Гайд по 2FA и MFA: как правильно внедрить многофакторную аутентификацию

По данным IBM, компрометация учётных данных стала топ-вектором атак со средней ценой ошибки $4,81 млн. Verizon фиксирует, что 74% утечек данных происходит из-за человеческого фактора. Ослабла связка «пароль + код из СМС»:

• CISA официально относит их к уязвимым факторам,
• Microsoft описывает, как их обходят AiTM, SIM‑swap и кража токенов.

Почти половина компаний пережила взлом в 2024 году — в 9 из 10 случаев атакующие сначала пробивались в корпоративные аккаунты. Вместе с экспертами рассказываем, как правильно внедрить многофакторную аутентификацию, чтобы не пополнить список взломанных компаний.

Что такое двухфакторная аутентификация и чем она отличается от многофакторной

Двухфакторная аутентификация (2FA) встречает на входе в банковские приложения. Сначала вводите пароль, потом указываете код из СМС.

При обычном входе вы используете только пароль. При 2FA добавляется второй шаг проверки:

• код из СМС или приложения,
• отпечаток пальца,
• USB-ключ,
• пуш-уведомление на телефон.

Многофакторная аутентификация (MFA) работает также, но проверок может быть больше двух. Например, банк запросит пароль, потом код из СМС, затем ответ на секретный вопрос.

Анна Храмцова, старший руководитель направления разработки продукта Dion, соавтор тг-канала Диагноз:Аналитик:

2FA — это частный, самый распространённый случай MFA. Когда говорят «MFA», часто подразумевают именно 2FA. А когда говорят о «более чем двух факторах» (3FA+), то имеют в виду системы с экстремально высоким уровнем риска. Для большинства сценариев, включая банковские приложения, 2FA выступает «золотым стандартом» и достаточной мерой.

Анна ХрамцоваСтарший руководитель направления разработки продукта Dion

Почему СМС-коды больше не гарантируют безопасность

В 2025 году мошенники чаще обходят 2FA, где используются коды из СМС.

Самый распространённый способ — подмена SIM-карты. Злоумышленник приходит в салон связи с поддельными документами и восстанавливает вашу SIM-карту. Оператор блокирует симку, выдаёт новую мошеннику, и все СМС приходят ему. В России такие случаи происходят регулярно.

Второй способ — перехват СМС через уязвимости в протоколе SS7, который используют операторы связи для маршрутизации звонков и сообщений между сетями.

SMS-коды — ненадежный 2-ой фактор аутентификации. Сегодня операции с копированием номеров и перехватом сообщений не столько редки и невозможны, как, скажем, 5 лет назад.

Анна ХрамцоваСтарший руководитель направления разработки продукта Dion

Третий — социальная инженерия. Мошенники звонят от имени техподдержки с просьбой продиктовать код из СМС для «проверки безопасности» или «отмены подозрительной операции».

Какие методы защиты работают

Приложения-аутентификаторы генерируют временные коды. Google Authenticator, Яндекс.Ключ обновляют комбинации каждые 30 секунд. Перечисленные сервисы работает по TOTP — код синхронизирован между телефоном и сервером через общий секретный ключ. Перехватить код невозможно, потому что он не передаётся по сети.

Физические ключи безопасности — это USB-устройства размером с флешку. YubiKey, Google Titan Key подключаются к компьютеру или телефону и подтверждают личность. Взломать такую защиту практически невозможно. Ключ проверяет подлинность сайта, поэтому не сработает на фишинговой копии.

Пуш-уведомления отправляют запрос на подтверждение входа в мобильное приложение.

Биометрия — отпечатки пальцев, распознавание лица. Смартфоны хранят эти данные в защищённом чипе.

