MFA (Multi-Factor Authentication, Многофакторная аутентификация) — это метод контроля доступа, при котором для подтверждения подлинности пользователя требуется предъявить два или более независимых доказательства (фактора) из разных категорий. MFA существенно повышает безопасность, усложняя злоумышленнику получение несанкционированного доступа, даже если один из факторов (например, пароль) скомпрометирован.
Возможности MFA:
- Использование нескольких категорий факторов:
— Знание (Something you know): Пароль, PIN-код, ответ на секретный вопрос.
— Владение (Something you have): Смартфон с приложением-аутентификатором (Google Authenticator, Microsoft Authenticator), аппаратный токен (YubiKey), SMS/голосовой звонок с кодом, смарт-карта.
— Биометрия (Something you are): Отпечаток пальца, сканирование лица или радужной оболочки глаза, голос.
— Местоположение и поведение (Somewhere you are / Something you do): Геолокация, время доступа, паттерны набора текста (используется в адаптивных системах). - Адаптивная (рисковая) аутентификация: Оценка контекста входа (устройство, местоположение, сеть, время) для динамического запроса дополнительных факторов только при подозрительных обстоятельствах, что балансирует безопасность и удобство.
- Широкий охват сценариев: Применяется для доступа к корпоративным сетям (VPN, рабочие станции), облачным сервисам (Microsoft 365, Google Workspace, AWS), банковским приложениям и критически важным бизнес-системам.
MFA является обязательным элементом современных стратегий IAM (Identity and Access Management) и архитектуры Zero Trust (Нулевого доверия). Несмотря на эффективность, MFA не является абсолютно неуязвимой. Существуют атаки, направленные на ее обход, такие как MFA Fatigue (многочисленные push-уведомления с расчетом на случайное подтверждение пользователем), фишинг с поддельными страницами для ввода кода (MFA-файшинг) или перехват SMS через атаки на SIM-карту (SIM-swapping). Поэтому для максимальной защиты рекомендуется использовать беспарольные методы (FIDO2/WebAuthn), такие как аппаратные ключи безопасности, которые наиболее устойчивы к фишингу.
Упоминания
-
7 мая 2026
Импортозамещение 2.0: бизнес начал замещать российские ИБ-продукты, приобретенные в 2022 году
Почти четверть российских организаций (22%), которые с 2022 года реализовали проекты по импортозамещению иностранных ИБ-решений, к концу первого квартала 2026... -
6 мая 2026
Microsoft зафиксировала фишинговую кампанию на 35 000 пользователей в 26 странах с использованием AiTM
В период с 14 по 16 апреля 2026 года наблюдалась многоэтапная фишинговая кампания, нацеленная на кражу учётных данных с использованием... -
5 мая 2026
10 шагов внедрения Zero Trust. Карточки SecPost
Zero Trust часто воспринимают как набор технологий — MFA, сегментация, контроль устройств. На практике это не продукт и не «галочка»,... -
28 апреля 2026
7 ошибок в кибербезопасности, из-за которых компании теряют данные и деньги. Отчет SonicWall
О чем отчет и главный вывод Отчет фокусируется на малом и среднем бизнесе, который сталкивается с теми же угрозами, что... -
23 апреля 2026
Indeed PAM 3.4 получил интеграцию с MFA по OpenID Connect и поддержку Ansible
Российский разработчик «Индид» выпустил версию 3.4 системы Indeed Privileged Access Manager. Как сообщили SecPost в компании, новая версия добавила поддержку... -
23 апреля 2026
RED Security MFA расширил возможности по защите учетных записей
Компания RED Security сообщила редакции SecPost об обновлении сервиса многофакторной аутентификации RED Security MFA. Теперь сервис позволяет применять MFA на... -
22 апреля 2026
В сервисе ID от Контур.Эгиды появились групповые политики MFA и локальный кабинет
«Контур» обновила сервис многофакторной аутентификации ID от Контур.Эгиды, сообщили SecPost в компании. В новой версии появилась настройка способов подтверждения второго...
