Безопасность аккаунта

После регистрации все настройки безопасности живут на одной странице — kotkit.pro/settings/security. Этот гайд проходится по каждому разделу: смена и установка пароля, восстановление при потере доступа, двухфакторная аутентификация и принудительный выход на всех устройствах.

Если вы только что зарегистрировались — сначала гайд по регистрации и входу.

1. Изменить пароль

Если у вас уже есть пароль и вы хотите его сменить:

1. Зайдите в настройки безопасности
2. В разделе «Смена пароля» введите:
   • Текущий пароль (для подтверждения, что это вы)
   • Новый пароль (минимум 8 символов, буква и цифра)
   • Подтверждение нового пароля
3. Нажмите «Сохранить новый пароль»

После успеха вы будете выкинуты на login на всех устройствах — это часть защиты. Войдите заново с новым паролем.

Важно

Смена пароля завершит все активные сессии на всех устройствах. После смены войдите заново там, где пользуетесь KotKit.

2. Установить пароль (для OAuth-юзеров)

Если вы зарегистрировались через Google или Telegram, у вас нет пароля — все входы идут через OAuth. Установить пароль полезно чтобы:

• иметь резервный путь входа, если потеряете доступ к Google/Telegram
• использовать API-инструменты, которые не поддерживают OAuth

Как установить:

1. Сначала привяжите Telegram к аккаунту (см. гайд по входу) — без этого установить пароль не получится
2. На странице безопасности найдите блок «Установка пароля»
3. Нажмите «Отправить ссылку в Telegram»
4. В чате с @kotkitnet_bot появится ссылка — действует 10 минут
5. Откройте ссылку → введите новый пароль → подтверждение

После этого можно входить и через OAuth (Google/Telegram), и по email + паролю.

3. Забыли пароль

Если не помните пароль и хотите сбросить:

1. Откройте страницу восстановления
2. Введите email, на который зарегистрирован аккаунт → «Отправить»
3. Откройте Telegram → бот @kotkitnet_bot пришлёт сообщение со ссылкой «Восстановить пароль»
4. Нажмите ссылку → введите новый пароль → подтверждение
5. После успеха попадёте на login с баннером «Пароль изменён»

Без привязанного Telegram восстановление недоступно

Ссылку для сброса мы шлём только в Telegram — это единственный надёжный канал восстановления. Если у вас нет привязанного Telegram, ссылка не уйдёт никуда. На странице настроек безопасности появится жёлтый банер «Восстановление пароля недоступно — привяжите Telegram».

Заметка

Из соображений безопасности, страница forgot-password всегда показывает «Если аккаунт существует, ссылка отправлена» — независимо от того, существует email в системе или нет. Это защита от перебора email-адресов. Если ссылка не пришла — либо email не зарегистрирован, либо Telegram не привязан.

Ссылка для сброса действует 30 минут. Использовать можно только один раз — после успешного сброса повторный клик по той же ссылке вернёт «недействительна».

4. Если потеряли доступ к Telegram

Сценарий: забыли пароль и потеряли доступ к Telegram (поменяли номер, удалили аккаунт). Стандартный flow forgot-password не сработает. Что делать:

1. Откройте kotkit.pro/auth/recovery
2. Заполните форму: email аккаунта, описание ситуации, любые подсказки (когда регистрировались, через какой OAuth, какие действия в дашборде, какие кампании)
3. Тикет автоматически уходит в админ-чат
4. Админ свяжется с вами через email или Telegram, попросит подтвердить владение аккаунтом (например через привязку нового номера к боту, или через аккаунт соцсети, привязанный к креатору)
5. После проверки админ запустит forced password reset → новая ссылка придёт уже на ваш новый Telegram

Это занимает время

Recovery через саппорт — последний рубеж, не быстрый. Ответ обычно в течение 24 часов в рабочие дни. Чем больше деталей в описании (даты, суммы, имена кампаний) — тем быстрее идентификация.

5. Что такое 2FA и зачем

Двухфакторная аутентификация (2FA) добавляет второй шаг при входе: после правильного пароля сайт просит 6-значный код из приложения-аутентификатора на вашем телефоне. Идея простая — даже если ваш пароль утечёт (фишинг, утечка БД, шпионаж за плечом), злоумышленник без вашего телефона войти не сможет.

KotKit использует стандарт TOTP (RFC 6238) — поддерживает любое authenticator-приложение:

• Google Authenticator — самое простое, бесплатное
• Authy — кросс-девайс с облачной синхронизацией (удобно если меняете телефоны)
• 1Password — встроено в менеджер паролей
• Microsoft Authenticator — если уже используете

Совет

Включите 2FA на бренд-аккаунтах с большим балансом и на аккаунтах креаторов с накопленными выплатами. Включение занимает 2 минуты, а защищает реально хорошо.

Заметка

Для админов 2FA обязательна — без неё доступ в админ-панель закрыт. Юзерам — опциональна, но рекомендована.

6. Включить 2FA

1. Установите authenticator-приложение на телефон (если ещё нет)
2. На странице безопасности найдите блок «Двухфакторная аутентификация»
3. Нажмите «Включить 2FA» — появится QR-код и текстовый секрет
4. Откройте authenticator-приложение → «Добавить аккаунт» → «Сканировать QR-код» → наведите камеру на QR. Если сканер не работает — введите секрет вручную (текст под QR)
5. В приложении появится запись «KotKit» с обновляющимся каждые 30 секунд 6-значным кодом
6. На сайте введите текущий код из приложения → «Подтвердить»
7. Сразу после успеха сайт покажет 10 резервных кодов — сохраните их (см. следующий раздел)

С этого момента каждый login требует код из приложения после пароля.

Совет

Включите 2FA на аккаунтах с балансом или накопленными выплатами — это пара минут, а защита серьёзная.

