
Пароли часто бывают ахиллесовой пятой информационной безопасности: их крадут, подбирают и забывают. Все больше компаний переходят к беспарольной MFA, многофакторной аутентификации, делая ставку на биометрию, криптографические ключи и аппаратные токены. Cyber Media разбирает, как выглядит MFA без паролей в 2025 году, действительно ли это безопаснее, какие стандарты уже можно внедрять, и что делать, если сотрудник потерял устройство или поддался фишингу.
Пароли давно стали символом уязвимости. Мы храним их в браузере, пересылаем в мессенджерах, используем один и тот же на пяти сервисах — но при этом удивляемся, почему взломы не прекращаются.
Фишинг, утечки баз данных и повторное использование одних и тех же паролей: главные враги безопасности, с которыми до сих пор сталкивается практически каждая компания. Один скомпрометированный пароль от почты — и злоумышленник уже в корпоративной переписке, имитируя руководителя, требует перевести деньги или получить доступ к CRM. Банально, но все еще работает.
По данным Verizon Data Breach Investigations Report 2024, в более чем 70% атак с утечками данных был задействован человек, и в 49% случаев это был именно скомпрометированный пароль. Даже при наличии базовой двухфакторки, например, по SMS, атакующие все чаще используют фишинг второго фактора, push fatigue или просто подделывают интерфейс входа.
Идея passwordless MFA в том, чтобы убрать самый слабый элемент — сам пароль. Вместо него система аутентифицирует пользователя по физическому устройству, биометрии или криптографическому токену, привязанному к конкретному девайсу.
Это может быть:
Преимущество очевидно: нельзя украсть то, чего нет. Если нет пароля — нечего фишить, нечего сливать. Но это не значит, что система становится непробиваемой. Вместо пароля атакующий начинает охотиться за другим фактором: биометрией, токеном или пользователем, который легко подтвердит вход по push-запросу «на автомате».
Так что да: без пароля — безопаснее. Но только если все остальное сделано правильно.
Переход к беспарольной аутентификации — это не просто «давайте логиниться по лицу». За этим стоят вполне зрелые, открытые стандарты, разработанные именно для того, чтобы закрыть слабые места традиционных схем входа.
FIDO2 — это набор стандартов, который позволяет реализовать безопасную, удобную и по-настоящему беспарольную аутентификацию. В его состав входят два ключевых компонента:
Другими словами, WebAuthn отвечает за интерфейс со стороны веба, а CTAP2 — за разговор между вашим браузером и токеном или телефоном.
Дмитрий Овчинников
Архитектор информационной безопасности UserGate
Кроме протокола WebAuthn, входящего в стандарт FIDO2, который разработан альянсом FIDO, есть протоколы OAuth 2.0 и OpenID Connect. Протокол OAuth 2.0 отвечает за авторизацию, а протокол OpenID Connect за аутентификацию пользователей. Все эти протоколы позволяют организовать беспарольную аутентификацию.
Если же говорить про многофакторную аутентификацию (MFA), то тут огромную роль играет техническое решение, которое реализовывает MFA. Для любой компании, которая внедряет MFA в свою корпоративную инфраструктуру, большую роль играют следующие факторы: совместимость с информационными системами, подключение к службе каталогов, наличие портала самообслуживания для пользователей и, конечно же, цена решения. Если же говорить про WebAuthn и OAuth 2.0, то они ни в коем случае не конкурируют друг с другом, а взаимно дополняют друг друга.
Технология основана на асимметричной криптографии. Когда пользователь регистрируется в системе:
А при следующем входе все работает так: сервер отправляет уникальный challenge — одноразовый запрос, который пользовательское устройство должно подписать. Подпись формируется приватным ключом, хранящимся локально, а сервер проверяет ее с помощью публичного ключа. Все — вход подтвержден, пользователь в системе.
Никаких паролей, никакой передачи секретов по сети.
Кирилл Мещеряков
Эксперт по аутентификации и электронной подписи, Компания «Актив»
Так, Google, переведя более 89 000 сотрудников на FIDO-ключи, не зафиксировал ни одного успешного фишинга с 2017 года. Microsoft построила беспарольную стратегию на Windows Hello for Business и FIDO2-ключах и уже обслуживает таким образом основную часть внутренних и клиентских учетных записей. По оценке FIDO Alliance, к концу 2024 г. более 15 млрд онлайн-аккаунтов использовали технологию Passkey вместо логинов и паролей. В России FIDO2-устройства применяются для входа в VK, Mail.ru, Яндекс и в IAM-инфраструктурах крупных предприятий.
