Безопасность аккаунта
Безопасность аккаунта
StratBase.ai реализует несколько уровней защиты для вашего аккаунта и данных.
Коды верификации
Все чувствительные операции требуют 6-значный код подтверждения:
| Операция | Код отправляется на | |----------|-------------------| | Смена пароля | Email | | Смена email (шаг 1) | Telegram (если привязан) или email | | Смена email (шаг 3) | Новый email | | Отключение Telegram | Email | | Запрос выплаты партнёрки | Email | | Удаление аккаунта | Email |
Свойства кода:
- 6-значный числовой формат
- Истекает через 10–15 минут
- Максимум 5 попыток на код
- Хранится как SHA-256 хеш (никогда в открытом виде)
Блокировка аккаунта («Это был не я»)
Если вы получили email о смене пароля, которую не инициировали:
- Нажмите ссылку «Это был не я» в письме
- Это отправляет JWT-запрос на блокировку
- Ваш аккаунт немедленно блокируется
- Все активные сессии аннулируются
- Обратитесь в поддержку для восстановления
При блокировке:
- Все API-запросы возвращают 403 Forbidden
- Вход невозможен
- Данные сохраняются, но недоступны
Инвалидация сессий
Сессии автоматически аннулируются при:
| Событие | Эффект |
|---------|--------|
| Смена пароля | Все JWT, выданные до password_changed_at, отклоняются |
| Блокировка | user.locked = true → все запросы отклоняются |
| Смена email | Сессии остаются активными |
Система сравнивает password_changed_at с JWT iat. Если password_changed_at > iat, токен отклоняется.
Периоды ожидания
| Действие | Ожидание | |----------|----------| | После смены пароля | 24ч — без выплат партнёрки | | После смены email | 24ч — без выплат партнёрки | | После смены пароля/email | 7 дней — без смены username | | После смены username | 7 дней — без смены username | | После смены реф. кода | 30 дней — без смены кода |
Безопасность OAuth
- Google OAuth — безопасная аутентификация Google
- Telegram OAuth — виджет входа Telegram
- OAuth-аккаунты не имеют пароля по умолчанию
- Можно установить пароль через «Забыли пароль»
Рекомендации
- Используйте надёжный пароль — минимум 8 символов, буквы, цифры и символы
- Подключите Telegram — добавляет второй канал верификации для смены email
- Не передавайте коды — они одноразовые и личные
- Проверяйте письма «Это был не я» — действуйте немедленно
- Держите email актуальным — основной метод восстановления
FAQ
Q: Аккаунт заблокирован — что делать? A: Обратитесь в поддержку на support@stratbase.ai с подтверждением владения.
Q: Можно включить 2FA/MFA? A: Традиционная 2FA (TOTP) пока недоступна. Коды верификации служат вторым фактором.
Q: Как посмотреть активные сессии? A: Пока нет списка сессий. Смена пароля аннулирует все сессии.