Если вы не хотите использовать мессенджер MAX для входа на «Госуслуги», альтернативой может стать стандарт TOTP: генерация одноразовых кодов на устройстве пользователя. В этой статье разберём, как подключить двухфакторную аутентификацию на портале и настроить совместимое приложение-генератор кодов.
С чего все началось
В конце 2024 года Минцифры объявило о постепенном отказе от входа на портал «Госуслуги» по СМС-кодам. Пока изменения касаются только мобильных устройств, но направление развития уже понятно: СМС как фактор аутентификации признан небезопасным и подлежащим замене.
Основная причина — рост телефонного мошенничества и уязвимость самого канала доставки. СМС можно перехватить, подменить SIM-карту или просто не получить из-за проблем у оператора. В качестве альтернативы пользователям начали предлагать вход через мессенджер MAX.
Теперь при попытке зайти в личный кабинет портала «Госуслуги» с мобильного устройства система автоматически предлагает установить приложение MAX, причём вариант отказа («Пропустить») не предусмотрен. Пользователи, которые заходят на сайт через веб-браузер, имеют возможность проигнорировать данное предложение, нажав соответствующую кнопку. Такое решение устроило не всех. Многие не хотят устанавливать дополнительное приложение или передавать данные стороннему сервису.
Меж тем у «Госуслуг» уже есть более универсальный и технически зрелый механизм — поддержка одноразовых кодов по стандарту TOTP. Именно о нём и пойдёт речь.
Что такое TOTP и как он работает
TOTP (Time-based One-Time Password) — это алгоритм генерации одноразовых паролей, которые меняются каждые 30 секунд. Код формируется на основе секретного ключа, сохранённого на устройстве пользователя, и текущего времени. Проверка происходит без участия операторов связи и внешних каналов доставки.
С практической точки зрения это означает, что даже если основной пароль от аккаунта будет скомпрометирован, злоумышленник не сможет войти без физического доступа к устройству с аутентификатором. Именно поэтому TOTP давно считается стандартом де-факто для двухфакторной аутентификации в корпоративных и публичных сервисах.
Важно и то, что «Госуслуги» не ограничивают пользователя конкретным приложением. Можно использовать любой совместимый генератор кодов, в том числе отечественные решения.
Почему MULTIFACTOR
Мобильное приложение MULTIFACTOR — это универсальный аутентификатор для двухфакторной аутентификации на портале «Госуслуги». Приложение подходит для использования на смартфонах под управлением Android и iOS, а также на устройствах Huawei с HarmonyOS.
Решение разрабатывается для российского рынка и не зависит от внешних сервисов или инфраструктуры. В приложении используются современные криптографические алгоритмы, а сами коды генерируются локально на устройстве пользователя. Это позволяет отказаться от СМС-подтверждений и связанных с ними рисков перехвата сообщений.
MULTIFACTOR работает автономно и не требует подключения к интернету или мобильным сетям для генерации одноразовых кодов. Настройка выполняется один раз и не предполагает сложных действий: интерфейс приложения ориентирован на базовые сценарии использования и не требует технической подготовки.
В результате приложение обеспечивает стабильную работу двухфакторной аутентификации на большинстве современных устройств вне зависимости от операционной системы.
Как настроить вход на «Госуслуги» через MULTIFACTOR
Шаг 1. Установка приложения
Для начала скачайте и установите мобильное приложение MULTIFACTOR на ваше устройство. Для этого зайдите в магазин приложений вашего устройства и найдите там «Multifactor» (ссылки на магазины и более подробную информацию о приложении можно найти здесь).
Шаг 2. Настройка
Если настраиваете в браузере (на компьютере или телефоне):
Войдите в свой личный кабинет на gosuslugi.ru
-
Нажмите на иконку вашего профиля и выберите «Профиль» → вкладка «Безопасность»
В разделе «Вход в систему» или «Вход с подтверждением» нажмите «Настроить» или «Изменить способ»
-
Выберите способ «Одноразовый код (TOTP)» и нажмите «Продолжить»
На экране появится QR-код. Не закрывайте это окно
Откройте мобильное приложение MULTIFACTOR
Нажмите кнопку «+» в верхнем правом углу, затем «Сканировать QR-код»
8. Наведите камеру на QR-код с экрана «Госуслуг»
Если настраиваете в мобильном приложении «Госуслуги»:
Откройте приложение, перейдите в раздел «Профиль»
Зайдите в «Безопасность» → «Вход в систему» и выберите «Вход с подтверждением»
3. Нажмите «Настроить», затем выберите «По одноразовому коду» и продолжите
4. В приложении вместо QR-кода будет показан длинный буквенно-цифровой ключ. Его нужно скопировать
5. Откройте мобильное приложение MULTIFACTOR
6. Нажмите на значок «+» в верхнем правом углу, выберите ввести код вручную
7. Вставьте скопированный из приложения «Госуслуги» ключ в поле «Введите код»
Шаг 3. Завершение настройки и проверка
После сканирования QR-кода или ввода ключа в приложение MULTIFACTOR начнёт отображаться шестизначный код, который меняется каждые 30 секунд
Введите этот текущий код в открытое окно на сайте или в приложении «Госуслуги»
Нажмите «Подтвердить» или «Готово»
Настройка завершена. Теперь при каждом входе на «Госуслуги» после логина и пароля система будет запрашивать код из вашего мобильного приложения MULTIFACTOR.
