Добавить в корзинуПозвонить
Найти в Дзене
Кибербезопасность для бизнеса

Многофакторная аутентификация: виды, уязвимости и чек-лист внедрения

1
5 мин
По данным Verizon DBIR 2025, компрометация учётных данных является одним из главных факторов, способствующих атакам на веб-приложения. Многофакторная аутентификация (MFA) значительно снижает этот риск, добавляя к паролю дополнительный слой проверки. Однако внедрение MFA требует учёта уязвимостей, присущих разным методам подтверждения личности. Ниже разбираются виды второго фактора, их слабые места и приводится чек-лист для поэтапного развёртывания MFA в организации. SMS-коды. На привязанный номер телефона приходит одноразовый код подтверждения. Это самый простой и доступный способ. Надёжность низкая: злоумышленник может перехватить код через SIM-swapping (перевыпуск SIM-карты) или эксплуатацию уязвимостей сигнальных сетей SS7. Для защиты корпоративных учётных записей от SMS-кодов рекомендуется отказываться в пользу более надёжных методов. TOTP (Time-based One-Time Password). Приложение-аутентификатор, такое как Google Authenticator, Authy или Яндекс.Ключ, генерирует временный код, дейс
Оглавление
Центральное изображение статьи. Изображение авторское, фон создан в Алиса AI
Центральное изображение статьи. Изображение авторское, фон создан в Алиса AI

По данным Verizon DBIR 2025, компрометация учётных данных является одним из главных факторов, способствующих атакам на веб-приложения. Многофакторная аутентификация (MFA) значительно снижает этот риск, добавляя к паролю дополнительный слой проверки. Однако внедрение MFA требует учёта уязвимостей, присущих разным методам подтверждения личности. Ниже разбираются виды второго фактора, их слабые места и приводится чек-лист для поэтапного развёртывания MFA в организации.

Виды второго фактора

SMS-коды. На привязанный номер телефона приходит одноразовый код подтверждения. Это самый простой и доступный способ. Надёжность низкая: злоумышленник может перехватить код через SIM-swapping (перевыпуск SIM-карты) или эксплуатацию уязвимостей сигнальных сетей SS7. Для защиты корпоративных учётных записей от SMS-кодов рекомендуется отказываться в пользу более надёжных методов.

TOTP (Time-based One-Time Password). Приложение-аутентификатор, такое как Google Authenticator, Authy или Яндекс.Ключ, генерирует временный код, действительный 30–60 секунд. Секретный ключ хранится локально на устройстве пользователя и не передаётся по сети, что делает TOTP значительно безопаснее SMS. Надёжность средняя, удобство среднее. Главная уязвимость: компрометация устройства с приложением раскрывает все коды.

Push-уведомления. Пользователь получает запрос на подтверждение входа прямо на экран смартфона. Достаточно нажать «Да» или «Нет». Удобство высокое, надёжность средняя. Основной риск — MFA-бомбинг: злоумышленник, уже знающий пароль, многократно отправляет push-запросы, пока пользователь не подтвердит один из них случайно или от усталости. Для противодействия этому методу рекомендуется ограничивать количество попыток подтверждения и требовать дополнительный код при подозрительной активности.

*Аппаратные токены FIDO2/U2F.* Физическое USB- или NFC-устройство, которое генерирует криптографическую подпись для каждого входа. Проверяет домен сайта, что обеспечивает защиту от фишинга, включая атаки с проксированием сессии (adversary-in-the-middle). Надёжность высокая, удобство низкое из-за необходимости носить устройство с собой и риска его утери. Рекомендуется для привилегированных пользователей и доступа к критичным системам.

Биометрия. Отпечаток пальца, сканирование лица или голоса выступают как самостоятельный фактор или как способ разблокировки аппаратного токена. Надёжность и удобство высокие. Ключевой недостаток — биометрические данные невозможно сменить при компрометации. Рекомендуется использовать биометрию в комбинации с другими факторами, а не как единственный метод подтверждения.

