Сценарий, который повторяется в десятках компаний. У сотрудника один и тот же пароль на корпоративной почте, в личном маркетплейсе и на форуме, куда он заходил три года назад. Форум взломали, база логинов и паролей утекла, попала в публичные подборки. Через полгода кто-то прогнал эту базу по корпоративным сервисам компании — и зашёл в почту сотрудника с первого раза. Дальше — рассылка фишинга от его имени коллегам, перехват переписки с бухгалтерией, подмена реквизитов в платёжке. Пароль был «надёжным» — буквы, цифры, спецсимвол. Не помогло, потому что он был не уникальным.
Защита от такого сценария не сводится к «придумайте пароль посложнее». Она состоит из двух частей: разумной парольной политики и многофакторной аутентификации. Разберём обе по очереди — и главное, как это внедрить, не превратив каждый вход в офисную драму.
Почему один пароль больше не работает
Пароль защищает ровно до момента, пока он остаётся секретом, известным только владельцу. На практике это условие нарушается постоянно, и причин несколько.
Переиспользование. Человек физически не способен помнить десятки уникальных сложных паролей, поэтому использует один и тот же на множестве сервисов или вариации одного («Пароль1», «Пароль2»). Достаточно одной утечки на любом стороннем сайте — и пароль скомпрометирован везде. Атака, при которой украденные пары «логин-пароль» массово проверяют на других сервисах, называется credential stuffing (подстановка учётных данных) и автоматизирована до предела.
Утечки. Базы с миллиардами скомпрометированных учётных записей лежат в открытом доступе и продаются на теневых площадках. Если корпоративный пароль когда-либо совпал с тем, что утёк, он уже не секрет — вопрос только в том, когда его попробуют.
Брутфорс и подбор. Короткий или предсказуемый пароль перебирается автоматикой за минуты. Современные видеокарты подбирают восьмисимвольные пароли несложной структуры быстрее, чем сотрудник успевает выпить кофе. Особенно уязвимы шаблоны вида «Имя+год+!», которые люди придумывают как раз потому, что система требует «букву, цифру и спецсимвол».
Фишинг. Даже идеальный уникальный пароль бесполезен, если сотрудник сам ввёл его на поддельной странице. Подробно эту тему мы разбирали в материале про защиту сотрудников от фишинга — и именно фишинг показывает, почему один фактор принципиально недостаточен: его можно выманить.
Вывод простой: пароль остаётся нужным, но как единственный рубеж обороны он несостоятелен. Его роль — первый из как минимум двух факторов.
Разумная парольная политика 2026
Многие корпоративные политики паролей устарели и приносят больше вреда, чем пользы: они заставляют людей придумывать слабые пароли, формально соответствующие требованиям. Современный подход (отражённый, в частности, в обновлённых рекомендациях NIST) выглядит иначе.
Длина важнее сложности. Длинная парольная фраза из нескольких слов («синий-чайник-окно-7») надёжнее и легче запоминается, чем короткий «Qw3!rt». Разумный минимум — 12 символов, для привилегированных учёток — больше. Требование обязательно использовать спецсимволы можно ослабить в пользу длины.
Отказ от обязательной частой смены. Принудительная смена пароля каждые 30–90 дней — устаревшая практика. Она приводит к тому, что люди меняют «Пароль1» на «Пароль2», то есть к предсказуемым инкрементам. Менять пароль нужно по событию — при подозрении на компрометацию или подтверждённой утечке, а не по календарю.
Проверка по базам утечек. При установке нового пароля система должна проверять его по базам ранее скомпрометированных паролей и отклонять совпадения. Это закрывает самый частый вектор — повторное использование уже «засвеченного» пароля.
Запрет повтора и словарных значений. Нельзя ставить пароль, совпадающий с предыдущими, с именем пользователя, названием компании или очевидными словарными словами. Эти проверки делаются на стороне системы, а не оставляются на совесть сотрудника.
Менеджеры паролей. Главный практический инструмент, снимающий конфликт «уникальный сложный пароль против человеческой памяти». Менеджер паролей генерирует и хранит уникальный пароль для каждого сервиса, а сотруднику нужно помнить один мастер-пароль (защищённый, разумеется, вторым фактором). Корпоративное внедрение менеджера паролей — отдельный, но крайне окупаемый шаг.
Однако даже идеальная парольная политика не отменяет того факта, что пароль можно украсть или выманить. Поэтому второй обязательный слой — MFA.
MFA: какие бывают факторы
MFA (Multi-Factor Authentication — многофакторная аутентификация) — это подтверждение входа не одним, а несколькими факторами разной природы: «что я знаю» (пароль), «что у меня есть» (телефон, ключ), «кто я» (биометрия). Частный случай с двумя факторами называют 2FA (двухфакторная аутентификация); на практике в бизнесе термины используют как синонимы. Разберём конкретные виды второго фактора по возрастанию надёжности.