Что меняется после подключения
После завершения настройки вход на «Госуслуги» будет происходить по логину, паролю и одноразовому TOTP-коду из приложения. СМС больше не используются, а установка мессенджера MAX не требуется. Все коды генерируются локально на устройстве и не передаются по внешним каналам связи.
По сути, пользователь получает тот же уровень защиты, который давно применяется в банковских системах и корпоративных ИТ-средах, но без привязки к конкретному мессенджеру или оператору связи.
Использование метода TOTP с приложением MULTIFACTOR позволяет существенно повысить безопасность вашей учётной записи на портале «Госуслуги». Это удобная альтернатива для тех, кто не хочет подтверждать вход через мессенджер MAX.
Следуя данной инструкции, вы сможете легко отказаться от менее надёжных методов вроде СМС-кодов, защитите себя от возможных атак и от попыток взлома учётной записи.
Также в системе многофакторной аутентификации MULTIFACTOR вскоре появится возможность подтверждать второй фактор с помощью мессенджера MAX, если вы когда-нибудь захотите рассмотреть этот вариант.
Комментарии (140)
pewpew
29.01.2026 12:15Для TOTP пользуюсь прекрасным приложением 2FAS.
- Оно бесплатно и без рекламы.
- Исходники открыты.
- Есть в виде приложений для большинства популярных платформ (Android, iOS, расширение для браузера, часы).
firegurafiku
29.01.2026 12:15Aegis. Опенсорс, умеет абсолютно всё, что требуется от TOTP-приложения (в том числе показывать следующий код). Киллер-фича — экспорт ключей и автоматические шифрованные бэкапы в ФС телефона или на гугл-диск. Но только под Android.
alferiusgmailcom
29.01.2026 12:15А в чём преимущество, если показывает следующий код?
firegurafiku
29.01.2026 12:15Я вижу два возможных сценария, где это могло бы быть полезно:
Можно сразу начать вбивать следующий код, если понимаешь, что текущий уже не успеешь набрать до истечения его срока действия. Не нужно будет стирать уже набранные знаки и начинать всё заново.
Если вдруг попадётся ненормальный сайт, который не следует рекомендации стандарта TOTP принимать не только актуальный код, но и предыдущий и следующий, эта фича может выручить. Кажется, когда-то давно у меня подобное было с Госуслугами — не принимался код и всё тут. Помогло быстро ввести код в самом начале срока его действия.
Я сам не пользуюсь этой опцией, но она есть в Aegis — в другой ветке её упоминали как киллер-фичу неизвестного мне приложения Ente Auth.
SilverHorse
29.01.2026 12:15Кажется, когда-то давно у меня подобное было с Госуслугами — не принимался код и всё тут. Помогло быстро ввести код в самом начале срока его действия.
Это рассинхрон часов на клиенте и сервере. Первая T в TOTP не просто так означает time-based. От себя еще добавлю, что видеть сразу следующий код это визуальный сигнал, что предыдущий сейчас протухнет, т.к. счетчик секунд сбоку часто не настолько привлекает внимание, как новая строка с цифрами другого цвета. Сам пользуюсь 2FAS на телефоне с этой фичей и KeepassXC на ноуте.
djglukbh
29.01.2026 12:15100500й раз об этом...
unreal_undead2
29.01.2026 12:15Возможно, рекламы этого приложения ещё не было ;)
boghema
29.01.2026 12:15Используя #госуслуги в телеге нашёл и ещё раз убедился в реальном отношении людей к этому "продукту".
Естественно я стал 390-м, т.к.выбирать приходилось из 4-х всего реакций, прямо скажем, что лишь первая и то косвенно намекает на этот чудо-продукт.
