Пароли уйдут в прошлое: как внедрять многофакторную аутентификацию без них и не потерять безопасность

Пароли часто бывают ахиллесовой пятой информационной безопасности: их крадут, подбирают и забывают. Все больше компаний переходят к беспарольной MFA, многофакторной аутентификации, делая ставку на биометрию, криптографические ключи и аппаратные токены. Cyber Media разбирает, как выглядит MFA без паролей в 2025 году, действительно ли это безопаснее, какие стандарты уже можно внедрять, и что делать, если сотрудник потерял устройство или поддался фишингу.

Почему без пароля — значит безопаснее

Пароли давно стали символом уязвимости. Мы храним их в браузере, пересылаем в мессенджерах, используем один и тот же на пяти сервисах — но при этом удивляемся, почему взломы не прекращаются.

Фишинг, утечки баз данных и повторное использование одних и тех же паролей: главные враги безопасности, с которыми до сих пор сталкивается практически каждая компания. Один скомпрометированный пароль от почты — и злоумышленник уже в корпоративной переписке, имитируя руководителя, требует перевести деньги или получить доступ к CRM. Банально, но все еще работает.

По данным Verizon Data Breach Investigations Report 2024, в более чем 70% атак с утечками данных был задействован человек, и в 49% случаев это был именно скомпрометированный пароль. Даже при наличии базовой двухфакторки, например, по SMS, атакующие все чаще используют фишинг второго фактора, push fatigue или просто подделывают интерфейс входа.

Идея passwordless MFA в том, чтобы убрать самый слабый элемент — сам пароль. Вместо него система аутентифицирует пользователя по физическому устройству, биометрии или криптографическому токену, привязанному к конкретному девайсу.

Это может быть:

• вход по Face ID + токену;
• подтверждение входа через push-уведомление на доверенном устройстве;
• использование FIDO2-ключа, который подписывает запрос прямо на клиенте.

Преимущество очевидно: нельзя украсть то, чего нет. Если нет пароля — нечего фишить, нечего сливать. Но это не значит, что система становится непробиваемой. Вместо пароля атакующий начинает охотиться за другим фактором: биометрией, токеном или пользователем, который легко подтвердит вход по push-запросу «на автомате».

Так что да: без пароля — безопаснее. Но только если все остальное сделано правильно.

Технологический фундамент: что стоит за беспарольной аутентификацией

Переход к беспарольной аутентификации — это не просто «давайте логиниться по лицу». За этим стоят вполне зрелые, открытые стандарты, разработанные именно для того, чтобы закрыть слабые места традиционных схем входа.

FIDO2 — это набор стандартов, который позволяет реализовать безопасную, удобную и по-настоящему беспарольную аутентификацию. В его состав входят два ключевых компонента:

• WebAuthn — это стандарт от W3C, который позволяет браузерам и веб-приложениям работать с внешними ключами и биометрией.
• CTAP2 — протокол связи между устройством (например, смартфоном или USB-ключом) и компьютером, который используется для выполнения криптографической аутентификации.

Другими словами, WebAuthn отвечает за интерфейс со стороны веба, а CTAP2 — за разговор между вашим браузером и токеном или телефоном.

Дмитрий Овчинников

Архитектор информационной безопасности UserGate

Кроме протокола WebAuthn, входящего в стандарт FIDO2, который разработан альянсом FIDO, есть протоколы OAuth 2.0 и OpenID Connect. Протокол OAuth 2.0 отвечает за авторизацию, а протокол OpenID Connect за аутентификацию пользователей. Все эти протоколы позволяют организовать беспарольную аутентификацию.

Если же говорить про многофакторную аутентификацию (MFA), то тут огромную роль играет техническое решение, которое реализовывает MFA. Для любой компании, которая внедряет MFA в свою корпоративную инфраструктуру, большую роль играют следующие факторы: совместимость с информационными системами, подключение к службе каталогов, наличие портала самообслуживания для пользователей и, конечно же, цена решения. Если же говорить про WebAuthn и OAuth 2.0, то они ни в коем случае не конкурируют друг с другом, а взаимно дополняют друг друга.

