Зачем вашему бизнесу двухфакторная аутентификация и где её пределы. Гид от «Нейроинформ»

Будем реалистами: надежность такой сущности, как пароль для входа в информационную систему, давно вызывает кучу вопросов. Легкомысленность пользователей, а также наличие на руках у хакеров действенных способов взломать компанию через подбор пары “логин+пароль” привели к тому, что существенная доля атак начинается с компрометации учетных данных.

Но так ли нужно отправлять пароли на свалку технологической истории? Конечно, нет. Сделать пароли снова великим и могучим способом защиты данных и приложений поможет многофакторная аутентификация (MFA/2FA). Она добавляет к паролю «второе доказательство», которое пользователь обязан предъявить, чтобы удостоверить систему безопасности: он действительно тот, за кого себя выдает.

Такой маневр действительно работает очень хорошо. Ведь не зря крупнейшие вендоры переводят пользователей на безпарольные сценарии и делают дополнительные факторы нормой по умолчанию.

В этом материале мы разберем, что такое 2FA простыми словами, как ее разворачивать без боли для бизнеса, где она действительно может защитить, а в каких случаях не спасает.

В двух словах. 2FA – это дополнительный «броневой слой» для парольных политик сферы кибербезопасности. Двухфакторка в нынешних условиях резко уменьшает вероятность взлома учеток, но не заменяет культуру осознанного поведения пользователей и архитектурные меры: грамотные права доступа, мониторинг, сегментацию и контроль аномалий.

Для начала давайте раз и навсегда разграничим понятия аутентификации и авторизации. Аутентификация отвечает на вопрос: «Кто ты такой?» Паролем с 2FA или без него пользователь подтверждает личность при входе в информационную систему. Авторизация же отвечает на вопрос: «Что мне здесь можно делать?» И тем самым определяет набор прав пользователя после входа.

Двухфакторая аутентификация усиливает именно вход. Она сильно усложняет попытки подделать вашу личность, но никак не влияет на то, какие действия разрешены внутри системы. Если у сотрудника чрезмерные права, многофакторка лишь гарантирует, что к этим правам получит доступ именно он. Самое убийственное комбо – наличие суперправ и отсутствие при этом двухфакторной аутентификации. Если к такой учетке получит доступ киберпреступник, у ИБ-специалистов не будет вообще никаких способов остановить вторжение. Риски для процессов, данных и общей киберустойчивости бизнеса можете прикинуть сами.

В двух словах. 2FA не помогает против «суперадминов», которые появились в процессе неконтролируемого развития ИТ. Она не сокращает избыточные роли и не заменяет политику минимально необходимых привилегий. Эти вопросы — отдельная управленческая повестка. Мы непременно обсудим вопросы ролей, их разграничения, а также регулярную ревизию доступов в рамках другой статьи. Так что подпишитесь на наш канал в Телеграме, чтобы не пропустить.

Пароль, если выражаться высокопарно, - это тайное знание. Как и любое знание, его можно подсмотреть, выманить или сформулировать самостоятельно (проще говоря – подобрать). Задача второго фактора – отвязать доступ в информационные системы от самого факта владения тайным знанием добавить для аутентификации некий уникальный атрибут, который есть только у вас. Скажем, это может быть физическое устройство (USB-ключ, смартфон с уникальным IMEI), биометрия (отпечаток пальца/лицо) или даже контекст (доверенное место/устройство).

Принцип простой: «обладаю тайным знанием» + «имею/являюсь/нахожусь». Если один элемент утек, отсутствие второго не дает атаке развиться.

Максимально наглядный пример. Допустим, у вас есть возможность хранить сбережения и документы на право собственности имуществом в банковской ячейке. И вот вы решаете продать автомобиль. Для этого вам нужно забрать из ячейки паспорт транспортного средства. Вы приходите в офис банка. Заведующий хранилищем просит вас предъявить паспорт. Когда личность установлена, сотрудник приглашает вас в помещение с ячейками. Вы подходите к сейфу, достаете из кармана ключ от ячейки и вставляете его в замочную скважину. Сотрудник банка делает то же самое, но со своей стороны. Вы с ним на счет «три» поворачиваете свои ключи. Только так сейф откроется.

