Безопасность аккаунта
StatusRadar защищает ваш аккаунт и доступ к API многоуровневыми средствами: надёжное хеширование паролей, опциональная двухфакторная аутентификация, API-токены, которые можно ротировать в любой момент, и полная прозрачность активных сессий. Эта страница — отправная точка; для каждого средства защиты ниже есть отдельное подробное руководство.
Все настройки безопасности аккаунта находятся в панели управления в разделе Settings → Security (/dashboard/settings?tab=security), а API-токены — в Settings → API (/dashboard/settings?tab=api).
Что защищает ваш аккаунт
| Средство защиты | Что оно делает | Где настраивается |
|---|---|---|
| Пароль | Учётные данные для входа, хешированные Argon2id | Settings → Security |
| Двухфакторная аутентификация (2FA) | TOTP-код, требуемый при входе в дополнение к паролю | Settings → Security |
| Коды восстановления | Одноразовые резервные коды на случай потери приложения-аутентификатора | Settings → Security |
| API-токены | Bearer-токен для программного доступа к User API | Settings → API |
| Активные сессии | Просмотр и отзыв сессий вошедших браузеров/устройств | Settings → Security |
Пароли
Пароли хешируются алгоритмом Argon2id (memory-hard, 64 МБ, 4 итерации, 3 потока) и никогда не хранятся и не записываются в логи в открытом виде. Чтобы сменить пароль, перейдите в Settings → Security, введите текущий пароль и выберите новый (минимум 8 символов). Смена пароля не приводит к автоматическому выходу из других сессий — при необходимости отзовите их явно (см. Сессии).
Двухфакторная аутентификация
2FA добавляет к паролю одноразовый код на основе времени (TOTP). После ввода пароля при входе у вас запрашивается текущий 6-значный код из приложения-аутентификатора. Включение 2FA также выдаёт набор одноразовых кодов восстановления, чтобы вы могли войти, если потеряете телефон.
См. Двухфакторную аутентификацию для настройки, кодов восстановления и отключения.
API-токены
Программный доступ к User API использует персональный API-токен, передаваемый как Authorization: Bearer <token>. Вы создаёте его в Settings → API; токен показывается только один раз. Вы можете отозвать его в любой момент, что немедленно прекращает любой доступ с использованием этого токена.
См. API-токены для создания, использования и отзыва токенов.
API-токены — лишь один из нескольких типов учётных данных на платформе. Probe, OTLP и приём RUM используют другие схемы. См. Аутентификацию API для полной картины.
Активные сессии
Каждый браузер или устройство, с которого вы выполняете вход, создаёт серверную сессию (на базе Redis, cookie STATUSRADAR_SESSION, HttpOnly + Secure). Вы можете просмотреть все активные сессии и отозвать любую из них — по отдельности или все сразу, кроме той, которой вы пользуетесь прямо сейчас.
См. Управление сессиями для подробностей.
Лучшие практики безопасности
- Включите 2FA и храните коды восстановления в надёжном офлайн-месте (хорошо подойдёт менеджер паролей).
- Относитесь к API-токену как к секрету — загружайте его из переменной окружения или менеджера секретов, никогда не коммитьте его в систему контроля версий.
- Периодически ротируйте токены и отзывайте любой токен, который мог утечь.
- Проверяйте активные сессии после использования общего или публичного компьютера и отзывайте всё, что не узнаёте.
- Используйте уникальный надёжный пароль для своего аккаунта StatusRadar.
Дальнейшие шаги
- Двухфакторная аутентификация - Включение TOTP и управление кодами восстановления
- API-токены - Создание, использование и отзыв API-токена
- Управление сессиями - Просмотр и отзыв активных сессий
- Аутентификация API - Все схемы учётных данных на платформе