Изображение




1. Введение: как аутентификация стала главной точкой атаки

2. Факторы аутентификации: что вы знаете, что у вас есть, кто вы есть

3. Разница между 2FA и MFA: не просто «два» vs «много»

4. Почему SMS-коды — самый слабый второй фактор

5. Атака №1 — SIM-своп: угнать ваш номер за один звонок

6. Атака №2 — AiTM-фишинг: перехватить OTP в реальном времени

7. Атака №3 — MFA Fatigue: задолбать уведомлениями до согласия

8. Атака №4 — кража токена сессии: обойти MFA после входа

9. Атака №5 — Pixnapping и атаки на уровне устройства

10. Иерархия методов: от слабейшего к надёжнейшему

11. FIDO2, WebAuthn и passkeys: фишинг-устойчивая аутентификация

12. Аппаратные ключи безопасности: YubiKey и аналоги

13. Адаптивная MFA: контекстный анализ вместо раздражающих кодов

14. FAQ: 12 горячих вопросов об MFA и 2FA

15. Чек-лист: как защитить аккаунты прямо сейчас — от личных до корпоративных

16. Заключение


1. Введение: как аутентификация стала главной точкой атаки


Пока вы читаете эту статью, где-то в мире ежедневно фиксируется около 40 000 успешных атак типа AiTM — Adversary-in-the-Middle. Атак, которые обходят двухфакторную аутентификацию. Не взламывают её напрямую — а именно обходят, как обходят кассу через служебный вход.

История аутентификации выглядит как постоянная гонка: пользователи усиливают защиту, злоумышленники находят новый способ обойти её. Пароли оказались слабыми — появилась двухфакторная аутентификация (2FA). 2FA через SMS стала стандартом — оказалось, что SMS можно перехватить через SIM-своп и уязвимости SS7. TOTP-коды из приложений казались надёжнее — появились AiTM-прокси, которые перехватывают их в режиме реального времени. Push-уведомления стали удобнее — атакующие начали бомбардировать пользователей до тех пор, пока кто-нибудь не нажмёт «Подтвердить» из усталости.

Девять основных техник обхода MFA доминируют в ландшафте атак: MFA Fatigue (бомбардировка push-уведомлениями), AiTM-фишинг с перехватом токенов в реальном времени, кража токенов сессии, компрометация OAuth-токенов, SIM-своп, социальная инженерия в службах поддержки, эксплуатация устаревших протоколов.

Метод 2FA/MFAГод массового внедренияГод появления надёжных атакСтатус в 2026
SMS OTP2010–20152017 (SIM-своп, SS7)❌ Слабый
TOTP-приложения2012–20182020 (AiTM-прокси)⚠️ Средний
Push-уведомления2016–20202022 (MFA Fatigue)⚠️ Средний*
FIDO2/WebAuthn/Passkeys2019–2023Не взломан массово✅ Сильный
Аппаратный ключ (FIDO2)2014–2020Не взломан массово✅ Наиболее сильный

*Push с верификацией номера (number matching) — значительно надёжнее базового push.

> *💡 Статья написана для широкой аудитории — от обычных пользователей до системных администраторов. Технические детали объясняются без предположения специальных знаний.*


2. Факторы аутентификации: что вы знаете, что у вас есть, кто вы есть


Прежде чем разбирать атаки, установим терминологию. Все методы аутентификации делятся на три категории.

Три категории факторов


«То, что вы знаете» — Knowledge factors

Секретная информация в памяти: пароль, PIN-код, ответ на секретный вопрос. Главная уязвимость: информацию можно украсть (фишинг, кейлоггер), угадать (брутфорс) или получить через утечку базы данных.

«То, что у вас есть» — Possession factors

Физический объект или устройство: телефон (для SMS или push-уведомлений), TOTP-приложение (Google Authenticator, Яндекс Ключ), аппаратный ключ (YubiKey), карта с чипом. Уязвимость: телефон можно украсть, SIM — перевыпустить, TOTP-код — перехватить через прокси.

«То, кем вы являетесь» — Inherence factors

Биометрические данные: отпечаток пальца, распознавание лица, сетчатка глаза. Уязвимость: высококачественная биометрия трудна для имитации, но не невозможна. На потребительском уровне (Face ID, Touch ID) привязана к устройству — это само по себе является усилением possession-фактора.

Что такое однофакторная, двухфакторная и многофакторная аутентификация


SFA (Single-Factor Authentication) — один фактор. Чаще всего — пароль. Один украденный пароль = полный доступ.