SMS-коды. Самый распространённый и самый слабый вариант. Код приходит в SMS, пользователь вводит его после пароля. Проблема — уязвимость к SIM-swap (мошенническому перевыпуску SIM-карты на злоумышленника) и перехвату через уязвимости сигнальной сети. SMS лучше, чем ничего, но для критичных систем не подходит как основной фактор.
TOTP-приложения. Приложение-аутентификатор на смартфоне генерирует одноразовый шестизначный код, обновляющийся каждые 30 секунд (TOTP — Time-based One-Time Password, одноразовый пароль на основе времени). Код вычисляется локально на устройстве, его нельзя перехватить по сети. Надёжный и бесплатный вариант — оптимальная отправная точка для большинства компаний.
Push-уведомления. Вместо ввода кода пользователь подтверждает вход нажатием «Да» в приложении на телефоне. Удобно, но есть риск MFA fatigue (усталость от подтверждений) — атаки, при которой злоумышленник шлёт шквал запросов, пока замотанный сотрудник машинально не нажмёт «Подтвердить». Лечится показом контекста (откуда вход) и подтверждением через ввод числа с экрана входа (number matching).
FIDO2-ключи и passkeys. Аппаратный USB/NFC-ключ или встроенный в устройство passkey — наиболее устойчивый к фишингу фактор. Ключ криптографически привязан к конкретному домену сервиса, поэтому ввести его на поддельной странице физически невозможно: ключ просто не сработает на чужом адресе. Для администраторов и доступа к критичным системам — золотой стандарт.
Практическая рекомендация: TOTP как массовый фактор для всех, FIDO2-ключи — для администраторов и руководителей, SMS — только как резервный механизм восстановления, а не основной фактор.
Где MFA обязателен в первую очередь
Включать MFA сразу везде — верный способ вызвать сопротивление и завалить поддержку обращениями. Начинать нужно там, где компрометация дороже всего.
- VPN и удалённый доступ. Точка входа во всю внутреннюю сеть. Украденный пароль от VPN без MFA — это открытая дверь в инфраструктуру. Приоритет номер один.
- Корпоративная почта. Почта — ключ к сбросу паролей от всех остальных сервисов и главная мишень для компрометации деловой переписки (атаки на подмену реквизитов в платежах). MFA на почту обязателен.
- Административные и привилегированные доступы. Учётки администраторов домена, доступ к серверам, панелям управления, базам данных. Здесь MFA должен быть на аппаратных FIDO2-ключах. Управление такими доступами — отдельная дисциплина, которую системно решает PAM (управление привилегированным доступом).
- Облачные сервисы и панели управления. Доступ к облачной инфраструктуре, CRM, ERP, бухгалтерским системам — всё, где хранятся деньги и данные клиентов.
- Системы единого входа (SSO). Если в компании есть единая точка аутентификации (например, на базе Keycloak), MFA логично включать именно на ней — тогда второй фактор автоматически защищает все подключённые к SSO сервисы.
Рядовые внутренние сервисы без чувствительных данных можно подключать на более поздних волнах — когда сотрудники уже привыкли к процедуре на критичных системах.
Как внедрить без сопротивления
Технически включить MFA — дело нескольких часов. Сложность в людях. Вот рабочая последовательность, которая снижает сопротивление до управляемого уровня.
1. Этапность вместо «рубильника». Не включайте MFA для всех в один день. Двигайтесь волнами: сначала критичные системы и узкая группа, потом расширение. Каждая волна — это уроки, которые учитываются в следующей.
2. Пилот на ИТ и руководителях. Первыми MFA получают ИТ-отдел и топ-менеджмент. Логика двойная: ИТ отлаживает процесс и инструкции на себе, а руководители своим примером снимают возражение «начальству можно, а нам нельзя». После пилота на руках есть реальная статистика обращений и готовые ответы на типовые проблемы.
3. Продуманные исключения и восстановление. Заранее решите, что делать при потере телефона. Резервные backup-коды при настройке, второй зарегистрированный фактор, понятная процедура восстановления через поддержку с проверкой личности. Без этого первая же потеря телефона превращается в историю «вот видите, MFA только мешает».
4. Коммуникация до, а не после. За неделю до подключения — короткое письмо: что меняется, зачем (с конкретным примером, как взламывают без MFA), что нужно сделать, к кому идти за помощью. Не «безопасность требует», а «это защищает лично вас и вашу почту». Люди принимают изменения, когда понимают причину.
5. Простые инструкции и поддержка в первые дни. Пошаговая инструкция со скриншотами, короткое видео на 2 минуты, выделенный канал поддержки на период развёртывания. Первые 3–5 дней после каждой волны генерируют основную массу вопросов — к этому нужно быть готовым ресурсами.
