Базис модель данная. Доступ защищают пароль и другой фактор, а платежные сведения держат в изоляции от переписок, браузерных автосохранений и чужих аппаратов.
2FA это подтверждение ввода одноразовым кодом из дополнения или по ключу, а мощный пароль это не "ключевое слово", а пространство вариантов N=A * L, где A число возможных символов, L длина. Чем больше L, тем выше стоимость перебора, по этой причине похоже работают длины 12-16 и выше при эксклюзивности для любого сервиса.
Сделайте наладку по такому чек-листу:
- Создать редкий пароль длиной 12-16+ и хранить его в менеджере паролей, без повторов между службами;
- Включить 2FA через TOTP дополнение, где код довольно часто 6 цифр и обновляется каждые 30 секунд, и сохранить запасные коды офлайн;
- Ограничить риск подбора, включить уведомления о входе и считать нормой блокировку после 3-5 злополучных попыток на 15-60 минут;
- Сохранить платежные данные, не сохранять карту в браузере, применить 3D Secure где общедоступно и проверять замок HTTPS перед вводом реквизитов;
- Усилить вывод финансовых средств, включить подтверждение операции и сверять название, валюту и реквизиты, а при возможности ставить дневной лимит и одинокий PIN.
Подобная схема закрывает ключевые сценарии взлома и снижает шанс потери денежных средств из-за чужого входа или утечки платежных сведений.