NikaLapka
29.01.2026 12:15Лучше напишите, что из qr кода надо записать поле secret= и после этого, уже зная "секрет" можно генерировать коды на чём угодно, хоть в командной строке линукса, хоть на чайнике.. а то одна из проблем, в том ТОТР подаётся как магия и большинство приложений не позволяют "выгрузить" добавленный аутентификатор и добавить его в другое приложение.. ой.. это что тогда получается, что ТОТР это просто ещё один пароль вида JXRSAVMQEYTDYQEF .. ничего себе..
RTFM13
29.01.2026 12:15Пароль который не передаётся при однонаправленной связи. Это важно.
NikaLapka
29.01.2026 12:15Протокол аутентификации CHAP.. 30 лет назад..
RTFM13
29.01.2026 12:15...при однонаправленной связи
NikaLapka
29.01.2026 12:15Вы понимаете всю абсурдность? Мы ведь говорим про
secret="JXRSAVMQEYTDYQEF"; echo "${secret}$(date +%d%m%Y%H%M)" | md5sum
xenon
29.01.2026 12:15Кстати, ваш код несекурный :-)
Секрет секретнее (его сложнее забрутфорсить) когда он идет первым в хеше. Первые данные сильнее "размывают" хеш.
Но по сути, да - это та же замена CHAP, только чуть удобнее. Пользователь не должен трудиться передавая Challenge, а хакер (при MITM например) не может его легко replay или запросить конкретный ответ (для какого-то оптимального перебора).Для случаев, когда нет особой потребности в 2FA, лучше было бы оставить только TOTP (чем только пароль).
inkelyad
29.01.2026 12:15...при однонаправленной связи
Что в данном случае значения не имеет. Все равно там в сценарии ввод паролей и вообще вся связь до сайта двунаправленная.
Тут существенно, что с TOTP возможен Air Gap. А если его не требовать (а требовать конкретно в этом случае его вредно, о чем уже много раз говорил) то, действительно, есть и другие протоколы, что пароля не передают.
В контексте Web-а - можно ту же 'Digest access authentication' внутри https использовать в качестве второго фактора. Оно, конечно, древнее и страшное для пользователя, но работало бы.
Ну и древнее mTLS тоже можно было бы использовать. Лежал бы у человека в кейсторе личный серт, и все работало бы. Просто тут удобство сначала победило безопасность а потом и само умерло из-за костылей.xenon
29.01.2026 12:15mTLS - уже древнее?? Мне показалось, наоборот - еще не слишком популярное (еще!) и поэтому не очень удобно реализованное.
Но это оочень простая, удобная и секурная штука чтобы защищать внутренние (например, корпоративные) ресурсы. Или просто свою веб-админку на 1 юзера. Мое правило сейчас: если ресурс не для всего мира - на нем должен быть mTLS (требование клиентского сертификата).
в nginx настраивается в 2 строчки.
создать CA сертификат и клиентский через showcert/gencert - тоже 2 простых команды.
Не везде уместно (публичный ресурс так не защитишь) но где подходит - там просто прекрасно работает!inkelyad
29.01.2026 12:15mTLS - уже древнее??
Разумеется. Еще во времена браузера Нетскейп, вроде, было.
еще не слишком популярное (еще!)
Я думаю, 'еще' и останется. По какой-то причине его решили не доделывать, а изобрели WebAuthn/Passkeys
Не везде уместно (публичный ресурс так не защитишь) но где подходит - там просто прекрасно работает!
Ну почему. Любой сайт может работать сам для себя CA и выписывать сертификат пользователю при создании учетки. Просто как это есть - неудобно(механизма разлогинивания, скажем, нет), а доделывать до 'удобно' не стали.
То что работает - согласен. Но во всяких туториалах очень мало распространен. Вот уж не знаю, почему так получилось.
Cdr80
29.01.2026 12:15Обычный пароль тоже не передаётся, только хеш от него.
Rsa97
29.01.2026 12:15В чём смысл передавать хэш обычного пароля? Если его перехватят, то войдут с эти хэшем не зная пароля, то есть сам хэш в таком случае и будет паролем.
RTFM13
29.01.2026 12:15по этому (в простейшем случае) сервер генерит случайное число которое добовляется к паролю, и передаёт его клиенту, а клиент добавляет его к паролю и вычисляет хэш от результата.
Rsa97
29.01.2026 12:15А это уже не обычный пароль, а схема аутентификации с nonce. У неё свои проблемы с хранением пароля.