Технология основана на асимметричной криптографии. Когда пользователь регистрируется в системе:

1. Создается пара ключей — публичный и приватный.
2. Публичный ключ сохраняется на стороне сервера.
3. Приватный ключ остается на устройстве пользователя — и никогда не передается по сети.
   

А при следующем входе все работает так: сервер отправляет уникальный challenge — одноразовый запрос, который пользовательское устройство должно подписать. Подпись формируется приватным ключом, хранящимся локально, а сервер проверяет ее с помощью публичного ключа. Все — вход подтвержден, пользователь в системе.

Никаких паролей, никакой передачи секретов по сети.

Кирилл Мещеряков

Эксперт по аутентификации и электронной подписи, Компания «Актив»

Так, Google, переведя более 89 000 сотрудников на FIDO-ключи, не зафиксировал ни одного успешного фишинга с 2017 года. Microsoft построила беспарольную стратегию на Windows Hello for Business и FIDO2-ключах и уже обслуживает таким образом основную часть внутренних и клиентских учетных записей. По оценке FIDO Alliance, к концу 2024 г. более 15 млрд онлайн-аккаунтов использовали технологию Passkey вместо логинов и паролей. В России FIDO2-устройства применяются для входа в VK, Mail.ru, Яндекс и в IAM-инфраструктурах крупных предприятий.

А главное — credentials «привязаны» к конкретному устройству. Даже если кто-то копирует публичный ключ, то этого недостаточно, чтобы пройти аутентификацию: нужен именно тот самый физический носитель или смартфон, где хранится приватный ключ.

Отсюда и преимущества:

• Невозможно украсть приватный ключ через интернет.
• Невозможно подделать ответ без физического доступа к устройству.
• Фишинг не работает — вы не вводите ничего, что можно перехватить.

Именно поэтому FIDO2 и WebAuthn все чаще используются не только в потребительских сервисах, но и в корпоративной среде, где нужен баланс между удобством и жесткими требованиями к безопасности.

Сценарии применения: от входа в корпоративные системы до мобильных приложений

Беспарольная аутентификация — это не что-то из будущего. Решения уже сейчас работают в реальной инфраструктуре. Причем работают гибко: от рабочих станций в офисе до приложений на смартфоне.

Один из самых распространенных сценариев — вход в корпоративные SSO-системы, такие, как Azure AD или Okta, без ввода пароля. Пользователь подключает токен, например, YubiKey, прикладывает палец — и получает доступ ко всем нужным сервисам через единый вход.

Также такие методы используются для:

• подключения к VPN без паролей;
• безопасного доступа к облачным платформам, где учетные записи особенно уязвимы к фишингу;
• аутентификации в веб-приложениях: от CRM до внутренних порталов.

Такие решения хорошо масштабируются и уже внедряются в корпоративной среде — в том числе в крупных компаниях, где тысячи сотрудников работают удаленно или гибридно.

В мобильных сценариях беспарольная аутентификация выходит на максимум удобства. Обычно это сочетание:

• биометрии (отпечаток пальца, Face ID);
• push-уведомлений для подтверждения действия (например, входа с нового устройства);
• использование аппаратных ключей, которые можно подключить по NFC или Bluetooth.

Подобные схемы уже используются в банках, телекомах, e-commerce и даже в госсекторе. Особенно хорошо они работают в приложениях, где важна каждая секунда отклика — от мобильных банков до корпоративных мессенджеров.

Слепые зоны: новые угрозы в мире без паролей

Беспарольная MFA решает старые проблемы, но порождает и новые. Угрозы никуда не исчезли — они просто стали тоньше, технологичнее и завязаны на доверенную среду.

Спуфинг биометрии: лицо есть — а доступ не должен быть

Дактилоскопия или распознавание лица кажутся надежной защитой. Но злоумышленники все чаще используют 3D-маски, высококачественные фото и даже слепки пальцев для обхода биометрической проверки.

