MISTER X
Эксперт
Команда форума
Судья
Модератор
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Координатор арбитражей
Пароли часто бывают ахиллесовой пятой информационной безопасности: их крадут, подбирают и забывают. Все больше компаний переходят к беспарольной MFA, многофакторной аутентификации, делая ставку на биометрию, криптографические ключи и аппаратные токены. Cyber Media разбирает, как выглядит MFA без паролей в 2025 году, действительно ли это безопаснее, какие стандарты уже можно внедрять, и что делать, если сотрудник потерял устройство или поддался фишингу.
Почему без пароля — значит безопаснее
Пароли давно стали символом уязвимости. Мы храним их в браузере, пересылаем в мессенджерах, используем один и тот же на пяти сервисах — но при этом удивляемся, почему взломы не прекращаются.
Фишинг, утечки баз данных и повторное использование одних и тех же паролей: главные враги безопасности, с которыми до сих пор сталкивается практически каждая компания. Один скомпрометированный пароль от почты — и злоумышленник уже в корпоративной переписке, имитируя руководителя, требует перевести деньги или получить доступ к CRM. Банально, но все еще работает.
По данным Verizon Data Breach Investigations Report 2024, в более чем 70% атак с утечками данных был задействован человек, и в 49% случаев это был именно скомпрометированный пароль. Даже при наличии базовой двухфакторки, например, по SMS, атакующие все чаще используют фишинг второго фактора, push fatigue или просто подделывают интерфейс входа.
Идея passwordless MFA в том, чтобы убрать самый слабый элемент — сам пароль. Вместо него система аутентифицирует пользователя по физическому устройству, биометрии или криптографическому токену, привязанному к конкретному девайсу.
Это может быть:
- вход по Face ID + токену;
- подтверждение входа через push-уведомление на доверенном устройстве;
- использование FIDO2-ключа, который подписывает запрос прямо на клиенте.
Преимущество очевидно: нельзя украсть то, чего нет. Если нет пароля — нечего фишить, нечего сливать. Но это не значит, что система становится непробиваемой. Вместо пароля атакующий начинает охотиться за другим фактором: биометрией, токеном или пользователем, который легко подтвердит вход по push-запросу «на автомате».
Так что да: без пароля — безопаснее. Но только если все остальное сделано правильно.
Технологический фундамент: что стоит за беспарольной аутентификацией
Переход к беспарольной аутентификации — это не просто «давайте логиниться по лицу». За этим стоят вполне зрелые, открытые стандарты, разработанные именно для того, чтобы закрыть слабые места традиционных схем входа.
FIDO2 — это набор стандартов, который позволяет реализовать безопасную, удобную и по-настоящему беспарольную аутентификацию. В его состав входят два ключевых компонента:
- WebAuthn — это стандарт от W3C, который позволяет браузерам и веб-приложениям работать с внешними ключами и биометрией.
- CTAP2 — протокол связи между устройством (например, смартфоном или USB-ключом) и компьютером, который используется для выполнения криптографической аутентификации.
Другими словами, WebAuthn отвечает за интерфейс со стороны веба, а CTAP2 — за разговор между вашим браузером и токеном или телефоном.
Технология основана на асимметричной криптографии. Когда пользователь регистрируется в системе:
- Создается пара ключей — публичный и приватный.
- Публичный ключ сохраняется на стороне сервера.
- Приватный ключ остается на устройстве пользователя — и никогда не передается по сети.
А при следующем входе все работает так: сервер отправляет уникальный challenge — одноразовый запрос, который пользовательское устройство должно подписать. Подпись формируется приватным ключом, хранящимся локально, а сервер проверяет ее с помощью публичного ключа. Все — вход подтвержден, пользователь в системе.
Никаких паролей, никакой передачи секретов по сети.
А главное — credentials «привязаны» к конкретному устройству. Даже если кто-то копирует публичный ключ, то этого недостаточно, чтобы пройти аутентификацию: нужен именно тот самый физический носитель или смартфон, где хранится приватный ключ.
Отсюда и преимущества:
- Невозможно украсть приватный ключ через интернет.
- Невозможно подделать ответ без физического доступа к устройству.
- Фишинг не работает — вы не вводите ничего, что можно перехватить.
Именно поэтому FIDO2 и WebAuthn все чаще используются не только в потребительских сервисах, но и в корпоративной среде, где нужен баланс между удобством и жесткими требованиями к безопасности.
Сценарии применения: от входа в корпоративные системы до мобильных приложений
Беспарольная аутентификация — это не что-то из будущего. Решения уже сейчас работают в реальной инфраструктуре. Причем работают гибко: от рабочих станций в офисе до приложений на смартфоне.
Один из самых распространенных сценариев — вход в корпоративные SSO-системы, такие, как Azure AD или Okta, без ввода пароля. Пользователь подключает токен, например, YubiKey, прикладывает палец — и получает доступ ко всем нужным сервисам через единый вход.
Также такие методы используются для:
- подключения к VPN без паролей;
- безопасного доступа к облачным платформам, где учетные записи особенно уязвимы к фишингу;
- аутентификации в веб-приложениях: от CRM до внутренних порталов.
Такие решения хорошо масштабируются и уже внедряются в корпоративной среде — в том числе в крупных компаниях, где тысячи сотрудников работают удаленно или гибридно.
В мобильных сценариях беспарольная аутентификация выходит на максимум удобства. Обычно это сочетание:
- биометрии (отпечаток пальца, Face ID);
- push-уведомлений для подтверждения действия (например, входа с нового устройства);
- использование аппаратных ключей, которые можно подключить по NFC или Bluetooth.