7. Резервные коды (recovery codes)

Резервные коды — это 10 одноразовых паролей-фолбэков формата XXXX-XXXX-XXXX, которыми можно заменить TOTP-код один раз каждый, если потеряли телефон с authenticator-приложением.

Сохранить:

• Скопируйте все 10 кодов кнопкой «Скопировать все» или скачайте файлом «Скачать .txt»
• Положите в password manager (1Password, Bitwarden) или распечатайте и держите в безопасном месте
• НЕ сохраняйте в plain-text заметках телефона / облачных доках без шифрования
• После сохранения нажмите «Я сохранил коды»

Это последний шанс

KotKit больше никогда не покажет эти коды в открытом виде. Если потеряли — придётся либо войти через TOTP и сгенерировать новые (см. ниже), либо идти через саппорт-flow.

Использовать:

При входе на 2FA-экране вместо 6-значного TOTP-кода введите полный recovery-код включая дефисы (AAAA-BBBB-CCCC). После входа этот код станет недействительным — у вас останется 9 неиспользованных.

Регенерировать (если осталось мало или подозреваете утечку):

1. На странице безопасности в блоке 2FA нажмите «Сгенерировать новые резервные коды»
2. Подтвердите паролем (это reauth-проверка)
3. Старые 10 кодов сразу обнулятся, появятся новые 10 — пересохраните

8. Отключить 2FA

Если хотите убрать 2FA с аккаунта:

1. На странице безопасности в блоке 2FA нажмите «Отключить 2FA»
2. Сайт попросит оба фактора одновременно:
   • Пароль (тот, которым входите)
   • Код 2FA — текущий 6-значный TOTP из приложения или один из резервных кодов
3. Нажмите «Продолжить» — 2FA выключится, резервные коды удалятся

Зачем нужны оба фактора?

Если бы для отключения хватало пароля, то любой кто украл пароль легко отключал бы 2FA — и весь смысл двухфакторки терялся бы. Требование обоих факторов означает: даже с украденным паролем злоумышленник не сможет снять 2FA, не имея вашего телефона с authenticator.

Для админов отключить нельзя

2FA для аккаунтов с ролью админа обязательна. Если вы админ и нужно перенастроить 2FA (например, смена телефона) — сначала включите 2FA на новом устройстве, потом отключайте старое (либо обратитесь к другому админу).

9. Выйти со всех устройств

Сценарий: забыли закрыть KotKit на чужом ноутбуке, либо подозреваете компрометацию аккаунта. Можно одной кнопкой завершить все сессии — на всех браузерах, телефонах и в мобильном приложении.

1. На странице безопасности пролистайте вниз — последний блок в красной рамке «Выйти со всех устройств»
2. Нажмите «Выйти отовсюду» → откроется подтверждение
3. Прочитайте предупреждение → «Да, выйти отовсюду»
4. Вас выкинет на login с баннером «Вы вышли со всех устройств»

После этого все ваши access- и refresh-токены становятся недействительными — на любом устройстве при следующем действии будет 401 и редирект на login.

Это завершит все сессии

Все входы на всех устройствах перестанут действовать — при следующем действии вас перебросит на login. Просто войдите заново там, где нужно.

Заметка

Обычная кнопка «Выйти» (в сайдбаре дашборда) выходит только из текущей вкладки/устройства. «Выйти со всех устройств» — это отдельный, более жёсткий вариант для security-кейсов: он завершает входы на всех устройствах сразу.

Частые вопросы

Что если телефон с authenticator-приложением утерян или сломан?

Используйте резервный код при входе — он работает в том же поле, где TOTP. После входа сразу сгенерируйте новые резервные коды (старые могли остаться у того, кто завладел телефоном) и переустановите 2FA на новом устройстве: Отключите 2FA → включите заново.

Если резервных кодов нет — единственный путь через саппорт-flow.

Какое authenticator-приложение лучше выбрать?

Любое TOTP-совместимое работает одинаково. Рекомендации:

• Google Authenticator — простое, проверенное, локальное хранение (риск потери при смене телефона если не настроен бэкап)
• Authy — кросс-девайс, синхронизация в облако, удобно при смене телефонов
• 1Password / Bitwarden — если уже используете password manager, держите всё в одном месте
• Microsoft Authenticator — push-уведомления, удобно если живёте в Microsoft-экосистеме

Можно использовать SMS вместо authenticator-приложения?

Нет. KotKit поддерживает только TOTP (приложения-аутентификаторы). SMS-2FA не поддерживается из-за известных атак на SIM-перехват — они уже ломали аккаунты на больших сервисах вроде Twitter и Coinbase. Authenticator-приложения от этой атаки иммунны.

Что если потерял и резервные коды, и доступ к Telegram?

Самый сложный кейс — единственный путь саппорт-flow. Подготовьте максимум доказательств владения: дата регистрации, привязанные аккаунты соцсетей, история транзакций (пополнения для брендов, выводы для креаторов), любые скриншоты. Чем больше деталей — тем быстрее верификация.

Безопасно ли хранить резервные коды в облаке?

В encrypted password manager (1Password, Bitwarden, KeePass) — да, это стандартная практика. Их облачная синхронизация шифрует данные локально вашим master-паролем перед загрузкой.

В обычной заметке iCloud / Google Keep — нет, эти заметки лежат на серверах в открытом виде (для провайдера). Если потеряете контроль над email/учёткой провайдера — потеряете и коды.

Если выбираете между «не сохранять никуда» и «сохранить в обычную заметку» — в заметку всё-таки лучше: вероятность что вам понадобится recovery-код в неудобный момент сильно выше, чем вероятность что злоумышленник получит доступ к вашим заметкам именно сегодня.