2FA — це добре, доки користувач не втратив телефон
Найчастіший “провал” 2FA — відсутність зрозумілого recovery. Тоді команда підтримки перетворюється на “ручний reset”, а користувачі зляться. Рішення — проєктувати 2FA разом з відновленням доступу.
1) Сценарії, які треба покрити
- Увімкнення 2FA (підтвердження, повторна перевірка коду).
- Вимкнення 2FA (після повторної аутентифікації).
- Заміна пристрою/додатку‑автентифікатора.
2) Backup codes
- Генеруй одноразові коди і показуй їх один раз.
- Дай можливість перевипустити (і інвалідовувати старі).
3) Recovery‑процедура
Якщо backup codes немає: потрібна керована процедура (через email/верифікацію/підтримку) з логуванням і затримкою для критичних кейсів.
4) Аудит і алерти
Логуй: увімкнення 2FA, скидання, відновлення доступу. Повідомляй користувача про підозрілі дії.
Підсумок
2FA працює, коли є recovery: backup codes, контрольовані процедури і аудит. Тоді безпека зростає без втрат у конверсії та підтримці.