Так же и со входом в корпоративный сервис. Если каким-то чудом злоумышленник умудряется выдать себя за вас и проникнуть в периметр компании (читай, в хранилище), то наложить лапу на ваши документы (данные, доступы к информационным системам) у него не получится – ключа, который нужно повернуть вместе с сотрудникам банка, у него нет.

В двух словах. Второй фактор — это не про усложнение жизни пользователю, а про разделение секретов. Если один секрет украсть, то второй всё равно держит дверь закрытой.

Мы плавно подходим к очередному принципиальному вопросу: а что вообще имеет смысл применить в качестве второго фактора? Вот наиболее распространенный список «вторых секретов», на которые обращают внимание организации, так или иначе рассматривающие внедрение 2FA для повышения кибербезопасности:

• SMS/входящий вызов. Самый понятный второй фактор, а поэтому наиболее распространенный на первоначальном этапе внедрения 2FA. Плюс — почти не требует обучения. Минусы — уязвимый канал: перехват SMS, подмена SIM, ошибки оператора. Это временный компромисс на старте, а не финальная конфигурация.
• Коды в приложении (TOTP). Классика: одноразовые коды в приложении-аутентификаторе на телефоне. Плюсы — надёжнее SMS, работает офлайн, низкая цена транзакции, повсеместное распространение – не надо никого переучивать. Минусы — нужна минимальная дисциплина пользователя (не терять, не «делиться» устройством). Хорошая базовая опция для большинства сотрудников.
• Push-подтверждение. Удобно: пришло уведомление — подтвердил вход одним тапом. Минусы — «пуш-бомбинг» (дожимают уведомлениями, пока человек не нажмёт «ОК») и привычка подтверждать не читая. Решается обучением и включением number-matching (пользователь сверяет код/цифры на экране и в пуше — случайно подтвердить сложнее).
• Второй фактор из мессенджера (например, Telegram). Как работает: бот генерирует одноразовый код или запрос «Подтвердить/Отклонить» (желательно с number-matching и контекстом: устройство/город/IP). Плюсы — низкий порог для пользователей, дешевле и надёжнее SMS по стабильности доставки, быстрый разворот. Минусы — не особо устойчиво к фишингу, возможна компрометация самого аккаунта мессенджера, достаточно условная привязка к конкретному устройству. Рекомендуется использовать как переходный/резервный канал для большого количества рядовых пользователей и низкорисковых операций.

В двух словах. Каждый из «вторых факторов» нельзя назвать идеальным. Все они со своими нюансами. И с каждым работает очевидное правило: чем проще в использовании и/или дешевле в реализации, тем больше вопросов к безопасности.

На протяжении целой статьи мы убеждали, что «бронирование» паролей с помощью 2FA – это гарантированный способ снова сделать комбинацию символов надежным барьером от посторонних притязаний на деньги, данные и приложения. Держитесь крепче: оказывается, пароли можно не усложнять; от них вообще можно отказаться.

Так работает «безпарольный» вход. В рамках такой процедуры личность подтверждается ключом, привязанным к устройству, и коротким местным жестом (палец, лицо, PIN на самом устройстве). Секрет нигде не вводится и никуда не передается — значит, его нельзя подсмотреть, украсть через клавиатурного шпиона или выманить фишингом. Нет паролей — нет атак на пароли.

Что получает бизнес? Во-первых, стойкость к фишингу и подбору паролей из слитых баз. Во-вторых, меньше обращений в сервис-деск («забыл пароль» уходит в прошлое). В-третьих, быстрее и удобнее для пользователя: открыл компьютер или смартфон — вошёл по отпечатку или по FaceID. Сценарий практически идеальный, так как в нем безопасность и UX не спорят, а усиливают друг друга.