2FA (Two-Factor Authentication) — ровно два фактора. Чаще всего: пароль + SMS-код. Формально двухфакторная — но оба фактора из разных категорий не всегда гарантированы.

MFA (Multi-Factor Authentication) — два или более факторов из как минимум двух разных категорий. Ключевое слово «разных»: пароль + контрольный вопрос — это два «знания», что не является настоящей MFA.




3. Разница между 2FA и MFA: не просто «два» vs «много»


На практике термины 2FA и MFA часто используются как синонимы — и это неточность, которая влечёт за собой реальные риски.

Где 2FA и MFA совпадают


Когда в системе используются пароль (знание) + SMS-код (владение) — это одновременно и 2FA, и MFA. Два фактора из двух разных категорий.

Где 2FA может оказаться слабее MFA


Проблема в том, что 2FA как термин не регламентирует качество второго фактора. Компания может заявить «у нас 2FA включена», имея в виду SMS-коды — и это технически правда. При этом SMS как второй фактор в 2026 году обходится десятком документированных способов.

MFA в корпоративном понимании (например, в NIST SP 800-63 или стандартах FIDO Alliance) подразумевает не просто «два шага», а сочетание надёжных факторов с учётом контекста: устройство, геолокация, поведение пользователя, временны́е паттерны.

Прогрессивная MFA: три уровня


text
Уровень 1 — Базовый (Better than nothing):

  Пароль + SMS OTP

  Риски: SIM-своп, SS7, AiTM-перехват

  Защищает от: автоматических брутфорс-атак, простого фишинга



Уровень 2 — Средний (Recommended minimum 2026):

  Пароль + TOTP (Google Authenticator, Яндекс Ключ)

  Или: пароль + push с number matching

  Риски: AiTM-прокси, продвинутый фишинг

  Защищает от: большинства автоматических атак



Уровень 3 — Сильный (Gold standard):

  FIDO2/Passkey (привязан к устройству и домену)

  Или: аппаратный ключ YubiKey/аналог

  Риски: физическая кража устройства

  Защищает от: почти всех сетевых атак включая AiTM


> 🔴 Главный вывод раздела: важен не только факт наличия второго фактора, но и его тип. «У нас 2FA» — ничего не говорит о реальном уровне защиты.




4. Почему SMS-коды — самый слабый второй фактор


SMS OTP и email OTP легче всего скомпрометировать из-за рисков SIM-свопа, уязвимостей SS7 и перехвата. Тем не менее SMS остаётся самым распространённым вторым фактором — потому что он прост в реализации и не требует от пользователя ничего, кроме наличия телефона.

Почему SMS-аутентификация принципиально слабее приложений


Проблема 1: SMS — публичный канал. Сообщения передаются через инфраструктуру мобильных операторов по протоколу SS7, разработанному в 1975 году без расчёта на современные угрозы. Перехват SMS через уязвимости SS7 задокументирован и воспроизводим.

Проблема 2: Номер телефона можно переоформить. SIM-своп — социальная инженерия в службе поддержки оператора. После успешного свопа все SMS, предназначенные жертве, приходят атакующему.

Проблема 3: SMS-код можно перехватить в реальном времени. AiTM-прокси — сайт-посредник, который одновременно запрашивает ваш пароль и SMS-код, немедленно передаёт их настоящему сайту и получает авторизованную сессию. Всё это происходит за секунды — быстрее, чем вы успеете заподозрить неладное.

Проблема 4: Вредоносные приложения перехватывают SMS. Вредоносное ПО с разрешением READ_SMS на Android перехватывает OTP-коды без какого-либо взаимодействия с пользователем.

Когда SMS ещё оправдан


SMS OTP является наиболее слабым методом 2FA. Следует перевести пользователей на TOTP, push с верификацией номера или passkeys. SMS должен использоваться только как резервный, а не основной фактор.

Это не означает, что SMS-2FA бесполезна. SMS защищает от автоматических атак с перебором паролей и массового фишинга без AiTM-компонента. Это «лучше, чем ничего» — особенно для некритичных аккаунтов. Но для почты, банкинга, рабочих аккаунтов SMS-фактор недостаточен.




5. Атака №1 — SIM-своп: угнать ваш номер за один звонок


Самая известная угроза для SMS — SIM-своп, или подмена SIM-карты. Что нужно для этого атакующему? Обычный телефон и техническая поддержка мобильного оператора. Через социальную инженерию или манипуляции с оператором, атакующий может перенести номер на свою SIM-карту.

Как работает SIM-своп шаг за шагом


1
. Разведка

   Атакующий собирает данные о жертве: ФИО, дата рождения, 

   адрес, последние четыре цифры счёта — из утечек, соцсетей,

   фишинговых форм.