Валерий Ледовской

Директор по развитию ARinteg

Когда речь заходит о мобильных приложениях, биометрия кажется удобной заменой паролям, но расслабляться рано. Спуфинг отпечатков или лица с помощью 3D-масок — это не сюжет из фантастического фильма, а реальные инциденты, которые мы фиксируем. А фишинг токенов? Мошенники уже подделывают интерфейсы банковских приложений и выманивают коды через фейковые push-уведомления. Решение — в многослойности. Например, можно комбинировать биометрию с аппаратными ключами. И не стоит хранить биометрические шаблоны в облаке. Локальное хранение и антифишинговые механизмы FIDO2, которые привязывают ключи к домену, — это, что называется, must have для любого мобильного сервиса.

Чтобы минимизировать риск:

• выбирайте устройства с защищенными чипами и безопасными зонами хранения, например, Secure Enclave или Trusted Execution Environment;
• сочетайте биометрию с дополнительными факторами — аппаратным ключом или подтверждением действия.

Одна только биометрия — это не панацея. Особенно если реализована с нарушениями или на устаревших устройствах.

Фишинг push-запросов и токенов: атака на привычку

Push bombing — техника, при которой пользователя засыпают запросами на вход, надеясь на механическое «Подтвердить». Если не встроить защиту, человек может сам открыть злоумышленнику дверь — просто по невнимательности.

Владислав Кошелев

Архитектор по ИБ, UDV Group

В качестве мер защиты можно применять liveness detection для предотвращения спуфинга биометрии, реализовать защиту от clickjacking через настройки Content Security Policy (CSP) и блокировку встраивания в iframe. Защиту сессий можно обеспечить с помощью внедрения контроля времени активности, автоматического выхода при аномалиях и защиты cookie-файлов, отказаться от лишних упрощений и использовать дополнительные факторы, хотя бы пассивные, например, геоконтроль и поведенческий анализ.

Чтобы защититься:

• используйте контекстные push-запросы, например, с указанием геолокации, IP-адреса или устройства;
• ограничьте количество push-попыток и внедрите аналитику на отклоненные запросы;
• привязывайте токены к устройству и вводите тайм-ауты на повторную аутентификацию.

Важно не просто отправлять запросы, а давать пользователю максимум информации — кто и откуда запрашивает доступ.

Компрометация доверенных устройств: когда ключ оказался у посторонних

Безопасность всей системы держится на том, что приватный ключ — это нечто личное и недоступное извне. Но если телефон украли, токен потеряли, а ноутбук заразили малварью, — доступ к ключу может получить злоумышленник.

Константин Родин

Заместитель директора по развитию бизнеса компании «АйТи Бастион»

Чтобы не попасть в ловушку «удобства любой ценой», важно использовать устройства с защищенным окружением, проверять и контролировать поведение пользователя. И самое главное — не полагаться только на устройство, ведь самым простым способом взлома по-прежнему является человек. И чем сложнее защита, тем больше шанс, что ее обойдут, просто воспользовавшись его «ошибкой».

В качестве мер по снижению рисков я бы предложил обучение пользователей основам кибергигиены, регулярные обновления и не «разбрасываться» своими персональными и биометрическими данными.

Важны следующие шаги:

• храните ключи в изолированных чипах (TPM, Secure Element), а не просто в файловой системе;
• настройте повторную проверку доверия при смене устройства или обновлении ОС;
• реализуйте аварийные сценарии: выдачу временного доступа, резервные методы восстановления, контроль через IT-службу.

Доверие к устройству не должно быть абсолютным. Сценарии восстановления доступа — это не «на потом», а часть архитектуры безопасности с самого начала.

Что делать, если токен потерян, биометрия не сработала или сервер упал

Беспарольный доступ — это удобно до тех пор, пока все работает. Но в жизни случаются форс-мажоры: утерян ключ безопасности, палец в гипсе, сервер аутентификации ушел в аут. Что тогда?

Леонид Ломакин

Руководитель направления по информационной безопасности iTPROTECT

При построении аварийных сценариев важно не пытаться вернуться к паролям. Лучше использовать альтернативные факторы — резервные ключи, биометрию с другого устройства, авторизацию через доверенного администратора или временные одноразовые коды с ограниченным временем действия. Основная задача — это сохранить управляемость и отказоустойчивость, но без отката к уязвимым механизмам. Именно продуманная схема восстановления доступа отличает зрелую беспарольную инфраструктуру от частичной или формальной ее реализации.