RTFM13
29.01.2026 12:15Ну есть более сложные алгоритмы где не надо хранить на сервере открытый пароль.
Rsa97
29.01.2026 12:15Но всё равно из того, что хранится в базе и nonce вы должны получать предполагаемый ответ клиента. А значит и любой другой, получив доступ к базе, сможет это сделать.
Или из ответа клиента вы должны получать пароль. Но тогда это не хэш.
Ну либо получив зашифрованный клиентом nonce вы должны используя информацию из базы расшифровать его и сверить (асимметричная пара). Но это тоже не хэш.RTFM13
29.01.2026 12:15Любой другой сможет проверить знает ли клиент пароль (а зачем?), но не сможет ни узнать пароль ни подделать ответ клиента.
Rsa97
29.01.2026 12:15Тогда опишите конкретный алгоритм, позволяющий аутентифицироваться по необратимому хэшу пароля в базе и nonce.
У клиента есть только пароль и nonce. У сервера только хэш пароля и nonce. Что дальше?RTFM13
29.01.2026 12:15там хэш хитрый. он позволяет узнать от одного ли это пароля хэш, но не позволяет восстановить пароль. напр. аккумуляторы на эллиптических кривых.
Wesha
29.01.2026 12:15Пароль который не передаётся при однонаправленной связи
(Второй) пароль, который меняется раз в минуту — так точнее.
ignat_mineralkin
29.01.2026 12:15ну да, по факту надёжность держится не на принципе работы, а на том как сильно зашифровано программа где он хранится
selax
29.01.2026 12:15
Yuriy_krd
29.01.2026 12:15Пока эта кнопка есть, но в конце прошлого года уже были сообщения тут, на Хабре, что у некоторых кнопка пропала. И либо через Макс, либо никак.
4kirill20
29.01.2026 12:15Значит пшли они нхй
anzay911
29.01.2026 12:15Вы только загран, авто, недвижимость не оформляйте, а то они тоже пройдут.
xenon
29.01.2026 12:15Я подобную тактику использую когда какой-нибудь бот (который мне нужен раз в год, а то и раз в жизни) требует подписаться на 100500 каналов с котиками.
Окей, раз так сильно хочешь - подписываюсь. Но потом отписываюсь и все. Бот свое дело мне сделал, вечно тем каналам быть в моем тг не требуется.
Вот загран и недвига не так часто оформляются. Если уж даже прижало и надо - ну ок, но потом все откактить взад.
K0styan
29.01.2026 12:15Я из этих сообщений сделал вывод, что кнопка пропала (пропадала?) именно в веб-версии, открываемой в мобильных браузерах.
tanderus
29.01.2026 12:15Вот тоже удивляюсь после этих статей: всегда была кнопка "пропустить".
С тех пор как ~ в ноябре поменял sms на totp (Google Authenticator), к слову, подобный экран я вовсе перестал видеть.Вы не заводили в максе аккаунт "чисто поглазеть-потыкать че это такое"? Я -- нет, потому моя догадка только в том, что за тебя аккаунт насильно создать не могут (пока?), и соответственно загнать туда твои госуслуги тоже не могут (опять же "пока?")
mrAsh4r
29.01.2026 12:15Такая плашка выскакивает, как я заметил, только на мобильных устройствах. Если на телефоне в браузере можно просто включить "Версия для ПК", то в условном приложении почта России для получения QR кода (для тех кто не привязал учётки почты и госов) может потребовать вход в госуслуги, который уже открывается через webview или даже встроенный браузер в приложении, то уже никак не выбрать "Версия для ПК". (Можно попробовать заменить или WebView или даже просто UA в нём же, сам бы попробовал да мобильная железка для экспериментов померла)
Такая особенность скорее всего для тех, кому срочно нужно войти в госы, но мобилы под рукой нет или запрещено во время работы (часто видел в организациях муниципальных, что они работают через госуслуги).
А по поводу "вдруг это у тех у кого уже создан аккаунт Макс", вот у меня создан но госы не знают этого, либо не пытаются. Для привязки госуслуг и Макса там отдельная кнопка и там и там. Догадываюсь что через какого нибудь бота это сделано (госуслуги выдают какой либо ключ, этот ключ нужно ввести в боте Макса например gosuslugi_verified_bot)
((За 100% правду не ручаюсь, маленькое объяснение того что я заметил, но никто не написал; а по поводу статьи - жёсткий самопиар на рынке среди 1000 однотипных приложений; личный фаворит опенсурсный Stratum с поддержкой SDA от Steam, где буквы вместо цифр, ну и реально удобный бэкап с группировкой ключей))
kiff2007200
29.01.2026 12:15Вам бы в врачи) Все бы от вас здоровые уходили) У вас же ничего не болит))))
boghema
29.01.2026 12:15На каком точно этапе должна появиться?. У меня сейчас нет из под хрома с учётом десктопного отображения.
