MFA снижает эффективность брутфорс-атак до 1%
По данным экспертов «Информзащиты», в организациях, где многофакторная аутентификация (MFA) не интегрирована в информационную инфраструктуру, успешными оказываются около 40% брутфорс-атак*, тогда как при использовании дополнительных факторов аутентификации - не более 1%. Разница объясняется тем, что даже при компрометации пароля злоумышленнику требуется преодолеть ещё один уровень защиты, связанный с дополнительной проверкой подлинности пользователя.
Специалисты «Информзащиты» указывают, что актуальность внедрения многофакторной аутентификации подтверждается стремительным ростом атак на пароли. За 9 месяцев 2025 года количество брутфорс-атак, направленных на получение доступа к ИТ-системам российских организаций, выросло почти втрое по сравнению с аналогичным периодом 2024 года. Эксперты «Информзащиты» отмечают, что брутфорс остаётся одним из наиболее распространённых инструментов атак: в более чем 90% случаев злоумышленники начинают с попытки подбора пароля, прежде чем переходят к использованию эксплойтов или социальной инженерии.
Злоумышленники выбирают брутфорс как быстрый и малозатратный способ первичного проникновения. Для этого они активно используют ботнеты, списки ранее утёкших паролей и словари с миллионами комбинаций. Современные инструменты автоматизируют процесс подбора, распределяя нагрузку по тысячам IP-адресов, что позволяет обходить элементарные блокировки и пороговые значения неудачных попыток входа. Особенно активно такие атаки направляются на промышленные предприятия, образовательные учреждения и медицинские организации, где инфраструктура часто устарела, а средства защиты внедряются точечно или отсутствуют вовсе. В этих средах редко применяются централизованные системы аутентификации, а политики паролей формируются вручную.
В «Информзащите» подчёркивают, что многофакторная аутентификация становится критически важным элементом защиты, особенно в условиях массового перехода на удалённый и гибридный форматы работы. Когда сотрудники подключаются к корпоративным ресурсам из разных сетей и устройств, поверхность атаки растёт, а традиционная парольная защита перестаёт быть надёжной. Одного скомпрометированного пароля достаточно, чтобы атакующий получил доступ к корпоративной почте, VPN или административным панелям. MFA устраняет этот риск, добавляя дополнительный шаг проверки — одноразовый код, биометрию, push-уведомление или аппаратный ключ.
* Брутфорс-атака — это метод кибератаки, при котором злоумышленник перебирает комбинации символов (пароли, ключи шифрования) до тех пор, пока не найдет правильную. Этот метод, называемый также атакой «грубой силы», используется для получения несанкционированного доступа к учетным записям, сайтам и шифрованной информации.
Читайте также