А главное — credentials «привязаны» к конкретному устройству. Даже если кто-то копирует публичный ключ, то этого недостаточно, чтобы пройти аутентификацию: нужен именно тот самый физический носитель или смартфон, где хранится приватный ключ.
Отсюда и преимущества:
Именно поэтому FIDO2 и WebAuthn все чаще используются не только в потребительских сервисах, но и в корпоративной среде, где нужен баланс между удобством и жесткими требованиями к безопасности.
Беспарольная аутентификация — это не что-то из будущего. Решения уже сейчас работают в реальной инфраструктуре. Причем работают гибко: от рабочих станций в офисе до приложений на смартфоне.
Один из самых распространенных сценариев — вход в корпоративные SSO-системы, такие, как Azure AD или Okta, без ввода пароля. Пользователь подключает токен, например, YubiKey, прикладывает палец — и получает доступ ко всем нужным сервисам через единый вход.
Также такие методы используются для:
Такие решения хорошо масштабируются и уже внедряются в корпоративной среде — в том числе в крупных компаниях, где тысячи сотрудников работают удаленно или гибридно.
В мобильных сценариях беспарольная аутентификация выходит на максимум удобства. Обычно это сочетание:
Подобные схемы уже используются в банках, телекомах, e-commerce и даже в госсекторе. Особенно хорошо они работают в приложениях, где важна каждая секунда отклика — от мобильных банков до корпоративных мессенджеров.
Беспарольная MFA решает старые проблемы, но порождает и новые. Угрозы никуда не исчезли — они просто стали тоньше, технологичнее и завязаны на доверенную среду.
Дактилоскопия или распознавание лица кажутся надежной защитой. Но злоумышленники все чаще используют 3D-маски, высококачественные фото и даже слепки пальцев для обхода биометрической проверки.
Валерий Ледовской
Директор по развитию ARinteg
Когда речь заходит о мобильных приложениях, биометрия кажется удобной заменой паролям, но расслабляться рано. Спуфинг отпечатков или лица с помощью 3D-масок — это не сюжет из фантастического фильма, а реальные инциденты, которые мы фиксируем. А фишинг токенов? Мошенники уже подделывают интерфейсы банковских приложений и выманивают коды через фейковые push-уведомления. Решение — в многослойности. Например, можно комбинировать биометрию с аппаратными ключами. И не стоит хранить биометрические шаблоны в облаке. Локальное хранение и антифишинговые механизмы FIDO2, которые привязывают ключи к домену, — это, что называется, must have для любого мобильного сервиса.
Чтобы минимизировать риск:
Одна только биометрия — это не панацея. Особенно если реализована с нарушениями или на устаревших устройствах.
Push bombing — техника, при которой пользователя засыпают запросами на вход, надеясь на механическое «Подтвердить». Если не встроить защиту, человек может сам открыть злоумышленнику дверь — просто по невнимательности.
Владислав Кошелев
Архитектор по ИБ, UDV Group
В качестве мер защиты можно применять liveness detection для предотвращения спуфинга биометрии, реализовать защиту от clickjacking через настройки Content Security Policy (CSP) и блокировку встраивания в iframe. Защиту сессий можно обеспечить с помощью внедрения контроля времени активности, автоматического выхода при аномалиях и защиты cookie-файлов, отказаться от лишних упрощений и использовать дополнительные факторы, хотя бы пассивные, например, геоконтроль и поведенческий анализ.
Чтобы защититься:
Важно не просто отправлять запросы, а давать пользователю максимум информации — кто и откуда запрашивает доступ.
Безопасность всей системы держится на том, что приватный ключ — это нечто личное и недоступное извне. Но если телефон украли, токен потеряли, а ноутбук заразили малварью, — доступ к ключу может получить злоумышленник.
Константин Родин
Заместитель директора по развитию бизнеса компании «АйТи Бастион»
Чтобы не попасть в ловушку «удобства любой ценой», важно использовать устройства с защищенным окружением, проверять и контролировать поведение пользователя. И самое главное — не полагаться только на устройство, ведь самым простым способом взлома по-прежнему является человек. И чем сложнее защита, тем больше шанс, что ее обойдут, просто воспользовавшись его «ошибкой».