Уязвимости MFA

SIM-swapping. Злоумышленник убеждает оператора связи перевыпустить SIM-карту жертвы на свой номер. После этого все SMS-коды направляются ему. Для предотвращения рекомендуется полностью отказаться от SMS как второго фактора для корпоративных аккаунтов либо подключить дополнительные проверки у оператора.

MFA-бомбинг. Атакующий, уже владеющий паролем, начинает массово отправлять push-уведомления на телефон жертвы. Расчёт на то, что пользователь рано или поздно подтвердит вход. Защита: ограничение количества попыток подтверждения, дополнительный код в push-сообщении, обучение сотрудников реагировать только на ожидаемые запросы.

Adversary-in-the-Middle. Злоумышленник создаёт поддельную страницу входа, которая ретранслирует учётные данные жертвы на реальный сервер. Когда сервер запрашивает второй фактор, жертва вводит его на поддельной странице, и атакующий немедленно использует его для входа. От этой атаки не защищают ни SMS, ни TOTP. Единственная надёжная защита — аппаратные токены FIDO2, проверяющие домен.

Чек-лист внедрения MFA

  1. Определить категории пользователей и критичность ресурсов, к которым им нужен доступ.
  2. Выбрать подходящий тип второго фактора для каждой категории в соответствии с уровнем риска.
  3. Внедрить централизованный Identity Provider с поддержкой MFA.
  4. Настроить политику минимальных привилегий и временного предоставления доступа.
  5. Обеспечить резервные методы входа на случай утери основного фактора (например, резервные коды или второй токен).
  6. Провести обучение сотрудников: объяснить, как реагировать на неожиданные запросы подтверждения и куда сообщать о подозрительной активности.
  7. Настроить ограничения на количество попыток подтверждения для предотвращения MFA-бомбинга.
  8. Регулярно пересматривать конфигурацию MFA и тестировать устойчивость к известным атакам.

Как выбрать второй фактор для разных категорий пользователей

Для массовых пользователей и некритичных систем оптимальным выбором является TOTP через приложение-аутентификатор — это бесплатно, не требует закупки оборудования и значительно надёжнее SMS.

Сотрудникам с доступом к чувствительным данным рекомендуется использовать push-уведомления с дополнительным подтверждением, например вводом числа с экрана в приложении. Это сочетает удобство с централизованным управлением через корпоративный IdP.

Администраторам и привилегированным пользователям необходимы аппаратные токены FIDO2, обеспечивающие максимальную защиту от фишинга и соответствующие требованиям многих стандартов.

Для финансовых и критичных транзакций оправдана комбинация аппаратного токена FIDO2 и биометрии как способа его разблокировки, что создаёт двойную проверку, крайне сложную для обхода.

Типовой сценарий: внедрение MFA в логистической компании

Логистическая компания со штатом около 300 сотрудников использовала только пароли для доступа к корпоративной почте и внутреннему порталу. После двух инцидентов с компрометацией почтовых ящиков руководителей было решено внедрить MFA. Начали с пилотной группы из 50 человек: подключили TOTP-аутентификацию через корпоративный IdP, приложение-аутентификатор установили на служебные телефоны. Для высшего руководства и IT-администраторов сразу выбрали FIDO2-токены. Через два месяца MFA была развёрнута на всю компанию. Количество инцидентов, связанных с компрометацией учётных записей, сократилось до единичных случаев.

Этот сценарий демонстрирует, что MFA не обязательно внедрять сразу на всех пользователей с самым дорогим решением. Поэтапный подход с пилотной группой, разными уровнями защиты для разных категорий сотрудников и резервными способами входа снижает риски и сопротивление коллектива.

Материалы канала ориентированы на специалистов по информационной безопасности и IT-руководителей. Подписывайтесь, чтобы получать актуальные методологии и разборы инцидентов.

Вопрос для обсуждения: Какие методы MFA внедрены в организации и с какими проблемами пришлось столкнуться в процессе?