2. Звонок оператору

   Представляется жертвой. Сообщает: «Потерял телефон, 

   хочу перенести номер на новую SIM».

   Отвечает на контрольные вопросы, используя собранные данные.



3. Оператор переносит номер

   Через 15–30 минут номер жертвы активен на SIM атакующего.

   Телефон жертвы теряет сигнал — она замечает, но часто

   думает о сбое связи.



4. Доступ к аккаунтам

   Атакующий запрашивает сброс паролей через «Забыл пароль»

   на нужных сервисах. SMS с кодом приходит ему.

   Через 10–15 минут все аккаунты жертвы скомпрометированы.


Реальные последствия SIM-своп


SIM-своп используется не только для взлома личных аккаунтов. Криптобиржи стали основной мишенью: злоумышленники за один вечер выводят сотни тысяч долларов, пока жертва не понимает, что происходит.

Как защититься от SIM-своп


text
✓ Поставить PIN-код на SIM-карту (у оператора в личном кабинете)

✓ Запросить у оператора «блокировку переноса номера» 

  (не все операторы предоставляют, но стоит спросить)

✓ Не использовать SMS как второй фактор для критичных аккаунтов

✓ Использовать отдельный номер только для 2FA, не публичный

✓ Настроить уведомления о SIM-своп у оператора, если есть





6. Атака №2 — AiTM-фишинг: перехватить OTP в реальном времени


AiTM-атаки выросли на 146% за прошлый год, ежедневно фиксируется около 40 000 инцидентов. Ожидается, что более 90% атак с компрометацией учётных данных к концу 2026 года будут использовать сложные автоматизированные фишинговые наборы.

Как работает AiTM-атака


Классический фишинг просит вас ввести пароль на поддельном сайте. AiTM идёт дальше: поддельный сайт работает как прокси между вами и настоящим.

text
Что видит пользователь:

  Получил письмо с «уведомлением» → нажал на ссылку →

  открылась страница входа, выглядящая идентично настоящей →

  ввёл логин и пароль → пришёл SMS-код → ввёл код →

  «успешно вошёл» → переадресован на настоящий сайт.

  Всё выглядело нормально.



Что произошло за кулисами:

  Поддельный сайт (прокси) получил логин и пароль →

  немедленно передал их настоящему сайту от вашего имени →

  настоящий сайт запросил SMS-код →

  прокси показал вам страницу с запросом кода →

  вы ввели код → прокси передал его настоящему сайту →

  настоящий сайт выдал авторизованную сессию.

  

  Итог: атакующий получил session cookie вашей авторизованной 

  сессии. Он может использовать его без знания вашего пароля 

  и без повторного прохождения 2FA.


Жертва видит полностью нормальный процесс: открывает то, что выглядит как страница входа компании, вводит учётные данные, проходит MFA через приложение-аутентификатор или push-уведомление и успешно получает доступ к своему аккаунту. За кулисами прокси атакующего перехватил cookie сессии, подтверждающий аутентификацию, что позволяет атакующему получить доступ к аккаунту с его собственной инфраструктуры без дополнительных MFA-запросов.

Промышленная автоматизация AiTM-атак


В 2025 году было зафиксировано более миллиона фишинговых атак через «фишинг как сервис». При этом 89% инцидентов связаны с набором для фишинга Tycoon 2FA, а EvilProxy и Sneaky 2FA заняли лишь 8 и 3% рынка соответственно. Эти наборы содержат готовые шаблоны под известные бренды, прокси для перехвата кодов и даже ботов в Telegram.

Атакующий может арендовать готовую AiTM-платформу за несколько сотен долларов в месяц — технических знаний не требуется.

Почему AiTM не работает против FIDO2/Passkeys


OTP-2FA часто не справляется с реальными фишинговыми прокси, тогда как устойчивые к фишингу факторы — passkeys и FIDO2/WebAuthn — блокируют эти векторы атаки по принципу своей работы.

FIDO2-ключ или passkey при аутентификации проверяет домен сайта криптографически. Если вы входите на `bank.ru`, ключ подписывает именно `bank.ru`. Прокси на `bank-login.ru` получит подпись для другого домена, которая не пройдёт проверку. Атака рушится архитектурно, а не за счёт бдительности пользователя.




7. Атака №3 — MFA Fatigue: задолбать уведомлениями до согласия


Атакующие бомбардируют пользователей бесконечными push-уведомлениями до тех пор, пока те не одобряют одно из них из-за раздражения или замешательства.

