Антивирусная правДА!TM

2 февраля 2026

Безопасность доступа к повседневным сервисам в основном зависит от паролей. Однако современной тенденцией (а на некоторых ресурсах и обязательством) стало использование двухфакторной аутентификации. Разбираем за и против…

Электронная почта, социальные сети, банковские услуги, государственные порталы, онлайн-покупки, корпоративные сети и приложения… Постепенно повседневная жизнь стала все больше зависеть от нашей вовлеченности в цифровую среду. При таком количестве сервисов сильно искушение упростить управление. Эта практика опасна, поскольку значительно увеличивает риск компрометации вашей безопасности доступа.

Некоторое время назад, в детальном выпуске «Антивирусной правды» речь шла о менеджерах паролей. Мы подчеркивали пользу этих специальных утилит, которые могут упростить и обезопасить работу с паролями. Мы говорили и о недостатках этих программ, основные из которых — риск компрометации мастер-пароля и наличие потенциальных уязвимостей в конкретном продукте. На тот момент менеджеры паролей были одним из рабочих решений для тех, кто использует сразу несколько систем и сервисов с авторизацией.

Год спустя, вышла наша очередная статья с советами по выбору порядка действий при создании надежных паролей. Мы предложили алгоритм создания надежных паролей, начиная с анализа сервисов, где такие пароли могут понадобиться, а также предложили основные правила по их созданию.

Прошло два года… Что изменилось?

Необходимость в ведении кодового слова не исчезла, но стала очевидной тенденция ухода от работы над надежностью пароля к двухфакторной аутентификации.

Эти волшебные буквы 2FA

Использовать разные пароли для каждой службы, придумывать длинный и сложный пароль, который к тому же невозможно угадать… эти решения становятся уделом специалистов IT-служб… В повседневной жизни сегодняшние пользователи часто выбирают короткий путь: «забыть» пароль и при каждом входе генерировать его заново. Создавать надежные пароли, не запоминая их, и менять их при каждом входе в систему, становится более удобным на сайтах интернет-магазинов, особенно если редко пользоваться учетной записью.

Двухфакторная аутентификация, также называемая двухэтапной проверкой или просто «2FA», повышает безопасность учетных записей. Такая функция предотвращает злонамеренное проникновение (если проще, взлом) и становится дополнительным уровнем защиты в случае кражи пароля. Ее можно включить во многих онлайн-сервисах, таких как электронная почта, аккаунт в социальных сетях и даже некоторые сайты онлайн-покупок. При активации двойной аутентификации, помимо имени пользователя и пароля, эти сервисы потребуют подтверждения с помощью временного одноразового кода, полученного по SMS или электронной почте, через приложение, специальный ключ или даже через биометрическую идентификацию.

В зависимости от сервиса и выбранных настроек, запрос на подтверждение может быть направлен при первом входе в систему, при каждом последующем входе или через регулярные интервалы. Одним из важнейших барьеров на пути злоумышленника становится требование подтверждения каждый раз, когда новое устройство, неизвестное сервису, пытается подключиться к вашей учетной записи.

Таким образом, только пользователь может разрешить новому устройству подключаться к учетным записям, защищенным двухфакторной аутентификацией.

Однако, сама природа SMS-сообщений может подвергнуть бизнес или пользователя множеству рисков. Легкость доступа и подмены номера для перехвата и чтения SMS-сообщений связано с тем, что безопасность сообщений полностью зависит от безопасности сетей и телефонных операторов. К сожалению, и сами сотовые сети регулярно становятся целью атак на абонентов. Распространение стандартов 5G, несмотря на улучшения в области безопасности мобильной связи, по-прежнему оставляет множество способов атаковать (как и защищать) инфраструктуру оператора.

Для аутентификации также можно использовать методы, основанные на мобильных приложениях. Как один из частных случаев, 2FA генерирует на сайте сервиса QR-код, который можно отсканировать с помощью мобильного приложения-аутентификатора. Приложение генерирует одноразовые пароли (TOTP, Time based One Time Password или OTP, one time password), которые меняются каждые 30-60 секунд, и пользователь должен ввести этот код для получения доступ. Временное ограничение значительно затруднит киберпреступнику доступ к одному из одноразовых паролей.

Двойная аутентификация. А дальше?

Двухфакторная аутентификация практически стала стандартной рабочей процедурой. Главное достоинство: она позволяет ощутимо затруднить любые попытки доступа с использованием пароля к учетной записи без ведома пользователя. Если злоумышленник попытается получить доступ к учетной записи, ему будет не только отказано в этом, но и пользователь получит уведомление о попытке входа в систему. В этом случае пользователю потребуется немедленно сменить пароль, чтобы заблокировать любые потенциальные попытки входа и предотвратить взлом учетной записи.

Однако, и двухфакторная аутентификация — не панацея, в отдельных случаях кибер-преступники могут обходить ее методом перебора всех возможных комбинаций кодов безопасности в автоматическом режиме. Для повышения уровня безопасности доступа можно увеличить количество факторов проверки, внедрив многофакторную аутентификацию (MFA). Этот метод требует использования нескольких доказательств для предоставления доступа подключающемуся объекту (будь то человек или машина).

Многофакторная аутентификация набирает популярность, поскольку является эффективным методом повышения надежности аутентификации. Даже если злоумышленник сможет украсть или угадать пароль, ему придется преодолеть другие препятствия: необходимость использования биометрических данных, кода, отправленного по SMS, и ключа безопасности. Подобное повышение сложности значительно снижает вероятность успеха при несанкционированном проникновении.

Кроме того, многофакторная аутентификация эффективна против различных видов атак, таких как фишинг и атаки методом перебора, поскольку она требует множества проверок, которые злоумышленникам нелегко обойти. Не желая расстраивать читателя, все же придется признать, что и многофакторную аутентификацию можно обойти, если она неправильно настроена или неправильно понята.