Открыть сервис

Многофакторная аутентификация

Многофакторная аутентификация (МФА, англ. Multi-Factor Authentication, MFA) — это метод контроля доступа, при котором пользователь должен подтвердить свою личность с помощью двух или более независимых факторов аутентификации. В отличие от однофакторной аутентификации (например, только по паролю), МФА существенно снижает риск несанкционированного доступа, так как злоумышленнику необходимо скомпрометировать сразу несколько различных элементов защиты. Данный метод широко применяется в информационных системах, банковских сервисах, корпоративных сетях и государственных информационных порталах.

История и предпосылки появления

Понятие многофакторной аутентификации начало формироваться в середине XX века, когда потребовались более надёжные способы защиты информации, чем простые пароли. В 1960-х годах в США появились первые магнитные карты и PIN-коды (Personal Identification Number), что фактически стало двухфакторной аутентификацией: карта выступала фактором владения, а PIN — фактором знания. С развитием компьютерных сетей в 1980–1990-х годах стало очевидно, что пароли уязвимы для перехвата, угадывания и социальной инженерии.

Широкое внедрение МФА началось в 2000-х годах на фоне роста киберпреступности и требований регуляторов. В 2004 году в США был принят стандарт FFIEC (Federal Financial Institutions Examination Council), обязывающий банки использовать МФА для интернет-банкинга. В России с 2014 года действуют нормативные акты Центрального банка РФ, предписывающие применение МФА для платежей в электронных системах. В 2023 году был введён ГОСТ Р 58947-2020 «Информационная технология. Многофакторная аутентификация. Модель безопасности», регламентирующий требования к МФА-системам.

Основные факторы аутентификации

МФА базируется на комбинации трёх основных категорий факторов (иногда выделяют четвёртую — поведенческий фактор):

Фактор знания (Something you know)

Информация, известная только пользователю. Включает:

Фактор владения (Something you have)

Физический объект, которым обладает пользователь:

Фактор наследования (Something you are)

Биометрические характеристики пользователя:

Дополнительные факторы (Something you do или повсеместный фактор)

Классификация методов МФА

По способу реализации выделяют следующие типы:

ТипОписаниеПримеры
Двухфакторный (2FA)Использование ровно двух факторов из разных категорийЛогин/пароль (знание) + одноразовый код по SMS (владение)
Многофакторный (MFA)Использование двух и более факторов, возможно из одной категории (менее надёжно)Пароль + биометрия + аппаратный токен
Адаптивный (контекстный)Требование дополнительных факторов в зависимости от риска (местоположение, устройство, время)Если вход с необычного IP — запрос SMS-кода
БеспарольныйАутентификация без паролей, с использованием токенов или биометрииWebAuthn, FIDO2

Устройство и принцип работы

Типичная система МФА включает:

  1. Клиентское устройство (ПК, смартфон, терминал), где пользователь вводит учётные данные.
  2. Сервер аутентификации, проверяющий корректность факторов.
  3. Провайдера МФА (например, Google Authenticator, Microsoft Authenticator, Duo Security), генерирующего или подтверждающего второй фактор.
  4. Протоколы взаимодействия — RADIUS, LDAP, SAML, OAuth 2.0, OpenID Connect.

Процесс: пользователь указывает имя и пароль (первый фактор) → сервер запрашивает дополнительное подтверждение → пользователь вводит код из приложения-аутентификатора или прикладывает отпечаток → сервер проверяет и предоставляет доступ.

Применение

Банковская и финансовая сфера

В России МФА обязательна для переводов свыше 1000 рублей (согласно 161-ФЗ «О национальной платежной системе»). Банки используют SMS-коды, push-уведомления в мобильных приложениях, биометрические данные (Единая биометрическая система). С 2021 года вводится обязательное применение МФА при подтверждении операций через портал «Госуслуги» и для доступа к личному кабинету налогоплательщика.

Корпоративный сектор

МФА применяется для доступа к VPN, корпоративной почте, внутренним облачным сервисам и базам данных. В государственных учреждениях РФ используется в рамках систем электронного документооборота (например, СЭД «Дело»). В некоторых организациях внедрены аппаратные токены PKCS#11 или смарт-карты с ГОСТ-криптографией.

Электронная коммерция и социальные сети

Крупные онлайн-платформы (например, «Яндекс», «ВКонтакте», «Сбербанк Онлайн») предоставляют опцию МФА для защиты аккаунтов. Используются приложения-аутентификаторы (Google Authenticator) или push-уведомления.

Государственные информационные системы

Портал «Госуслуги» с 2023 года требует МФА для создания аккаунта и выполнения операций с повышенным уровнем безопасности. Аналогичные требования действуют для систем электронного голосования и единой системы идентификации и аутентификации (ЕСИА).

Безопасность и уязвимости

Несмотря на повышение защищённости, МФА не является абсолютной. Основные угрозы:

Для снижения рисков применяются:

Стандарты и нормативное регулирование в России

В России действуют:

Критика и ограничения

Будущее многофакторной аутентификации

Основные тенденции:

Источники

  1. ГОСТ Р 58947-2020 «Информационная технология. Многофакторная аутентификация. Модель безопасности».
  2. Федеральный закон от 27.06.2011 № 161-ФЗ «О национальной платежной системе».
  3. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
  4. Стандарт FIDO2 и WebAuthn (W3C Recommendation, 2019).
  5. Материалы Центрального банка РФ (2021–2024) о мерах защиты электронных платежей.
  6. Работы специалистов по кибербезопасности: М. С. Костин, А. В. Лебедев (Россия, 2022) — «Многофакторная аутентификация: теория и практика».
  7. OWASP MFA Cheat Sheet (версия 2023).
  8. Анализ уязвимостей МФА в отчетах Positive Technologies (2023, 2024).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →