Безопасность аккаунта

StatusRadar защищает ваш аккаунт и доступ к API многоуровневыми средствами: надёжное хеширование паролей, опциональная двухфакторная аутентификация, API-токены, которые можно ротировать в любой момент, и полная прозрачность активных сессий. Эта страница — отправная точка; для каждого средства защиты ниже есть отдельное подробное руководство.

Все настройки безопасности аккаунта находятся в панели управления в разделе Settings → Security (/dashboard/settings?tab=security), а API-токены — в Settings → API (/dashboard/settings?tab=api).

Что защищает ваш аккаунт

Средство защиты Что оно делает Где настраивается
Пароль Учётные данные для входа, хешированные Argon2id Settings → Security
Двухфакторная аутентификация (2FA) TOTP-код, требуемый при входе в дополнение к паролю Settings → Security
Коды восстановления Одноразовые резервные коды на случай потери приложения-аутентификатора Settings → Security
API-токены Bearer-токен для программного доступа к User API Settings → API
Активные сессии Просмотр и отзыв сессий вошедших браузеров/устройств Settings → Security

Пароли

Пароли хешируются алгоритмом Argon2id (memory-hard, 64 МБ, 4 итерации, 3 потока) и никогда не хранятся и не записываются в логи в открытом виде. Чтобы сменить пароль, перейдите в Settings → Security, введите текущий пароль и выберите новый (минимум 8 символов). Смена пароля не приводит к автоматическому выходу из других сессий — при необходимости отзовите их явно (см. Сессии).

Двухфакторная аутентификация

2FA добавляет к паролю одноразовый код на основе времени (TOTP). После ввода пароля при входе у вас запрашивается текущий 6-значный код из приложения-аутентификатора. Включение 2FA также выдаёт набор одноразовых кодов восстановления, чтобы вы могли войти, если потеряете телефон.

См. Двухфакторную аутентификацию для настройки, кодов восстановления и отключения.

API-токены

Программный доступ к User API использует персональный API-токен, передаваемый как Authorization: Bearer <token>. Вы создаёте его в Settings → API; токен показывается только один раз. Вы можете отозвать его в любой момент, что немедленно прекращает любой доступ с использованием этого токена.

См. API-токены для создания, использования и отзыва токенов.

API-токены — лишь один из нескольких типов учётных данных на платформе. Probe, OTLP и приём RUM используют другие схемы. См. Аутентификацию API для полной картины.

Активные сессии

Каждый браузер или устройство, с которого вы выполняете вход, создаёт серверную сессию (на базе Redis, cookie STATUSRADAR_SESSION, HttpOnly + Secure). Вы можете просмотреть все активные сессии и отозвать любую из них — по отдельности или все сразу, кроме той, которой вы пользуетесь прямо сейчас.

См. Управление сессиями для подробностей.

Лучшие практики безопасности

  • Включите 2FA и храните коды восстановления в надёжном офлайн-месте (хорошо подойдёт менеджер паролей).
  • Относитесь к API-токену как к секрету — загружайте его из переменной окружения или менеджера секретов, никогда не коммитьте его в систему контроля версий.
  • Периодически ротируйте токены и отзывайте любой токен, который мог утечь.
  • Проверяйте активные сессии после использования общего или публичного компьютера и отзывайте всё, что не узнаёте.
  • Используйте уникальный надёжный пароль для своего аккаунта StatusRadar.

Дальнейшие шаги