Александр Шибаловский, CTO:

В исключительных случаях используется 4 фактора: например, логин + динамический код + физический носитель ЭП + биометрия. Только ключ в замке провернуть не хватает для верности 🙂

Делать самим или купить готовое решение

Разработка системы 2FA с нуля займёт минимум полгода работы команды из 3-4 человек. Это зарплаты, тестирование, исправление ошибок и постоянные обновления. Ответственность за каждую уязвимость ляжет на вас.

Анна Храмцова комментирует:

Моя рекомендация для большинства организаций: начать с оценки готовых решений на рынке. Фокус следует сместить с вопроса «разрабатывать или подключать?» на вопросы:
1. Какой сторонний сервис лучше всего соответствует нашим техническим требованиям и бюджету?
2. Как правильно интегрировать его в нашу ИТ-инфраструктуру?
3. Как его плавно внедрить для пользователей, чтобы повысить безопасность, а не создать барьеры?

Интеграция 2FA/MFA — это в подавляющем большинстве случаев использование стороннего сервиса, а не разработка с нуля. Создание собственной защиты требует огромных ресурсов, глубокой экспертизы в безопасности и постоянного сопровождения. Также в России есть риски, связанные с возможным отключением облачных сервисов, поэтому преимущество на стороне on-premise решений.
Разрабатывать своё решение имеет смысл только в очень специфических случаях. Например, если работаете в закрытой инфраструктуре, где запрещено подключение к внешним сервисам, или у вас уникальные требования, которые ни один вендор не покрывает. Но даже тогда лучше брать open-source библиотеки вроде privacyIDEA или Keycloak и дорабатывать их, чем писать всё с нуля. 

Вадим ФедосеевPrincipal Software Engineer

Готовые решения делятся на три типа:

• SaaS (Software as a Service — программа как услуга) работает через интернет на серверах разработчика. Вы платите за подписку, подключаете сервис за пару дней и забываете про технические вопросы.
• On-premise (на вашей территории) устанавливается на серверы компании. Вы полностью контролируете данные, но нужны свои администраторы для поддержки системы. 
• Open-source (открытый код) можно скачать бесплатно и доработать под свои нужды.

Большинству компаний подходят SaaS-решения: быстрый старт, предсказуемые расходы и команда профессионалов, которая следит за безопасностью 24/7. On-premise имеет смысл при жёстких требованиях регуляторов или работе с гостайной.

Александр Шибаловский считает:

Для крупных систем с высокими требованиями к безопасности целесообразнее не отдавать данные пользователей за контур компании, соответственно возможные варианты — разработать свой модуль или установить стороннее решение on-premises. Для быстрого запуска и небольших систем удобнее использовать SaaS.

Типичные ошибки при внедрении MFA и как их не допустить

Проблемы чаще возникают у компаний, которые подключают 2FA только потому, что так требуют регуляторы или партнёры. Ставят галочку в отчёте и успокаиваются.

Распространённые ошибки:

• Нет запасных вариантов входа. Сотрудник разбил телефон с приложением-аутентификатором, и всё — он не может войти в рабочие системы.
• Один метод для всех. Директору и стажёру предлагают одинаковую защиту. Хотя у директора доступ к финансам, а у стажёра — только к корпоративному чату.
• Сложность вместо удобства. Сотрудники вводят три разных пароля и ждут СМС по пять минут.
• Забыли про гостевые аккаунты. Подрядчики заходят в систему по старинке через логин-пароль, пока постоянный персонал мучается с токенами.

Про ошибки можно отдельную статью написать. Из очевидных: использование СМС, недостаточная энтропия при генерации секретов, неограниченное число попыток входа, игнорирование защиты сессии, слабые или однотипные резервные коды, отсутствие резервных способов восстановления доступа.

Александр ШибаловскийСТО

Когда два фактора достаточно, а когда нужно больше

Двухфакторной защиты достаточно для личной почты и соцсетей. Уперевшись в 2FA, взломщики пойдут искать жертву попроще. Добавьте к паролю код из приложения — и спите спокойно.