Сценарий атаки MFA Fatigue


Атакующий уже получил ваш пароль — из утечки, фишинга или брутфорса. Он знает ваш логин и пароль, но не может войти без второго фактора. Вместо того чтобы взламывать второй фактор, он давит на психологию.

21
:15 — Push-уведомление на телефоне: «Подтвердите вход»

        Вы не нажимаете ничего. Откуда это?



21:16 — Ещё одно уведомление.



21:17 — Ещё одно.



21:20 — Серия из четырёх за пять минут.



22:00 — Вы ложитесь спать, уведомления продолжаются.



22:45 — Вы просыпаетесь от них, нажимаете «Нет»

        не там, где нужно, или нажимаете «Да» просто 

        чтобы они прекратились.



22:45:01 — Атакующий вошёл в ваш аккаунт.


Реальные примеры MFA Fatigue


MFA Fatigue применялся в подтверждённых кибератаках на Cisco и Microsoft. В случае с Cisco атакующий после многочасовой бомбардировки позвонил сотруднику по телефону, представившись службой поддержки, и убедил его нажать «Подтвердить».

Как защититься от MFA Fatigue


Number Matching. Пользователь должен ввести в приложение код, отображаемый на экране входа. Атакующий не видит этот код — он видит только свою версию экрана. Простое и эффективное решение.

Дополнительный контекст. Приложение показывает: местоположение входа, тип устройства, время. Несоответствие контекста сразу заметно.

Ограничение попыток. После N отклонённых push-уведомлений аккаунт временно блокируется с уведомлением службы безопасности.

Переход на FIDO2. Phishing-resistant MFA не использует push-уведомления — проблема исчезает архитектурно.




8. Атака №4 — кража токена сессии: обойти MFA после входа


Это атака, которую часто упускают из виду, обсуждая MFA. Суть: зачем обходить MFA при входе, если можно украсть доказательство уже завершённой аутентификации?

Кража токенов составила 31% взломов Microsoft 365 в 2025 году, став основным вектором атаки, превзойдя традиционную компрометацию учётных данных. Украденные токены являются действительными токенами, которые обходят SSO, MFA и политики условного доступа.

Что такое токен сессии


Когда вы успешно входите в сервис (включая прохождение MFA), сервис выдаёт вашему браузеру cookie сессии или OAuth-токен. Это цифровой аналог временного пропуска: «Этот браузер прошёл проверку, пропустите без повторной аутентификации».

Если атакующий похищает этот cookie — он входит в ваш аккаунт без знания пароля и без прохождения MFA. Сессия выглядит легитимной, потому что технически она и есть легитимная.

Как крадут токены


text
Метод 1: AiTM-прокси (см. раздел 6)

  Прокси перехватывает cookie сразу после успешного входа



Метод 2: Вредоносное ПО

  Infostealers (Redline, Lumma) извлекают cookies из браузера



Метод 3: Компрометация третьей стороны

  OAuth-токен интеграции между сервисами


Крупнейшая SaaS-утечка 2025 года началась со скомпрометированного стороннего приложения. Атакующие использовали OAuth-токены Salesloft-Drift, которые предоставили им доступ к сотням зависимых сред. Исследователи Obsidian обнаружили, что радиус поражения этой атаки на цепочку поставок был в 10 раз больше, чем при предыдущих инцидентах.

Защита от кражи токенов


text
✓ Короткое время жизни токенов — вынуждает повторную 

  аутентификацию чаще

✓ Привязка токена к устройству (device binding) — 

  украденный токен не работает с другого устройства

✓ Continuous Access Evaluation (CAE) — немедленный 

  отзыв токена при подозрительной активности

✓ Мониторинг аномалий — вход с нового IP/устройства 

  = повторная MFA-проверка

✓ Регулярный аудит OAuth-разрешений — отзыв лишних интеграций





9. Атака №5 — Pixnapping и атаки на уровне устройства


В 2025 году исследователи показали новый вариант атаки: вредоносное приложение без особых разрешений читает пиксели, измеряя время рендеринга кадров. Эта методика, названная Pixnapping, позволяет приложению восстанавливать содержимое экрана — например, 2FA‑коды из Google Authenticator — за счёт анализа временных колебаний в работе GPU. Атака реализуется через вызовы Android Intents и наложение полупрозрачных окон; она не требует рута и работает на устройствах Google Pixel 6–9 и Samsung S25.

Что это означает практически


Pixnapping показывает фундаментальную проблему: атаки сместились с сетевого уровня (перехват трафика) на уровень самого устройства. Даже если ваш TOTP-код генерируется в изолированном приложении без сетевого доступа — вредоносное ПО на том же устройстве может его прочитать.

