MFA / двухфакторная аутентификация (2FA): защита входа сверх пароля

MFA (Multi-Factor Authentication — многофакторная аутентификация) — это метод входа, при котором одного пароля недостаточно: система требует подтвердить личность ещё хотя бы одним независимым фактором. 2FA (Two-Factor Authentication — двухфакторная аутентификация) — частный случай MFA ровно с двумя факторами, самый распространённый в бизнесе.

Главная мысль одной фразой: пароль рано или поздно утечёт — через фишинг, подбор или старую утечкой базу. MFA делает украденный пароль бесполезным сам по себе.

Три типа факторов

Аутентификация строится на комбинации факторов из трёх категорий. MFA требует, чтобы факторы были из разных категорий — иначе это не «много факторов», а два пароля.

• Знание — то, что вы знаете: пароль, ПИН-код, ответ на секретный вопрос.
• Владение — то, что у вас есть: смартфон с приложением-аутентификатором, аппаратный ключ, SIM-карта для SMS-кода.
• Неотъемлемость — то, чем вы являетесь: отпечаток пальца, лицо, голос (биометрия).

Классическая 2FA в компании — это пароль (знание) плюс одноразовый код из приложения на телефоне (владение).

Почему пароля недостаточно

Учётная запись с одним паролем уязвима сразу по нескольким векторам, и все они массовые:

• Фишинг. Сотрудник вводит пароль на поддельной странице — и пароль у атакующего.
• Переиспользование. Тот же пароль использован на стороннем сервисе, который слили; база утёкших паролей проверяется по корпоративной почте автоматически.
• Подбор (brute-force и credential stuffing). Слабые и типовые пароли перебираются ботами.
• Перехват. Пароль попал в лог, в незашифрованный канал, в скомпрометированный браузер.

Во всех этих случаях второй фактор разрывает атаку: даже зная пароль, злоумышленник не пройдёт без кода или подтверждения, привязанного к устройству пользователя. Поэтому MFA — первая мера, которую включают после инцидента с компрометацией учёток (см. родительский материал — что делать при утечке персональных данных).

Методы второго фактора — от слабого к сильному

Не все вторые факторы одинаково надёжны. Порядок по возрастанию стойкости:

SMS-коды

Код приходит на телефон по SMS. Лучше, чем ничего, но самый слабый метод: уязвим к перехвату и к подмене SIM-карты (SIM-swap). Годится как минимальная мера, но не для критичных систем.

TOTP — коды из приложения

TOTP (Time-based One-Time Password — одноразовый пароль на основе времени) генерируется приложением-аутентификатором каждые 30 секунд. Работает офлайн, не зависит от сети оператора, не подвержен SIM-swap. Это разумный стандарт «по умолчанию» для бизнеса.

Push-уведомления

Запрос на подтверждение приходит в приложение, пользователь нажимает «Подтвердить». Удобно, но уязвимо к «усталости от запросов» (MFA fatigue), когда атакующий заваливает жертву запросами в расчёте на случайное подтверждение. Снижается требованием ввести число с экрана входа (number matching).

Аппаратные ключи (FIDO2 / WebAuthn)

Физический USB/NFC-ключ или встроенный аутентификатор устройства. Самый стойкий метод: устойчив к фишингу по конструкции, потому что криптографически привязан к домену сервиса. Для администраторов и доступа к критичным системам — оптимальный выбор.

Где включать в первую очередь

MFA внедряют не «везде сразу», а по приоритету риска:

1. Привилегированные и административные учётки — домен, гипервизор, облачная консоль, панель управления сетью. Компрометация одной такой учётки = компрометация всего.
2. Внешний доступ — VPN для удалённого доступа, почта, веб-порталы, всё, что смотрит в интернет.
3. Системы с персональными и финансовыми данными — CRM, ERP, бухгалтерия, базы клиентов.
4. Все остальные учётные записи — по мере зрелости, в идеале через единый вход.

SSO и единая точка управления

Включать MFA в каждом сервисе по отдельности — путь к зоопарку и забытым исключениям. Правильнее подключить сервисы к единому провайдеру идентификации с SSO (Single Sign-On — единый вход), где MFA настраивается централизованно и применяется ко всем приложениям одной политикой. Удобный и распространённый вариант для развёртывания в своём контуре — Keycloak как SSO-провайдер: один вход, одна точка управления факторами, единый журнал доступа.

Связка SSO + MFA даёт ещё и адаптивные политики: требовать второй фактор только при входе с нового устройства, из новой страны или к критичному приложению — и не мучить пользователя при рутинном входе из офиса.

Типичные ошибки внедрения

• Резервные коды без присмотра. Backup-коды восстановления хранятся в открытом виде в заметках или письме — и обходят весь MFA.
• SMS как единственный фактор для админов. Для привилегированного доступа SMS недостаточно — нужны TOTP или аппаратные ключи.
• Исключения, которые забыли убрать. Временно отключили MFA «на время настройки» — и оставили навсегда.
• Нет процедуры восстановления. Сотрудник потерял телефон — и либо встал, либо администратор отключает MFA «чтобы пустить», создавая дыру.
• MFA без проверки на фишинг-устойчивость. Push и TOTP можно выманить на поддельной странице; для критичных систем нужен FIDO2.

Наличие MFA проверяется при аудите информационной безопасности как одна из базовых контрольных точек.

Что включает наша услуга

• Аудит текущего состояния аутентификации: где есть MFA, где нет, какие методы используются
• Приоритизация по риску — с каких систем начинать внедрение
• Развёртывание SSO-провайдера (Keycloak или альтернатива) и централизованная политика MFA
• Подключение приложений, VPN, почты к единому входу
• Настройка адаптивных политик и процедур восстановления доступа
• Мониторинг событий аутентификации из NOC 24/7 — аномальные входы и подбор фиксируются вовремя