MFA для предприятия: методы аутентификации и сценарии внедрения
Многофакторная аутентификация (MFA) добавляет к паролю второй независимый фактор — то, что у пользователя есть (телефон, аппаратный ключ) или чем он является (биометрия). Это закрывает большинство атак, основанных на краже или подборе пароля. Но не все методы MFA одинаково надёжны: SMS-коды защищают слабее, чем push-подтверждения, а аппаратные ключи FIDO2 устойчивы даже к фишингу. **Если коротко:** для предприятия выбор сводится к балансу «стойкость × удобство × стоимость» под конкретные группы пользователей. Привилегированным учётным записям нужны аппаратные ключи FIDO2, массовому персоналу — push с защитой от усталостных атак (MFA fatigue), а SMS стоит оставлять только как запасной канал. Ниже — методы, их сравнение по стойкости и удобству, сценарии внедрения и защита от усталостных атак. Сравнить поставщиков по подтверждённым сигналам можно в [рейтинге IAM/MFA](/rating/iam-idm-sso-mfa).
Доступы нужно проверять как отдельный контур риска
В IAM и MFA важны сценарии входа, роли, исключения и контроль того, кто получает доступ к критичным системам.
Рейтинги подрядчиков по теме исследования
Если после чтения нужен короткий список исполнителей, начните с профильных рейтингов cyber-index.ru: в них видны компании, кейсы, интервью, категории экспертизы и доверительный индекс.
Как проверять выводы исследования
Используйте материал как основу для shortlist: сопоставьте выводы с профилями компаний, связанными рейтингами, кейсами, интервью клиентов и источниками. Если в статье есть список источников, начинайте проверку с него; если источников мало, дополнительно запросите у подрядчика методику, baseline и примеры работ.
Авторы и проверка материала
У каждого исследования есть персональные авторы, профиль экспертизы, дата публикации, список источников и редакционная проверка выводов.
Авторы закреплены по теме исследования и опираются на практические разборы страниц, кейсов, источников и рыночных выборок.
В профиле автора указаны зона экспертизы, роль в редакции, регалии и темы, за которые он отвечает.
Материалы связаны с методологией cyber-index.ru, внутренними рейтингами, карточками компаний и источниками.
Позиции не продаются, выводы отделены от рекламы, а проверяемые утверждения поддержаны источниками и датами обновления.
Зачем предприятию MFA и от чего она защищает
Пароль — это один фактор, который легко украсть: через фишинг, утечку базы, перебор или повторное использование на скомпрометированном сайте. MFA требует второй независимый фактор, поэтому украденного пароля уже недостаточно для входа. Для предприятия это напрямую снижает риск компрометации учётных записей, бокового перемещения внутри сети и доступа к корпоративным сервисам через VPN, почту и облака.
Факторы делятся на три классические группы: **знание** (пароль, PIN), **владение** (телефон, аппаратный ключ, токен) и **неотъемлемость** (отпечаток, лицо). Настоящая многофакторность — это комбинация из разных групп. Два пароля или пароль плюс «секретный вопрос» многофакторностью не являются: оба фактора относятся к знанию и компрометируются одной фишинговой страницей.
Методы MFA: как они работают
- **TOTP (одноразовые коды по времени).** Приложение-аутентификатор генерирует 6-значный код, меняющийся каждые 30 секунд. Не требует связи, дёшев, но уязвим к фишингу в реальном времени: пользователь может ввести код на поддельной странице. - **Push-подтверждения.** На телефон приходит уведомление «Подтвердить вход?». Удобно и быстро, но без дополнительной защиты подвержено усталостным атакам (MFA fatigue). - **FIDO2 / аппаратные ключи (WebAuthn).** Физический ключ или встроенный аутентификатор использует криптографию с привязкой к домену. Устойчив к фишингу: ключ просто не отработает на поддельном сайте. Самый стойкий массовый метод. - **Биометрия.** Отпечаток или лицо как локальный фактор разблокировки. Удобна, но обычно работает в связке с устройством (как часть FIDO2/passkey), а не как самостоятельный сетевой фактор. - **SMS-коды.** Код приходит на номер телефона. Самый привычный, но и самый слабый метод: уязвим к перехвату через SIM-swap, подмену SS7 и социальную инженерию оператора.
Почему SMS слабее остальных: канал доставки не контролируется предприятием, номер можно перевыпустить на другую SIM-карту через оператора, а сам код — перехватить или выманить фишингом. SMS оправдан как запасной канал восстановления, но не как основной фактор для доступа к критичным системам.
Сравнение методов MFA: стойкость и удобство
| Метод | Стойкость | Устойчивость к фишингу | Удобство | Где уместен |
|---|---|---|---|---|
| SMS-коды | Низкая | Нет | Высокое | Запасной канал, неприоритетный доступ |
| TOTP (коды в приложении) | Средняя | Частичная | Среднее | Массовый персонал, подрядчики |
| Push-подтверждения | Средняя–высокая | Частичная (с number matching) | Высокое | Массовый персонал, BYOD |
| Биометрия (в составе passkey) | Высокая | Да | Высокое | Сотрудники с современными устройствами |
| FIDO2 / аппаратные ключи | Очень высокая | Да | Среднее | Привилегированные и админ-учётки |
Относительная стойкость методов MFA
Редакционная оценка устойчивости класса методов к типовым атакам (фишинг, перехват, подбор). Не вендорский бенчмарк.