Где подводные камни? Привязка к устройствам и экосистемам; неоднозначная совместимость со «старыми» приложениями; логистика «железа» (если используете аппаратные ключи) и управление парком устройств (требуется отдельный сервер, что тянет за собой затраты на администрирование). Плюс организационные вопросы: как восстановить доступ при потере девайса с токеном, насколько быстро получится передать утерянный аппаратный ключ в виде USB-брелока или NFC-метки, что делать со shared-машинами, как хранить и обрабатывать биометрию с учетом требований приватности. По сути, вы переносите издержки из «поддержки паролей» в управление устройствами и жизненным циклом аутентификации. Чем не повод крепко подумать на эту тему.

Движение к инфраструктуре без паролей – долгая история. Поэтому для начала уместно избрать некую гибридную схему. «Раскатывать» безпарольную аутентификацию лучше с привилегированных ролей (владелец бизнеса, члены совета директоров, админы с ключевыми доступами) и с основных бизнес-приложений (SSO, VPN, финансы, бизнес-критичные облачные сервисы). Для «наследия» и периферии — остаются пароли + 2FA, пока приложения не обновятся.

В двух словах. «Безпарольное» будущее — это путь, а не мгновенный прыжок. Двигайтесь туда, где ROI очевиден: критичные роли, основные приложения и внешние доступы. Остальное догонит по мере обновления системы и процессов.

2FA — сильный инструмент, но не волшебная таблетка. Вот где ожидания часто расходятся с реальностью:

• «2FA защищает от любого фишинга». Увы, нет. Прицельные прокси-атаки могут перехватывать сессию «на лету». Помогают некоторые технологические ухищрения и регулярное обучение сотрудников.
• «SMS достаточно». Нет. Канал уязвим для клонированных SIM-карт. SMS годится как временный мостик, но не как часть образа результата.
• «Включили и забыли». Так не работает. Нужны процедуры восстановления доступа, контроль исключений, ревизия доверенных устройств и токенов. Иначе безопасность быстро превращается в фикцию.
• «Для всех один сценарий». Тоже нет. Роли разные: линейным сотрудникам без доступа к критически важным данным и приложениям — простые факторы (TOTP/Push с number-matching), привилегированным – аппаратные токены и более строгие правила. Без них — никакой конфиденциальности.
• «2FA своим присутствием пофиксит избыточные права». Никогда. Задача 2FA – лучше следить за тем, кто входит, а не за тем, что он потом делает. Обладатели избыточных прав, несанкционированного («не по чину») доступа, «суперадмины» должны быть исследованы и при необходимости упразднены. Это отдельная управленческая работа в рамках корпоративных ИТ.

В двух словах. 2FA даёт эффект только как часть системы — с правильным выбором факторов, обучением и дисциплиной управления доступами.

2FA — недорогой, быстрый и по-настоящему действенный способ резко снизить риск взлома учетных записей. Это тот редкий случай, когда на каждый рубль инвестиций есть практически немедленный и весьма ощутимый эффект.

Вместе с тем, чтобы этот эффект увидеть и оценить, следует принять правильные решения еще на самом старте. Результат будет от сочетания трёх вещей:

• Правильный выбор факторов: как мы отмечали выше, каждая конкретная пользовательская роль почти всегда подразумевает свой фактор.
• Простое внедрение и обучение: чтобы люди понимали, что подтверждают, и не кликали «ОК» на автопилоте.
• Дисциплина доступов: принцип минимально необходимых прав и жёсткий offboarding в день увольнения, чтобы не повторялись инциденты, как в этом кейсе.

Безпарольное будущее реалистично, но это курс, а не прыжок: начинайте с критичных ролей и систем, остальное подтянется по мере готовности. А пока — «жить на 2FA» не просто можно, а нужно: это самый быстрый способ купить себе заметное снижение риска за разумные деньги.