В качестве мер по снижению рисков я бы предложил обучение пользователей основам кибергигиены, регулярные обновления и не «разбрасываться» своими персональными и биометрическими данными.
Важны следующие шаги:
Доверие к устройству не должно быть абсолютным. Сценарии восстановления доступа — это не «на потом», а часть архитектуры безопасности с самого начала.
Беспарольный доступ — это удобно до тех пор, пока все работает. Но в жизни случаются форс-мажоры: утерян ключ безопасности, палец в гипсе, сервер аутентификации ушел в аут. Что тогда?
Леонид Ломакин
Руководитель направления по информационной безопасности iTPROTECT
При построении аварийных сценариев важно не пытаться вернуться к паролям. Лучше использовать альтернативные факторы — резервные ключи, биометрию с другого устройства, авторизацию через доверенного администратора или временные одноразовые коды с ограниченным временем действия. Основная задача — это сохранить управляемость и отказоустойчивость, но без отката к уязвимым механизмам. Именно продуманная схема восстановления доступа отличает зрелую беспарольную инфраструктуру от частичной или формальной ее реализации.
У надежной системы всегда есть план Б. И даже план В. Вот, что стоит предусмотреть:
Аварийные сценарии не должны становиться «черным ходом». Они должны быть хорошо защищены, логироваться и сопровождаться многофакторной проверкой личности.
Евгений Новоселов
Ведущий инженер УЦСБ
Реализация многоуровневой аутентификации, таких как коды восстановления и альтернативные методы доступа (электронных писем, SMS-кодов или резервных устройств), а также эффективные процедуры восстановления и информирование пользователей могут значительно снизить риски, связанные с потерей доступа к устройствам и сбоями биометрии.
Эти меры помогут создать надежную и гибкую систему доступа, которая эффективно справляется с рисками, обеспечивая одновременно безопасность и доступность для пользователей.
Идеальная система — та, которая не только защищает, но и не мешает работать. Слишком строгие меры приведут к блокировкам и жалобам, а слишком мягкие — к инцидентам.
Решение — гибкие политики доступа:
Безопасность — это не про «должно быть сложно». Это про умное проектирование процессов, которые учитывают человеческий фактор и жизненные ситуации.
Переход на passwordless-аутентификацию — это не революция, а аккуратная модернизация. Главное — двигаться поэтапно и не пытаться охватить все сразу.
Начать лучше с пилотных зон: определите критичные точки входа — административные панели, VPN, доступ к облачным сервисам. Именно там риск компрометации наибольший, и там же чаще всего и начинается внедрение. Запускаем пилот, например, на ИТ-отделе или безопасниках. Это даст возможность отработать сценарии и выявить слабые места до масштабирования.
Следующий шаг — работа с пользователями. Несмотря на то, что «ничего не нужно вводить» звучит как мечта, не все сразу поймут, зачем нужен токен и почему его нельзя терять. Небольшой обучающий блок, внутренняя рассылка с примерами, подсказки в интерфейсе — все это критично. Хорошая коммуникация снижает количество обращений в поддержку и снижает риск ошибок.
Артем Назаретян
Руководитель BI.ZONE PAM
Дополнительно для беспарольных систем критически важно предусмотреть регистрацию нескольких FIDO2-ключей с хранением на разных носителях, использование offline-recovery-кодов, например, QR-кодов, seed-фраз или бумажных ключей. Кроме того, рекомендуется обеспечить временный доступ через службу поддержки с обязательной верификацией личности (KYC-подтверждение).
При выборе решения обращайте внимание не только на красивый интерфейс и маркетинговые обещания. Поддержка открытых стандартов вроде FIDO2 и WebAuthn — обязательна. Совместимость с вашей IAM-инфраструктурой и SSO-системами — критична. Хорошо, если есть гибкая настройка политик доступа и удобные аварийные сценарии на случай потери доступа.
Помните, надежный провайдер — это не просто поставщик технологии, а партнер, который поможет выстроить архитектуру под вашу инфраструктуру и бизнес-риски.
Беспарольная многофакторная аутентификация — не модный тренд, а следующий логичный шаг в эволюции безопасности. Но это не магия: если подойти без стратегии, можно получить новые уязвимости вместо защиты.
Прозрачность процессов, продуманные резервные сценарии и понятный пользовательский опыт — вот что отличает успешное внедрение от боли и хаоса. Пароли уходят, но зрелый подход остается.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.
Зарегистрироваться