У надежной системы всегда есть план Б. И даже план В. Вот, что стоит предусмотреть:

1. Backup-коды — одноразовые коды, которые пользователь получает при регистрации и хранит в безопасном месте. Работают даже без интернета и устройств.
2. Временные SSO-доступы — ограниченные по времени и правам, выдаются администратором через защищенный канал, например, по внутреннему запросу через HelpDesk.
3. Менеджеры восстановления — централизованные решения, позволяющие авторизоваться с помощью дополнительных факторов (например, видеозвонок с оператором или подтверждение через корпоративный мессенджер).
   

Аварийные сценарии не должны становиться «черным ходом». Они должны быть хорошо защищены, логироваться и сопровождаться многофакторной проверкой личности.

Евгений Новоселов

Ведущий инженер УЦСБ

Реализация многоуровневой аутентификации, таких как коды восстановления и альтернативные методы доступа (электронных писем, SMS-кодов или резервных устройств), а также эффективные процедуры восстановления и информирование пользователей могут значительно снизить риски, связанные с потерей доступа к устройствам и сбоями биометрии.

Эти меры помогут создать надежную и гибкую систему доступа, которая эффективно справляется с рисками, обеспечивая одновременно безопасность и доступность для пользователей.

Идеальная система — та, которая не только защищает, но и не мешает работать. Слишком строгие меры приведут к блокировкам и жалобам, а слишком мягкие — к инцидентам.

Решение — гибкие политики доступа:

• например, разные сценарии восстановления для разных уровней риска (финансовые сервисы ≠ внутренний портал);
• адаптивная аутентификация в зависимости от поведения пользователя и контекста входа.

Безопасность — это не про «должно быть сложно». Это про умное проектирование процессов, которые учитывают человеческий фактор и жизненные ситуации.

Как безболезненно внедрить беспарольную MFA

Переход на passwordless-аутентификацию — это не революция, а аккуратная модернизация. Главное — двигаться поэтапно и не пытаться охватить все сразу.

Начать лучше с пилотных зон: определите критичные точки входа — административные панели, VPN, доступ к облачным сервисам. Именно там риск компрометации наибольший, и там же чаще всего и начинается внедрение. Запускаем пилот, например, на ИТ-отделе или безопасниках. Это даст возможность отработать сценарии и выявить слабые места до масштабирования.

Следующий шаг — работа с пользователями. Несмотря на то, что «ничего не нужно вводить» звучит как мечта, не все сразу поймут, зачем нужен токен и почему его нельзя терять. Небольшой обучающий блок, внутренняя рассылка с примерами, подсказки в интерфейсе — все это критично. Хорошая коммуникация снижает количество обращений в поддержку и снижает риск ошибок.

Артем Назаретян

Руководитель BI.ZONE PAM

Дополнительно для беспарольных систем критически важно предусмотреть регистрацию нескольких FIDO2-ключей с хранением на разных носителях, использование offline-recovery-кодов, например, QR-кодов, seed-фраз или бумажных ключей. Кроме того, рекомендуется обеспечить временный доступ через службу поддержки с обязательной верификацией личности (KYC-подтверждение).

При выборе решения обращайте внимание не только на красивый интерфейс и маркетинговые обещания. Поддержка открытых стандартов вроде FIDO2 и WebAuthn — обязательна. Совместимость с вашей IAM-инфраструктурой и SSO-системами — критична. Хорошо, если есть гибкая настройка политик доступа и удобные аварийные сценарии на случай потери доступа.

Помните, надежный провайдер — это не просто поставщик технологии, а партнер, который поможет выстроить архитектуру под вашу инфраструктуру и бизнес-риски.

Заключение

Беспарольная многофакторная аутентификация — не модный тренд, а следующий логичный шаг в эволюции безопасности. Но это не магия: если подойти без стратегии, можно получить новые уязвимости вместо защиты.

Прозрачность процессов, продуманные резервные сценарии и понятный пользовательский опыт — вот что отличает успешное внедрение от боли и хаоса. Пароли уходят, но зрелый подход остается.