Стойкость против удобства: как выбрать метод
Защита от усталостных атак (MFA fatigue)
Усталостная атака (MFA fatigue, prompt bombing) — это когда злоумышленник с украденным паролем раз за разом инициирует вход, заваливая жертву push-уведомлениями в надежде, что та случайно или от раздражения нажмёт «Подтвердить». Несколько громких взломов 2022–2023 годов начались именно так.
Что снижает риск на практике:
- **Number matching (сопоставление чисел).** Вместо простого «Да/Нет» пользователь вводит в приложении число, показанное на экране входа. Случайно подтвердить чужой вход уже нельзя. - **Контекст в уведомлении.** Показ геолокации, приложения и устройства входа помогает заметить аномалию. - **Лимит и троттлинг запросов.** Ограничение числа push-запросов и временные блокировки гасят «бомбардировку». - **Переход на фишинг-устойчивые методы.** FIDO2 и passkeys в принципе не подвержены усталостным атакам — подтверждать нечего. - **Анализ рисков (adaptive MFA).** Запрос фактора только при подозрительном контексте снижает усталость пользователя и частоту легитимных запросов.
Чек-лист внедрения MFA на предприятии
Сценарий внедрения MFA: 5 шагов
-
01
Аудит и приоритизация
Определите критичные системы и привилегированные учётки — с них начинается внедрение.
-
02
Выбор методов под группы
FIDO2 для админов, push с number matching для персонала, SMS — только резерв.
-
03
Интеграция через SSO/IdM
Подключите MFA к единой точке входа, чтобы покрыть сервисы централизованно.
-
04
Пилот и адаптивные политики
Обкатайте на группе, настройте оценку риска и сценарии восстановления.
-
05
Массовый запуск и контроль
Раскатайте поэтапно, мониторьте отказы и аномалии, отключайте слабые факторы.
Как мы оцениваем поставщиков
cyber-index.ru не продаёт места в рейтинге. Поставщики IAM/MFA сравниваются по проверяемым сигналам: подтверждённые внедрения и кейсы, отзывы и интервью клиентов, внешняя репутация, специализация, прозрачность и свежесть данных. Поэтому статью стоит читать в связке с [рейтингом IAM/MFA](/rating/iam-idm-sso-mfa): здесь — методы и критерии, там — сравнение конкретных компаний по подтверждённым фактам.
Следующий шаг
Определились с методами и сценарием — переходите к сравнению поставщиков: **[рейтинг IAM, IdM, SSO и MFA →](/rating/iam-idm-sso-mfa)**. Полезно прочитать рядом: [как выбрать IAM/IdM-систему](/research/kak-vybrat-iam-idm-sistemu), [российские аналоги Okta и Entra ID](/research/rossijskie-analogi-okta-entra-id) и [рейтинг систем управления доступом и SSO 2026](/research/rejting-iam-sso-sistem-2026).
Частые вопросы
Чем MFA отличается от двухфакторной аутентификации (2FA)?
2FA — это частный случай MFA ровно с двумя факторами. MFA — более общий термин: факторов может быть два и больше, из разных групп (знание, владение, неотъемлемость). На практике для предприятия термины часто используют как синонимы.
Почему SMS считается слабым методом MFA?
Канал доставки SMS не контролируется предприятием: номер можно перевыпустить на другую SIM-карту через оператора (SIM-swap), перехватить через уязвимости сигнализации SS7 или выманить код фишингом. Поэтому SMS уместен как запасной канал, но не как основной фактор для критичных систем.
Что такое MFA fatigue и как от неё защититься?
Это усталостная атака: злоумышленник с украденным паролем заваливает жертву push-запросами, рассчитывая на случайное подтверждение. Защищают number matching (ввод числа с экрана входа), контекст в уведомлении, лимиты запросов и переход на фишинг-устойчивые FIDO2/passkey.
Нужны ли аппаратные ключи всем сотрудникам?
Не обязательно. Аппаратные ключи FIDO2 в первую очередь оправданы для привилегированных и административных учётных записей. Массовому персоналу обычно достаточно push с number matching или passkey на их устройствах — это дешевле и удобнее при сопоставимой защите.
Где сравнить конкретных поставщиков MFA между собой?
В рейтинге IAM, IdM, SSO и MFA — там компании ранжированы по подтверждённым сигналам, а не по рекламе.
Источники и метод проверки
Многофакторная аутентификация (MFA) добавляет к паролю второй независимый фактор — то, что у пользователя есть (телефон, аппаратный ключ) или чем он является (биометрия). Это закрывает большинство атак, основанных на краже или подборе пароля. Но не все методы MFA одинаково надёжны: SMS-коды защищают слабее, чем push-подтверждения, а аппаратные ключи FIDO2 устойчивы даже к фишингу. **Если коротко:** для предприятия выбор сводится к балансу «стойкость × удобство × стоимость» под конкретные группы пользователей. Привилегированным учётным записям нужны аппаратные ключи FIDO2, массовому персоналу — push с защитой от усталостных атак (MFA fatigue), а SMS стоит оставлять только как запасной канал. Ниже — методы, их сравнение по стойкости и удобству, сценарии внедрения и защита от усталостных атак. Сравнить поставщиков по подтверждённым сигналам можно в [рейтинге IAM/MFA](/rating/iam-idm-sso-mfa).