Это не означает, что TOTP бесполезен. Pixnapping требует установки вредоносного приложения — что само по себе защищается не-техническими мерами (не устанавливать приложения из непроверенных источников). Но это напоминание: безопасность устройства является предпосылкой безопасности аутентификации на нём.

Другие атаки на уровне устройства


text
Инфостилеры (Redline, Lumma, Vidar):

  Извлекают пароли, cookies и TOTP-секреты из браузера 

  и приложений. Работают автоматически после заражения.



SS7 / перехват на уровне оператора:

  Используется государственными акторами и продвинутыми 

  криминальными группами. Перехватывает SMS независимо 

  от настроек пользователя.



Клонирование SIM/eSIM:

  Физический доступ или компрометация внутренних систем 

  оператора. Редко, но не невозможно.





10. Иерархия методов: от слабейшего к надёжнейшему


Теперь, когда понятны основные векторы атак, систематизируем методы по убыванию уязвимости.

Уровень 1 (слабый) — SMS OTP и email OTP


Уязвимости: SIM-своп, SS7-перехват, AiTM-фишинг, инфостилер на устройстве.
Когда применять: только как резервный метод восстановления, не как основной фактор.
Вывод: лучше, чем только пароль, но недостаточно для критичных аккаунтов.

Уровень 2 (средний) — TOTP-приложения


Google Authenticator, Microsoft Authenticator, Яндекс Ключ, Authy.
Уязвимости: AiTM-фишинг (код перехватывается в реальном времени), Pixnapping, инфостилер.
Когда применять: для большинства обычных аккаунтов — хорошая защита. Не достаточно для высокопривилегированных корпоративных систем.
Преимущество перед SMS: не зависит от телефонной сети, не уязвим к SIM-своп.

Уровень 3 (средний+) — Push-уведомления с number matching


Microsoft Authenticator, Okta Verify, Duo.
Уязвимости: MFA Fatigue (без number matching), компрометация устройства.
Когда применять: корпоративные системы. С number matching значительно надёжнее базового push.
Ключевое требование: number matching должен быть включён обязательно.

Уровень 4 (сильный) — FIDO2/WebAuthn/Passkeys


Биометрия на устройстве, привязанная к доменному ключу.
Уязвимости: физическая компрометация устройства; если устройство утеряно — нужен резервный метод.
Когда применять: всё, что важно — основная почта, рабочие аккаунты, финансы.
Против AiTM: иммунитет по архитектуре (ключ привязан к конкретному домену).

Уровень 5 (наиболее сильный) — Аппаратный ключ FIDO2


YubiKey, Google Titan Key, Feitian.
Уязвимости: физическая кража ключа (но без PIN он бесполезен).
Когда применять: высокопривилегированные аккаунты, администраторские учётные записи, финансовые директора, CEO.
Отличие от passkey: аппаратный ключ физически невозможно скопировать. Passkey на телефоне можно скомпрометировать через взлом телефона.

МетодSIM-свопAiTM-фишингMFA FatigueКража токенаУстройство заражено
SMS OTP❌ Уязвим❌ Уязвим❌ Уязвим❌ Уязвим
TOTP-приложение✅ Защищён❌ Уязвим❌ Уязвим⚠️ Частично
Push без NM⚠️ Частично❌ Уязвим❌ Уязвим⚠️ Частично
Push + NM⚠️ Частично✅ Защищён❌ Уязвим⚠️ Частично
Passkey/FIDO2✅ Защищён⚠️ Частично⚠️ Частично
Аппаратный ключ✅ Защищён✅ Защищён✅ Защищён

11. FIDO2, WebAuthn и passkeys: фишинг-устойчивая аутентификация


FIDO2 — это стандарт консорциума FIDO Alliance, определяющий криптографическую аутентификацию без паролей и OTP-кодов.

Как работает FIDO2 технически (простым языком)


При регистрации ваше устройство генерирует пару ключей: приватный (остаётся на устройстве, никогда его не покидает) и публичный (передаётся на сервис).

При входе сервис отправляет случайный запрос (challenge). Устройство подписывает его приватным ключом. Сервис проверяет подпись публичным ключом. Всё — вы аутентифицированы.

text
Почему это неуязвимо к AiTM:



При подписи challenge устройство также подписывает домен.

Для bank.ru challenge подписывается с привязкой к "bank.ru".

Прокси на fake-bank.ru получит подпись для "fake-bank.ru".

Настоящий bank.ru не примет подпись с другим доменом.

Атака рушится математически.


