«В ближайшие годы MFA станет нормой в большинстве рабочих и личных цифровых сервисов», — директор по продуктам «Рутокен» компании «Актив»

Почему обычный пароль больше не работает

Из-за увеличения количества утечек парольных баз данных, фишинговых рассылок, вирусов на смартфонах и компьютерах взломать пароль в 2026 году стало проще, и, соответственно, именно однофакторный (основанный только на факторе знания) пароль становится самой слабой частью цифровой безопасности. Так, по данным российских и международных ИБ‑отчетов, значительная доля инцидентов по‑прежнему начинается с компрометации учетной записи пользователя. Для бизнеса это прямые финансовые и репутационные потери и простои, для государства — риск компрометации критических сервисов и реестров.​

Именно поэтому государство и крупные организации в России последовательно переводят критичные системы на многофакторную аутентификацию (MFA): от входа администраторов до доступа граждан к государственным услугам.

Российская альтернатива

На фоне ухода иностранных вендоров с российского рынка, отечественные компании за последние три года начали ускоренную эволюцию собственных MFA. Сейчас российские решения предлагают линейки продуктов, которые покрывают одновременно несколько уровней.

Многие продукты изначально делают так, чтобы они работали и со старыми системами компаний, и с новыми, которые приходят на смену иностранному ПО. Это значит, что их можно подключить и к привычной инфраструктуре на Windows, и к российским операционным системам и сервисам. Благодаря этому бизнес может внедрять многофакторную аутентификацию постепенно: сначала защитить доступ администраторов и самые чувствительные сервисы, а уже потом распространять такой подход на всех сотрудников.

Многогранность методов

Российские заказчики используют сразу несколько методов многофакторной аутентификации. Так, первым уровнем остаются классические одноразовые пароли (OTP), когда код приходит в приложение или на отдельный токен (небольшой электронный генератор кодов), по‑прежнему остаются «рабочей лошадкой», особенно в банках и страховых компаниях. Они понятны пользователям и имеют отработанные интеграции с существующими системами.

Следующий уровень – это специальные смарт‑карты и токены, которые одновременно служат и средством электронной подписи, и ключом для входа в рабочие системы и VPN. Это удобно для госорганов и крупных инфраструктурных компаний: сотруднику выдают один носитель, который закрывает и юридически значимые операции, и защищенный доступ.

Еще один эволюционный шаг – технологии FIDO2/WebAuthn и Passkey. Это современный, безопасный и удобный метод входа в аккаунты без пароля, основанный на стандартах Fast Identity Online (FIDO). Человек подтверждает вход с помощью токена, смартфона или биометрии для подтверждения личности, защищая от фишинга и атак. Секретные ключи, в этом случае, хранятся на одном из трех источников:

• Безопасный токен
• Защищенное хранилище внутри телефона
• Облачное хранилище.

Использование FIDO и Passkey сравнимо с удобством использования простых паролей, но существенно надежнее и защищеннее, особенно в случае использования специализированного защищенного токена. Для разработчиков и онлайн‑сервисов это способ повысить безопасность, не усложняя жизнь пользователям.

Многофакторная аутентификация уже в ваших девайсах

Большая часть популярных российских интернет-ресурсов и сервисов (74%) уже имеют беспарольную систему аутентификации из них 41% используют MFA.

Например, в этом году в Telegram заметно изменился способ входа в аккаунт. Из‑за ограничений соцсети в России, сервису пришлось уйти от регистрации только по SMS и добавить вход по e‑mail и другие варианты. Одновременно мессенджер усилил защиту: стала жестче двухэтапная проверка и контроль активных сессий, а само приложение все чаще просит обновиться, прежде чем дать доступ.

Важным сигналом рынку стало изменение авторизации на «Госуслугах». Государственный сервис окончательно перевел пользователей на двухфакторную аутентификацию: дополнительное подтверждение стало обязательным для всех учетных записей, а не только для новых регистраций и восстановлений. Минцифры РФ приняло решение постепенно отказываться от подтверждения входа на  «Госуслуги» через СМС из‑за растущих случаев мошенничества. Предлагаемые варианты второго фактора защиты: биометрия, сертификат усиленной квалифицированной электронной подписи (УКЭП) на токене, одноразовый код из специального OTP-приложения и код в мессенджере МАХ.

Почему рынок неизбежно развернется в сторону MFA

В ближайшие годы MFA станет нормой в большинстве рабочих и личных цифровых сервисов. Причин этому фактору несколько: первая – экономика атак. Стоимость взлома пароля сегодня минимальна, а стоимость успешного инцидента для бизнеса и государства может быть огромной. MFA радикально усложняет работу злоумышленнику: украденный пароль не дает ему мгновенного доступа, а необходимость обходить второй фактор повышает риск обнаружения.​

Вторая – цифровая зрелость пользователей. Массовый опыт взаимодействия с «Госуслугами», банковскими приложениями и сервисами уровня Telegram постепенно формирует у людей привычку к дополнительному подтверждению входа. Когда многофакторная аутентификация становится знакомым бытовым опытом, сопротивление ей снижается.

Третья – технологический прогресс. Современные решения позволяют сделать аутентификацию удобной: пуш‑подтверждение в приложении, аппаратный ключ, который достаточно приложить, или биометрия, встроенная в устройство. В результате безопасность становится частью пользовательского интерфейса.

Для российского рынка ИБ это окно возможностей. Сочетание регуляторного спроса, реальной потребности бизнеса и зрелости отечественных технологий создает условия, при которых MFA может стать новой «точкой стандарта» — такой же очевидной, как антивирус или шифрование трафика. Выиграют те компании, которые успеют встроить многофакторную аутентификацию в свои процессы сегодня, пока это дает конкурентное преимущество, а не только закрывает требования проверяющих.

Реклама. АО «Актив-софт», ИНН 7729361030, Erid:2VtzqxKgshp