Radiohead72
29.01.2026 12:15Это в общем не очень защита от мошенников.
Потому что чаще всего они НЕ пытаются зайти на Госуслуги "в лоб" через "окно логина". Для этого помимо СМС или TOTP им надо еще и пару логин/пароль знать.
Чаще всего мошенники пытаются попасть на Госуслуги через форму восстановления пароля. А в той форме TOTP не предусмотрен. Там голый SMS.
По хорошему, на Госуслугах надо внедрить добровольную возможность отключения восстановления пароля. Забыл пароль - топай ногами в МФЦ.
Тогда да, вообще никаких SMS больше приходить не будет.
gluki
29.01.2026 12:15Чаще всего мошенники пытаются попасть на Госуслуги через форму восстановления пароля. А в той форме TOTP не предусмотрен. Там голый SMS.
После того, как мошенники разведут на код из SMS для сброса пароля, для входа с новым паролем им всё ещё требуется второй фактор.
И если развести человека на очередной код из новой SMS им не проблема (был случай: на последних цифрах успел остановить человека, когда он диктовал уже второй код - ну кто ж читает все эти предупреждения прямо в сообщении "никому не говорите этот код"?..), то вот заставить человека запустить приложение и самостоятельно выбрать и продиктовать именно код для входа в ГУ - когда они притворяются, что это, какое-нибудь "подтверждение записи в поликлинику" - всё же будет сложнее.Wesha
29.01.2026 12:15предупреждения прямо в сообщении "никому не говорите этот код"?
«Всё правильно, никому не говорите! Зайдите на сайт
www.moshennik.ru/steal_codeи вбейте в форму!»xenon
29.01.2026 12:15Я однажды при звонке в банк, до ответа мясного оператора слушал их унылые формальности, в том числе никогда и никому не говорить код...
А потом через минуту в этом же звонке они сказали - "мы выслали вам код на телефон, введите его, чтобы мы убедились, что вы это вы". Это был банк, настоящий, не мошенники. Но мошенники-то тоже говорят, что они не мошенники!RTFM13
29.01.2026 12:15Ну по сути - да, надо предсказывать чью-то тупизну. Никакого универсального алгоритма описываемого парой предложений не существует - его взломают или с одной стороны (мошенники) или с другой (сам банк косыми алгоритмами).
Но меня больше пугают приколы когда доступ к банку получают с посощью дипфейка, перевыпуска симки, угона смс, поддельного паспорта и т.п. Тут уж от тебя вообще ничего не зависит. При чем только с поддельным паспортом у тебя есть хорошие шансы что-то доказать, когда мошенник засветился на камеру и точно известно что это не ты. Во всех дистанционных случаях банк будет отмораживаться что "ничего не знаю, это был настоящий клиент."
Z55
29.01.2026 12:15Чаще всего мошенники пытаются попасть на Госуслуги через форму восстановления пароля.
У тестя была УСПЕШНАЯ попытка сброса пароля в офисе МФЦ. Естественно, не им самим. IP-внутрисетевой. Такие дела.
Благо платформа сразу заблочила учётку, т.к. за пару дней до этого сбрасывали ему пароль через веб-форму, и выполняли действия в системе.
xenon
29.01.2026 12:15У меня была статья на хабре про "уязвимость" (условную) на госуслугах в CSS. (Да, этим и интересно, какие угрозы предоставляет CSS, и ответ - не нулевые).
Так вот на ГУ есть проблема - очень тяжело найти телефон поддержки, и мошенники этим пользуются. Большинство людей чаще увидят на сайте госуслуг (с "замочком", что используется TLS, настоящем) - номер телефона мошенников (который есть возможность установить), чем телефон реальной службы поддержки.
Понимаете? ГУ хочет чтобы всякие там ненужные люди "не мешали им работать" и не звонили в техподдержку. А вы говорите о фишке, из-за которой люди будут в МФЦ приходить лишний раз, еще больше отвлекать их и ходить там по помытому...
valera_efremov
29.01.2026 12:15Лайфхак - в мобильном браузере выберите "Запросить настольный сайт" (ios safari) или "Версия для ПК" (android chrome), после чего появится "Пропустить". Хорошо, что нашлись у них разумные люди, которые подумали о том, что у человека заходящего через компьютер может быть кнопочный телефон и макс устанавливать некуда.