Подобные схемы уже используются в банках, телекомах, e-commerce и даже в госсекторе. Особенно хорошо они работают в приложениях, где важна каждая секунда отклика — от мобильных банков до корпоративных мессенджеров.
Слепые зоны: новые угрозы в мире без паролей
Беспарольная MFA решает старые проблемы, но порождает и новые. Угрозы никуда не исчезли — они просто стали тоньше, технологичнее и завязаны на доверенную среду.
Спуфинг биометрии: лицо есть — а доступ не должен быть
Дактилоскопия или распознавание лица кажутся надежной защитой. Но злоумышленники все чаще используют 3D-маски, высококачественные фото и даже слепки пальцев для обхода биометрической проверки.
Чтобы минимизировать риск:
- выбирайте устройства с защищенными чипами и безопасными зонами хранения, например, Secure Enclave или Trusted Execution Environment;
- сочетайте биометрию с дополнительными факторами — аппаратным ключом или подтверждением действия.
Одна только биометрия — это не панацея. Особенно если реализована с нарушениями или на устаревших устройствах.
Фишинг push-запросов и токенов: атака на привычку
Push bombing — техника, при которой пользователя засыпают запросами на вход, надеясь на механическое «Подтвердить». Если не встроить защиту, человек может сам открыть злоумышленнику дверь — просто по невнимательности.
Чтобы защититься:
- используйте контекстные push-запросы, например, с указанием геолокации, IP-адреса или устройства;
- ограничьте количество push-попыток и внедрите аналитику на отклоненные запросы;
- привязывайте токены к устройству и вводите тайм-ауты на повторную аутентификацию.
Важно не просто отправлять запросы, а давать пользователю максимум информации — кто и откуда запрашивает доступ.
Компрометация доверенных устройств: когда ключ оказался у посторонних
Безопасность всей системы держится на том, что приватный ключ — это нечто личное и недоступное извне. Но если телефон украли, токен потеряли, а ноутбук заразили малварью, — доступ к ключу может получить злоумышленник.
Важны следующие шаги:
- храните ключи в изолированных чипах (TPM, Secure Element), а не просто в файловой системе;
- настройте повторную проверку доверия при смене устройства или обновлении ОС;
- реализуйте аварийные сценарии: выдачу временного доступа, резервные методы восстановления, контроль через IT-службу.
Доверие к устройству не должно быть абсолютным. Сценарии восстановления доступа — это не «на потом», а часть архитектуры безопасности с самого начала.
Что делать, если токен потерян, биометрия не сработала или сервер упал
Беспарольный доступ — это удобно до тех пор, пока все работает. Но в жизни случаются форс-мажоры: утерян ключ безопасности, палец в гипсе, сервер аутентификации ушел в аут. Что тогда?
У надежной системы всегда есть план Б. И даже план В. Вот, что стоит предусмотреть:
- Backup-коды — одноразовые коды, которые пользователь получает при регистрации и хранит в безопасном месте. Работают даже без интернета и устройств.
- Временные SSO-доступы — ограниченные по времени и правам, выдаются администратором через защищенный канал, например, по внутреннему запросу через HelpDesk.
- Менеджеры восстановления — централизованные решения, позволяющие авторизоваться с помощью дополнительных факторов (например, видеозвонок с оператором или подтверждение через корпоративный мессенджер).
Аварийные сценарии не должны становиться «черным ходом». Они должны быть хорошо защищены, логироваться и сопровождаться многофакторной проверкой личности.
Идеальная система — та, которая не только защищает, но и не мешает работать. Слишком строгие меры приведут к блокировкам и жалобам, а слишком мягкие — к инцидентам.
Решение — гибкие политики доступа:
- например, разные сценарии восстановления для разных уровней риска (финансовые сервисы ≠ внутренний портал);
- адаптивная аутентификация в зависимости от поведения пользователя и контекста входа.
Безопасность — это не про «должно быть сложно». Это про умное проектирование процессов, которые учитывают человеческий фактор и жизненные ситуации.
Как безболезненно внедрить беспарольную MFA
Переход на passwordless-аутентификацию — это не революция, а аккуратная модернизация. Главное — двигаться поэтапно и не пытаться охватить все сразу.
Начать лучше с пилотных зон: определите критичные точки входа — административные панели, VPN, доступ к облачным сервисам. Именно там риск компрометации наибольший, и там же чаще всего и начинается внедрение. Запускаем пилот, например, на ИТ-отделе или безопасниках. Это даст возможность отработать сценарии и выявить слабые места до масштабирования.
Следующий шаг — работа с пользователями. Несмотря на то, что «ничего не нужно вводить» звучит как мечта, не все сразу поймут, зачем нужен токен и почему его нельзя терять. Небольшой обучающий блок, внутренняя рассылка с примерами, подсказки в интерфейсе — все это критично. Хорошая коммуникация снижает количество обращений в поддержку и снижает риск ошибок.
При выборе решения обращайте внимание не только на красивый интерфейс и маркетинговые обещания. Поддержка открытых стандартов вроде FIDO2 и WebAuthn — обязательна. Совместимость с вашей IAM-инфраструктурой и SSO-системами — критична. Хорошо, если есть гибкая настройка политик доступа и удобные аварийные сценарии на случай потери доступа.
Помните, надежный провайдер — это не просто поставщик технологии, а партнер, который поможет выстроить архитектуру под вашу инфраструктуру и бизнес-риски.
Заключение
Беспарольная многофакторная аутентификация — не модный тренд, а следующий логичный шаг в эволюции безопасности. Но это не магия: если подойти без стратегии, можно получить новые уязвимости вместо защиты.
Прозрачность процессов, продуманные резервные сценарии и понятный пользовательский опыт — вот что отличает успешное внедрение от боли и хаоса. Пароли уходят, но зрелый подход остается.