Passkeys: FIDO2 для массового пользователя


Passkey — это реализация FIDO2, встроенная в операционные системы (iOS, Android, Windows, macOS). Когда вы входите через «вход с Face ID» или «вход с отпечатком» — это passkey под капотом.

Преимущества passkeys перед паролями:
- Нет пароля — нечего украсть, угадать или ввести на фишинговом сайте
- Привязан к домену — AiTM невозможен
- Биометрия только локальная — биометрические данные не передаются на сервер

Ограничение passkeys: passkey синхронизируется через облако Apple/Google/Microsoft. Теоретически компрометация облачного аккаунта даёт доступ к passkey. Для критичных сценариев аппаратный ключ надёжнее.

Где уже можно использовать passkeys в России


text
Работает с passkeys:

  Google-аккаунты

  Microsoft-аккаунты

  Apple ID

  GitHub

  Яндекс ID (поддержка FIDO2)

  ВКонтакте (поддержка ключей безопасности)

  Большинство современных корпоративных SSO-решений





12. Аппаратные ключи безопасности: YubiKey и аналоги


Аппаратный ключ — физическое USB/NFC-устройство, хранящее криптографические ключи в защищённом чипе. Приватный ключ физически не может покинуть устройство: никакое программное обеспечение не получит к нему доступ.

Как использовать YubiKey


text
Регистрация:

  1. Вставить YubiKey в USB или поднести к NFC

  2. Нажать кнопку на ключе (физическое подтверждение)

  3. Публичный ключ регистрируется в сервисе



Вход:

  1. Ввести логин (пароль опционален при passkey-режиме)

  2. Вставить/поднести YubiKey

  3. Нажать кнопку

  4. Вход выполнен — без ввода кодов


Что умеет YubiKey 5 Series (актуальная линейка):
- FIDO2/WebAuthn — основной режим для современных сервисов
- TOTP — замена Google Authenticator (без экрана, код генерируется через приложение)
- PIV (смарт-карта) — корпоративные VPN и PKI
- OpenPGP — подпись и шифрование писем и файлов
- OTP (Yubico OTP / HOTP) — совместимость со старыми системами

Российские аналоги и доступность


YubiKey доступен в России через параллельный импорт и специализированные магазины. Стоимость — от 4 000 до 12 000 ₽ в зависимости от модели.

Российские аналоги: Рутокен (АЛАДДИН Р.Д.) — аппаратный FIDO2-ключ с российской сертификацией, широко используется в корпоративном секторе. JaCarta — аналогичное решение от InfoWatch.

Кому нужен аппаратный ключ


text
Обязательно:

  Системные администраторы с привилегированным доступом

  Финансовые директора и бухгалтеры

  Топ-менеджмент с доступом к чувствительным системам

  Разработчики с доступом к production-среде



Рекомендуется:

  Все, кто работает с корпоративными данными

  Любой, кто хочет максимальную защиту личных аккаунтов



Практично для обычного пользователя:

  Один ключ для основной почты, GitHub и банков — 

  достаточно для защиты «корневых» аккаунтов





13. Адаптивная MFA: контекстный анализ вместо раздражающих кодов


Адаптивная MFA оценивает контекст входа прежде чем запрашивать 2FA. Результат: входы с низким риском пропускают MFA. Высокорисковые входы получают усиленную проверку. Это убирает лишние запросы при сохранении безопасности.

Как работает адаптивная MFA


Система оценивает каждую попытку входа по набору сигналов и рассчитывает «риск-скор»:

text
Сигналы низкого риска (MFA не запрашивается или упрощается):

  ✓ Знакомое устройство (использовалось раньше)

  ✓ Знакомая геолокация (обычное место работы)

  ✓ Обычное время (рабочие часы)

  ✓ Нормальный поведенческий паттерн



Сигналы высокого риска (требуется усиленная MFA):

  ⚠️ Новое устройство или браузер

  ⚠️ Вход из нового города или страны

  ⚠️ Вход в 3 часа ночи при обычном 9-18

  ⚠️ Быстрые попытки входа (признак автоматизации)

  ⚠️ Совпадение IP с базой Tor/VPN/прокси

  ⚠️ Несоответствие User-Agent истории


Адаптивная MFA в корпоративных системах


В корпоративном контексте адаптивная MFA реализуется через Conditional Access (Microsoft Entra ID, Okta, Sailpoint). Основные политики:

text
Пример политик Conditional Access:

  - Вход с корпоративного устройства в офисе → MFA не требуется

  - Вход с личного устройства → TOTP или push с NM

  - Вход из-за рубежа → усиленная MFA + уведомление безопасности

  - Доступ к финансовым системам → всегда аппаратный ключ

  - Попытки входа после нескольких неудачных → блокировка + алерт


Адаптивная MFA оценивает устройство, IP, поведение, геолокацию и аномалии для блокировки подозрительных входов до того, как они достигнут шага MFA. Это сокращает атаки усталости, попытки ботов и AiTM-потоки.