6. Минимум трения в повседневности. Настройте «запомнить устройство на 30 дней» для доверенных рабочих машин, используйте push с number matching вместо ручного ввода кодов где уместно. Чем реже MFA дёргает сотрудника без необходимости, тем меньше раздражения и тем меньше соблазн искать обходные пути.
Главный принцип: сопротивление вызывает не сам MFA, а плохо организованное внедрение — отсутствие объяснений, кривое восстановление и включение всего сразу. Уберите эти три причины, и бунта не будет.
Роль ИТ-аутсорсера
Парольная политика и MFA — это не разовый проект, а постоянный процесс. Кибер Авангард внедряет и обслуживает эти механизмы как часть ИТ-аутсорсинга: мы не продаём «коробку с MFA», а встраиваем второй фактор в существующую инфраструктуру компании и поддерживаем его дальше.
На практике это означает: аудит текущих доступов и парольных политик, выбор подходящих факторов под конкретные системы, настройку MFA на VPN, почте, SSO и административных учётках, подготовку инструкций и каналов поддержки для сотрудников, обработку обращений на этапе развёртывания и дальнейшее сопровождение — добавление новых сотрудников, восстановление при потере факторов, контроль исключений. Внедрение MFA логично делать в связке с общим аудитом информационной безопасности, чтобы закрыть не только аутентификацию, но и смежные дыры. NOC 24/7 при этом отслеживает аномальные попытки входа в реальном времени.
FAQ
Чем MFA отличается от двухфакторной аутентификации (2FA)?
2FA — частный случай MFA, при котором используется ровно два фактора (например, пароль плюс код из приложения). MFA (многофакторная аутентификация) — более общий термин: факторов может быть два и более. На практике в малом и среднем бизнесе под MFA почти всегда понимают именно второй фактор поверх пароля, поэтому термины часто используют как синонимы.
Обязательно ли менять пароли каждые 90 дней?
Нет. Современные рекомендации (включая обновлённые гайды NIST) отказались от обязательной частой смены паролей: она заставляет людей придумывать слабые предсказуемые пароли с инкрементом в конце. Менять пароль нужно по событию — при подозрении на компрометацию или утечке. Важнее длина пароля, проверка по базам утечек и включённый MFA.
Что делать, если сотрудник потерял телефон со вторым фактором?
Заранее предусмотреть резервные механизмы: одноразовые backup-коды, выданные при настройке, второй зарегистрированный фактор (например, FIDO2-ключ или резервное приложение) и процедуру восстановления через службу поддержки с проверкой личности. Без продуманного recovery именно потеря телефона становится главным источником обращений и сопротивления внедрению.
SMS как второй фактор — это нормально?
SMS лучше, чем отсутствие второго фактора, но это самый слабый вариант MFA: коды перехватывают через SIM-swap (перевыпуск SIM-карты на злоумышленника) и подмену сигнальной сети. Для критичных систем (VPN, почта, админ-доступы) используйте TOTP-приложения или аппаратные FIDO2-ключи. SMS допустим как временный или резервный фактор, не как основной.
Сколько времени занимает внедрение MFA в компании на 50 человек?
При нормальном планировании — несколько недель. Пилот на ИТ-отделе и руководителях занимает 1–2 недели, затем волнами подключаются остальные подразделения. Сам процесс настройки на одного сотрудника — 5–10 минут. Основное время уходит не на технику, а на коммуникацию, инструкции и обработку первых обращений.
Можно ли внедрить MFA только на самые важные системы, а не на всё сразу?
Да, и это рекомендуемый подход. Начните с того, где компрометация дороже всего: VPN-доступ, корпоративная почта, административные учётные записи, удалённый доступ к серверам. Рядовые внутренние сервисы можно подключать позже, по мере привыкания сотрудников. Поэтапность — главный способ внедрить MFA без сопротивления.
Вывод
Одиночный пароль больше не защищает — его переиспользуют, выманивают фишингом, находят в утечках и перебирают. Рабочая защита аутентификации состоит из двух слоёв: разумной парольной политики 2026 (длина важнее частой смены, менеджеры паролей, проверка по базам утечек, запрет повторов) и многофакторной аутентификации поверх неё (TOTP для всех, FIDO2 для администраторов, SMS только в резерв).
Бунта сотрудников при внедрении MFA вызывает не технология, а организация: включение всего сразу, отсутствие объяснений и кривое восстановление при потере фактора. Этапность, пилот, продуманные исключения и понятная коммуникация снимают сопротивление до уровня нескольких вопросов в первую неделю.
Если вы хотите внедрить MFA и навести порядок в парольной политике без аврала и недовольства команды — напишите нам. Проведём аудит текущих доступов, предложим план поэтапного внедрения и возьмём на себя настройку и поддержку.
Внедрим MFA и парольную политику под вашу инфраструктуру
Бесплатный аудит доступов, письменный план поэтапного внедрения и смета — за 1 рабочий день. Аудит ни к чему не обязывает.