.

NIST 800-63 deprecated SMS для high-security. Still common.

Push notifications

App receives push «Approve / Deny login attempt».

Pros: Easy UX. No code typing.

Cons:

• Push fatigue (people click yes без reading).
• Requires connectivity.

Number matching — show 2-digit code, user must select right one. Reduces fatigue attacks.

Hardware keys / WebAuthn

YubiKey, Google Titan, Apple Touch ID, Windows Hello.

WebAuthn standard. Public-key cryptography. Client signs challenge с private key (in hardware).

Pros:

• Phishing-resistant (key bound к domain).
• Strong cryptographically.

Cons: Cost hardware.

В критичных systems — WebAuthn — preferred 2FA method.

Backup codes

When primary 2FA inaccessible (lost phone) — backup codes.

Implementation. Generate 10-20 single-use codes. User saves securely.

Critical для recovery flows. Лучше тhan «contact support» (slow, social engineering risk).

Связанные темы

• JWT на собесе SA
• OAuth 2.1 flows для SA
• Secrets management для SA
• JWT pitfalls для SA
• Подготовка к собесу системного аналитика

FAQ

Это официальная информация?

Нет. Статья основана на RFC 6238 (TOTP), WebAuthn spec, NIST 800-63.

Тренируйте системный анализ — откройте тренажёр с 1500+ вопросами для собесов.