14. FAQ: 12 горячих вопросов об MFA и 2FA


Q 01 2FA включена — значит я в безопасности?
A Зависит от типа второго фактора. SMS-2FA защищает от автоматических атак с перебором паролей, но не защищает от SIM-своп и AiTM-фишинга. TOTP-2FA лучше SMS, но уязвима к AiTM. FIDO2/Passkey защищает от всех сетевых атак. «Включена 2FA» — не ответ на вопрос о безопасности. Важен тип фактора.

Q 02 Получаю push-уведомления о входе, которых не запрашивал — что делать?
A Немедленно: не нажимать «Подтвердить» ни при каких обстоятельствах. Это активная атака MFA Fatigue или попытка несанкционированного входа. Действия: сменить пароль от аккаунта, проверить активные сессии и завершить все, включить более сильный второй фактор (FIDO2 вместо push), уведомить службу безопасности (если корпоративный аккаунт).

Q 03 Стоит ли использовать один TOTP-приложение для всего или разные?
A Принципиально важнее другое: бэкап. Если используете Google Authenticator без экспорта и потеряете телефон — потеряете доступ ко всем аккаунтам. Рекомендации: хранить резервные коды восстановления offline (распечатать или в зашифрованном файле), Authy и Microsoft Authenticator поддерживают облачное резервирование (удобно, но менее безопасно), для критичных аккаунтов — зарегистрировать два ключа/устройства.

Q 04 Passkey синхронизируются через iCloud/Google — это безопасно?
A Это компромисс. Синхронизация passkeys через облако удобна и защищает от потери доступа при смене устройства. Теоретический риск: взлом самого облачного аккаунта. На практике: облачный аккаунт защищён своей MFA, и атака на него требует отдельных усилий. Для высококритичных сценариев — аппаратный ключ без синхронизации надёжнее.

Q 05 Нужен ли аппаратный ключ обычному человеку?
A Один ключ для «корневых» аккаунтов (основная почта, от которой восстанавливается всё остальное) — разумная инвестиция. Стоимость YubiKey (~4 000–8 000 ₽) сопоставима с ущербом от взлома основного email. Для большинства личных аккаунтов достаточно passkey на телефоне.

Q 06 Что лучше — Google Authenticator или Microsoft Authenticator?
A Microsoft Authenticator поддерживает push с number matching и имеет встроенный менеджер passkeys. Google Authenticator в 2023 году добавил синхронизацию с аккаунтом Google. Оба лучше SMS. Для пользователей Microsoft 365 — Microsoft Authenticator предпочтительнее из-за интеграции с Conditional Access.

Q 07 Можно ли взломать FIDO2/passkey?
A Массовых задокументированных атак на FIDO2 в полевых условиях не зафиксировано. Теоретические векторы: физическая кража и эксплуатация устройства при разблокированном экране, уязвимость в реализации конкретного устройства (крайне редко), социальная инженерия пользователя для регистрации ключа атакующего в аккаунте. Ни один из них не является сетевой атакой — требуется физический доступ или прямое взаимодействие с жертвой.

Q 08 Как MFA соотносится с zero-trust архитектурой?
A MFA — необходимый, но не достаточный элемент zero-trust. Zero-trust предполагает: верификацию каждого запроса (не только при входе), привязку доступа к устройству и контексту, минимальные привилегии, непрерывный мониторинг. MFA закрывает вопрос «кто входит», zero-trust закрывает «что ему разрешено делать после входа».

Q 09 Сотрудник уволился — нужно ли отзывать MFA?
A Отзыв MFA — часть offboarding-процесса, но недостаточная. Необходимо: отозвать все активные токены сессий (не только сбросить пароль), удалить или деактивировать TOTP/FIDO2-устройства, отозвать все OAuth-интеграции, которые сотрудник мог выдать, провести аудит действий за последний период. Особенно критично для привилегированных аккаунтов.

Q 10 Что делать, если потерял телефон с TOTP?
A Если были сохранены резервные коды восстановления (должны быть — они даются при настройке) — использовать их. Если нет — обращаться в службу поддержки сервиса с подтверждением личности. Именно поэтому резервные коды нужно хранить в надёжном месте (зашифрованный файл, физически на бумаге) — до того, как случится потеря телефона.

