Что такое OTP-авторизация.
В наше время для защиты данных обычного пароля оказывается недостаточно. Кто-то может подсмотреть или взломать пароль и нанести вред пользователю, например, украсть деньги со счета пользователя.
Выходом из этой ситуации могут быть только механизм одноразовых паролей, которые после своего использования теряют актуальность. Даже если этот пароль узнает злоумышленник, то он все-равно ничего не сможет предпринять.
Первым механизмом получения одноразовых паролей была их отправка через SMS. Это был технологический прорыв. Метод очень удобен. Вам просто нужно иметь мобильный телефон. При совершении какой-то важной операции вы получаете код через SMS и потом вводите его на сайте для подтверждения. Но этот метод имеет некоторые недостатки. Иногда получение SMS задерживается, вы находитесь вне зоны приема вашего мобильного оператора (плохое покрытие, в другой стране, где нет роуминга) или просто в ту страну, где вы находитесь, сложно отправить SMS из страны, где находится сервис. И очень опасным может быть то, что злоумышленник может получить дубль вашей SIM-карты. Последнее вполне реально, но это тема отдельной статьи.
Для того, чтобы вышеперечисленные проблемы вас не беспокоили была разработана технология OTP – One Time Password.
Эта технология основана на том, что сервис, на котором нужно вводить одноразовые пароли передает через QR-код на ваш мобильный телефон секретную фразу на основе которой создаются пароли (первоначальная настройка).

Для каждого клиента сервиса фраза своя и нигде не публикуется. Когда вы хотите подтвердить операцию, вы просто смотрите на своем мобильном телефоне или планшете код. Этот код создается без подключения к интернету и другим сетям. Срок действия кода всего одна минута. Через минуту у вас будет другой код. Еще через минуту – третий и так далее. Как только код исчезает с экрана телефона – он становится недействительным. И если его даже кто-то подсмотрел – это никак не поможет его использовать.
Одна тонкость – на вашем телефоне/планшете время должно быть точным, иначе коды будут создаваться с запаздыванием или опережением и не будут работать. Но смартфоны умеют синхронизировать время с сотовой сетью и проблемы выставить точное время это не составляет.
То есть вы единоразово отсканировали на сайте QR-код камерой вашего смартфона и дальше просто используете те коды, которые вам отображаются. Не нужно никакого ожидания SMS, не нужно беспокоиться наличием сотовой сети и нет никакой разницы в какой стране вы в данный момент находитесь. Эти коды работают стабильно.
Как включить дополнительную авторизацию.
Скачайте приложение FreeOTP
- Google Play: https://play.google.com/store/apps/details?id=org.fedorahosted.freeotp&hl=ru&gl=US
- App Store: https://apps.apple.com/us/app/freeotp-authenticator/id872559395
Либо приложение Google Authenticator
- Google Play: https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=ru&gl=US
- App Store https://apps.apple.com/ru/app/google-authenticator/id388497605
У нас на сайте выберите метод Двухфакторная аутентификация и нажмите кнопку Включить






Как отключить дополнительную авторизацию.
У нас на сайте выберите метод Двухфакторная аутентификация и нажмите кнопку Отключить




Как добавить устройство входа.
У нас на сайте выберите метод Двухфакторная аутентификация и нажмите кнопку Добавить устройство входа





Важно: Убедитесь, что время на компьютере и смартфоне совпадает. Лучше всего, выбрать дату и время сети на своем смартфоне.
Сканировать код нужно только один раз! В дальнейшем, при смене личных данных или реквизитов на оплату, Вам нужно будет просто запускать программу на смартфоне и вносить код в поле на компьютере.
А если не включить дополнительную авторизацию?
По этому поводу у наших клиентов есть печальные истории.
История первая: Украли пароль к почтовому ящику
У клиента со счета исчезла некоторая сумма денег. Клиент попросил разобраться. Как оказалось, злоумышленник получил доступ к почтовому ящику и запросил восстановление пароля и письма из почтового ящика удалил. Клиент не смог войти в систему и запросил восстановление пароля. Пароль был выслан ему в почту. Клиент смог войти в систему. Но и злоумышленник тоже увидел этот пароль и тоже получил возможность входить в личный кабинет клиента в Seller-Online. Время от времени злоумышленник делал переводы мелких сумм в другой аккаунт, из которого потом выводил деньги на разные кошельки Webmoney. Если бы у клиента была включена дополнительная авторизация, то перевод средств в другой аккаунт мошенник не перечислил бы.
История вторая: Бывший работник
Клиент попросил разобраться с выводом средств, который был совершен несколько дней назад в нашей системе, но средства он не получил. Когда мы начали разбираться в этой ситуации, мы выяснили, что средства были выведены на реквизиты неизвестного человека. Мы были очень обеспокоены. Но затем, мы подняли журналы и дали расшифровку по выводу и оказалось, что получателем оказался бывший сотрудник нашего пользователя, у которого был доступ к аккаунту. Наш клиент, после увольнения сотрудника, просто напросто, не сменил пароли. Бывший сотрудник воспользовался этим и изменил реквизиты для вывода. Наш клиент произвел вывод средств как обычно, полагая, что указаны его реквизиты, даже не проверив их перед подтверждением операции, и самостоятельно отправил деньги мошеннику. Если бы у клиента была включена дополнительная авторизация, то бывший работник не смог бы изменить реквизиты для вывода средств и никогда бы не смог получить чужие деньги.