Выбор 2FA или MFA зависит от нескольких факторов:
Первый — стандарты и регуляторные требования (ГОСТы по идентификации и авторизации, финансовому сектору + требования ФСТЭК РФ + стандарты NIST SP 800 и др.). Второй — решение компании-поставщика услуги. Третий — решение пользователя (если компания-поставщик решила предоставить ему возможность выбора).
Для массовых пользователей (Госуслуги, банки, почта, соцсети) стандартом остаётся 2FA. Защита 3+ факторами встречаются преимущественно в сфере критичной инфраструктуры и крупных корпоративных решений. 

Александр ШибаловскийСТО

Компании часто перегибают палку с безопасностью. Например, бухгалтер заходит в систему раз в день посмотреть остатки и каждый раз проходит три проверки. В итоге сотрудники начинают искать обходные пути.

Самая частая ошибка — внедрять 2FA как формальность, не продумывая пользовательский опыт, из-за чего пользователи саботируют систему. Часто забывают про резервные методы аутентификации, и когда пользователь теряет телефон или токен, компания теряет доступ к критичным системам на часы или дни.

Вадим ФедосеевPrincipal Software Engineer

Что делать, если пользователи саботируют защиту

Сотрудники обходят двухфакторную защиту через общие аккаунты, записывают резервные коды на стикерах или просят коллег войти под их учёткой. Люди саботируют MFA не из вредности — им просто неудобно.

Анна Храмцова комментирует:

Внедрение второго фактора ради второго фактора — это частая ошибка. Приступая к интеграции 2FA-решения, необходимо озадачиться вопросами потребностей бизнеса, требований ИБ и распространённых векторов атаки.

Как сделать безопасность удобной

1. Начните с малого.

Включите 2FA сначала для критичных систем — почты руководства, доступа к финансам, админки сайта. Когда сотрудники привыкнут, расширяйте охват.

2. Дайте выбор

Кто-то предпочитает приложения-аутентификаторы, кому-то проще с пуш-уведомлениями. Предложите 2-3 варианта — люди охотнее используют то, что выбрали сами.

3. Упростите вход для доверенных устройств

Настройте систему так, чтобы с рабочего компьютера в офисе второй фактор запрашивался раз в неделю, а не при каждом входе.

4. Объясните выгоду

Вместо «компания требует» скажите «ваш аккаунт защищён от взлома, даже если пароль украдут».

5. Решите технические проблемы заранее.

Выдайте резервные способы входа, настройте синхронизацию времени для кодов, подготовьте инструкции с картинками.

Чем меньше человек тратит времени на борьбу с системой, тем охотнее её использует.

При выборе важно смотреть не только на функционал, но и на соответствие требованиям вашей отрасли — например, наличие сертификата SOC2, ISO 27001, поддержка GDPR. Также стоит учитывать удобство для конечных пользователей: если система слишком сложная, её будут обходить или отключать. Не забудьте проверить, как сервис ведёт себя при масштабировании и какие есть варианты восстановления доступа — это критично при сбоях.

Вадим ФедосеевPrincipal Software Engineer

Чек-лист для успешного внедрения 2FA и MFA

Подготовка:

• Составьте список всех систем, где нужна защита (почта, CRM, админка сайта).
• Проверьте, какие методы 2FA поддерживает каждая система.
• Определите критичность доступа: где хватит СМС, где нужен аппаратный ключ.

Тестирование:

• Настройте 2FA сначала для одного отдела.
• Проверьте работу резервных кодов — распечатайте и сохраните в сейфе.
• Убедитесь, что служба поддержки умеет сбрасывать 2FA.

Запуск:

• Начните с добровольного подключения — дайте бонусы первым пользователям.
• Настройте автоматическое напоминание тем, кто не включил защиту через месяц.

После запуска отслеживайте процент подключивших 2FA, фиксируйте проблемы пользователей и дорабатывайте инструкции. Через 1-2 месяца сделайте 2FA обязательной.