Q 11 Корпоративная политика запрещает личные телефоны для MFA — что делать?
A Это правильная политика безопасности. Альтернативы: аппаратный ключ (YubiKey, Рутокен) — не зависит от телефона, выданный корпоративный телефон с Authenticator, Windows Hello for Business — аутентификация через биометрию корпоративного ноутбука.

Q 12 Насколько сложно внедрить MFA уровня FIDO2 в небольшой компании?
A Значительно проще, чем кажется. Для небольших команд (до 50 человек): Microsoft 365 Business Premium или Google Workspace включают FIDO2 и Conditional Access из коробки. Настройка на уровне «включить FIDO2 и потребовать его от администраторов» занимает один рабочий день. Стоимость аппаратных ключей для критичных позиций (~5–10 человек) — разовая инвестиция 50 000–100 000 ₽, которая окупается предотвращением одного инцидента.




15. Чек-лист: как защитить аккаунты прямо сейчас — от личных до корпоративных


Для обычного пользователя (20 минут)


Приоритет 1: Основная почта — корень всего
- ☐ Перейти с SMS на TOTP-приложение (Google/Microsoft/Яндекс Authenticator)
- ☐ Если доступно — включить passkey (вход через биометрию телефона)
- ☐ Сохранить резервные коды восстановления в надёжном месте
- ☐ Проверить, какие сервисы восстанавливаются через эту почту — они все так же важны

Приоритет 2: Финансы и банки
- ☐ Перейти с SMS на TOTP, если банк поддерживает
- ☐ Включить уведомления о каждом входе
- ☐ Проверить настройки SIM-карты у оператора (PIN на SIM)

Приоритет 3: Соцсети и мессенджеры
- ☐ ВКонтакте, Telegram — включить 2FA минимум через TOTP
- ☐ Telegram: включить двухэтапную проверку (пароль) — это защита от перехвата SMS при авторизации

Общее:
- ☐ Не использовать SMS как единственный второй фактор для важных аккаунтов
- ☐ Проверить список авторизованных устройств и удалить неизвестные

Для системного администратора (рабочий день)


Инвентаризация:
- ☐ Выписать все системы с аутентификацией в организации
- ☐ Для каждой: какой MFA используется сейчас, что поддерживается технически
- ☐ Выявить системы без MFA (они есть почти всегда)

Приоритизация:
- ☐ Привилегированные аккаунты (Domain Admin, root) → аппаратный ключ
- ☐ Рабочие аккаунты сотрудников → минимум TOTP, цель — FIDO2
- ☐ Корпоративная почта → push с number matching или passkey
- ☐ Отключить SMS как основной фактор везде, где есть замена

Технические меры:
- ☐ Включить number matching для push-уведомлений (Microsoft / Okta)
- ☐ Настроить Conditional Access: блокировка с неуправляемых устройств
- ☐ Ограничить Legacy Authentication (SMTP AUTH, IMAP без MFA)
- ☐ Настроить алерты на подозрительные MFA-события
- ☐ Провести аудит OAuth-интеграций третьих сторон

Процессы:
- ☐ Включить MFA-требования в политику паролей
- ☐ Добавить обязательный offboarding: отзыв сессий и MFA-устройств
- ☐ Провести тренинг для сотрудников по MFA Fatigue (не нажимать неожиданные push)




16. Заключение


MFA в 2026 году — это не просто «включить второй фактор». Это выбор правильного типа фактора под конкретный уровень угрозы. SMS-коды существуют уже второе десятилетие и уже второе десятилетие взламываются. TOTP-приложения на шаг впереди SMS, но AiTM-прокси обходят их в реальном времени. Единственные методы с архитектурным иммунитетом к сетевым атакам — FIDO2, passkeys и аппаратные ключи.

Практический маршрут для тех, кто хочет реально защититься, а не просто поставить галочку. Первое — перевести основную почту на passkey или TOTP прямо сейчас, это занимает 10 минут. Второе — поставить PIN на SIM-карту у оператора, это занимает 5 минут. Третье — для критичных рабочих аккаунтов рассмотреть аппаратный ключ — один раз и навсегда.

«Убить пароль» — правильное направление, но на практике большинство людей будут в гибридном состоянии ещё годы. Более точная формулировка: переведите критичные аккаунты на фишинг-устойчивую MFA или passkeys в первую очередь, затем расширяйте покрытие.

> 🔐 Идеальная MFA — та, которую вы действительно используете. Хорошая MFA с реальной защитой лучше, чем идеальная MFA на бумаге.