В целом, устанавливать Госуслуги и прочие гос приложения - очень сомнительно.
Rayven2024
29.01.2026 12:15так это, Макс+кнопочный телефон работает вроде как на обычном компе/ноуте же? т.е. наличия смартфона там вроде как необязательно же?
(сужу по разговорам людей, которых организации заставлять стали иметь аккаунт в Максе, при этом ставить что-то на смартфоны по разным причинам не собираются (у кого-то нет возможности - например я исп-ю только apk для установки и убрал варианты типа гуглплея и русторе, да еще андроид старой версии, которая не поддерживается, у кого-то еще и памяти не хватает - а менять смартфон не хотят и тд и тп)
Kwisatz
29.01.2026 12:15Нет не нашлись. Например недавно с супругой брали потребительский кредит, да вот там вариантов никаких. Еще и смс не приходили у мтс(с ним это часто стало). Я пожал плечами и сказал либо решайте либо я пошел. В итоге самым древним из возможных способов все делали.
seal78
29.01.2026 12:15что у человека заходящего через компьютер может быть кнопочный телефон
Почему обязательно кнопочный ? У меня на телефоне Андроид 9 и на него макс не ставится
PereslavlFoto
29.01.2026 12:15Наведите камеру на QR-код с экрана «Госуслуг».
Раньше входили при помощи браузера. А теперь, по вашему предложению, надо ещё и смартфон покупать?
sermah11
Спасибо за туториал, пойду вобью в свой Google Authenticator (или тысячу других подобных решений типа Яндекс.Ключа)
fermentum
или проверенный Keepass + TOTP plugins https://keepass.info/plugins.html#kpotp
select26
Или еще более проверенный KeepassXC безо всякиз плагинов )
firegurafiku
В этом случае несколько теряется двухфакторность. Как-то оно выглядит правильней, когда парольный менеджер и TOTP-аутентификатор обитают на разных устройствах.
MountainGoat
Я всегда в этом вижу, что вероятность потерять ключ и не найти потом коды становится несравнимо выше, чем вероятность, что его украдут.
firegurafiku
Поэтому я искал приложение, умеющее экспортировать ключи и делать шифрованные бэкапы своей базы (см. ниже комментарий про Aegis).
sohmstyle
Так и best practice держать 2 базы (файла) - в одном только пароли, в другом только TOTP.
Резервные копии БД можно держать в любых других скрытых и засекреченных местах. Здесь каждый сам решает. И никакие коды восстановления на бумажках не нужны.
xenon
Правильнее выглядит оценивать риски по обстоятельствам. В безопасности нет чекбокса "enable security", каждое энабле, автоматически дает свое дизабле к той же security. Сокращая свои риски конфиденциальности мы автоматически увеличиваем свои риски доступности (что если потеряем один из факторов).
Вот именно сегодня мне по работе пришло приглашение в Azure, в какой-то там проект (я так понимаю, альтернатива github, только от microsoft'а). Оказывается, у меня уже был заброшенный майкрософтовский акканут. Когда-то, сто лет назад, я его зарегал. Пароль не помню, обычные мои пароли не подошли. Тупо восстановить пароль (именно на мой ящик, который у них прописан) - не дали(!!). В каком-то смысле правильно - если тебя N лет не было - может это уже и не твой ящик? Спрашивали и имя и страну, откуда я регался и покупал ли продукты microsoft, и какие были у меня старые пароли. И потом отказали в восстановлении. Мало данных предоставил (ну или много из них не совпали)
Я и их даже понимаю. Странно, когда чувак не помнит свои старые пароли, не помнит из какой страны регался, и даже в сегодняшний день, пробует восстановиться из разных стран (я менял VPNы, думая, может VPN-адреса подозрительные?). Они прекрасно защитили мой аккаунт от угона, но реальная-то угроза оказалась в другом - я все равно лишился аккаунта, только угнал его у меня то ли "я позапрошлогодний", то ли сам майкрософт.
Ну и KeepassXC - это все таки два фактора. Первый фактор - владение базой данных паролей, второй фактор - знание пароля к ней.
Dee3
Ради справедливости, замечу что TOTP работает и без плагинов нативно. Хотя я по привычке сижу на kpotp
Скрытый текст
YakovlevAndrey
Или напишу своё приложение )