MFA

10 декабря, 2025, 16:19

MFA (Multi-Factor Authentication, Многофакторная аутентификация) — это метод контроля доступа, при котором для подтверждения подлинности пользователя требуется предъявить два или более независимых доказательства (фактора) из разных категорий. MFA существенно повышает безопасность, усложняя злоумышленнику получение несанкционированного доступа, даже если один из факторов (например, пароль) скомпрометирован.

Возможности MFA:

  • Использование нескольких категорий факторов:
    Знание (Something you know): Пароль, PIN-код, ответ на секретный вопрос.
    Владение (Something you have): Смартфон с приложением-аутентификатором (Google Authenticator, Microsoft Authenticator), аппаратный токен (YubiKey), SMS/голосовой звонок с кодом, смарт-карта.
    Биометрия (Something you are): Отпечаток пальца, сканирование лица или радужной оболочки глаза, голос.
    Местоположение и поведение (Somewhere you are / Something you do): Геолокация, время доступа, паттерны набора текста (используется в адаптивных системах).
  • Адаптивная (рисковая) аутентификация: Оценка контекста входа (устройство, местоположение, сеть, время) для динамического запроса дополнительных факторов только при подозрительных обстоятельствах, что балансирует безопасность и удобство.
  • Широкий охват сценариев: Применяется для доступа к корпоративным сетям (VPN, рабочие станции), облачным сервисам (Microsoft 365, Google Workspace, AWS), банковским приложениям и критически важным бизнес-системам.

MFA является обязательным элементом современных стратегий IAM (Identity and Access Management) и архитектуры Zero Trust (Нулевого доверия). Несмотря на эффективность, MFA не является абсолютно неуязвимой. Существуют атаки, направленные на ее обход, такие как MFA Fatigue (многочисленные push-уведомления с расчетом на случайное подтверждение пользователем), фишинг с поддельными страницами для ввода кода (MFA-файшинг) или перехват SMS через атаки на SIM-карту (SIM-swapping). Поэтому для максимальной защиты рекомендуется использовать беспарольные методы (FIDO2/WebAuthn), такие как аппаратные ключи безопасности, которые наиболее устойчивы к фишингу.

Продолжение ниже

Боссы российского кибербеза

Упоминания