Безпека акаунту
Безпека акаунту
StratBase.ai реалізує кілька рівнів захисту для вашого акаунту та даних.
Коди верифікації
Всі чутливі операції потребують 6-значний код підтвердження:
| Операція | Код надсилається на | |----------|-------------------| | Зміна пароля | Email | | Зміна email (крок 1) | Telegram (якщо прив'язано) або email | | Зміна email (крок 3) | Новий email | | Відключення Telegram | Email | | Запит виплати партнерки | Email | | Видалення акаунту | Email |
Властивості коду:
- 6-значний числовий формат
- Закінчується через 10–15 хвилин
- Максимум 5 спроб на код
- Зберігається як SHA-256 хеш (ніколи у відкритому вигляді)
Блокування акаунту («Це був не я»)
Якщо ви отримали email про зміну пароля, яку не ініціювали:
- Натисніть посилання «Це був не я» у листі
- Це надсилає JWT-запит на блокування
- Ваш акаунт негайно блокується
- Всі активні сесії анулюються
- Зверніться до підтримки для відновлення
При блокуванні:
- Всі API-запити повертають 403 Forbidden
- Вхід неможливий
- Дані зберігаються, але недоступні
Інвалідація сесій
Сесії автоматично анулюються при:
| Подія | Ефект |
|-------|-------|
| Зміна пароля | Всі JWT, видані до password_changed_at, відхиляються |
| Блокування | user.locked = true → всі запити відхиляються |
| Зміна email | Сесії залишаються активними |
Система порівнює password_changed_at з JWT iat. Якщо password_changed_at > iat, токен відхиляється.
Періоди очікування
| Дія | Очікування | |-----|-----------| | Після зміни пароля | 24г — без виплат партнерки | | Після зміни email | 24г — без виплат партнерки | | Після зміни пароля/email | 7 днів — без зміни username | | Після зміни username | 7 днів — без зміни username | | Після зміни реф. коду | 30 днів — без зміни коду |
Безпека OAuth
- Google OAuth — безпечна автентифікація Google
- Telegram OAuth — віджет входу Telegram
- OAuth-акаунти не мають пароля за замовчуванням
- Можна встановити пароль через «Забули пароль»
Рекомендації
- Використовуйте надійний пароль — мінімум 8 символів, букви, цифри та символи
- Підключіть Telegram — додає другий канал верифікації для зміни email
- Не передавайте коди — вони одноразові та особисті
- Перевіряйте листи «Це був не я» — дійте негайно
- Тримайте email актуальним — основний метод відновлення
FAQ
Q: Акаунт заблоковано — що робити? A: Зверніться до підтримки на support@stratbase.ai з підтвердженням володіння.
Q: Чи можна увімкнути 2FA/MFA? A: Традиційна 2FA (TOTP) поки недоступна. Коди верифікації слугують другим фактором.
Q: Як переглянути активні сесії? A: Поки немає списку сесій. Зміна пароля анулює всі сесії.