Зачем нужна двухфакторная аутентификация
Может ли SMS-код защитить аккаунт от взлома
Утечек персональных данных за последние два года стало больше, и они превратились в проблему для государства, бизнеса и пользователей. По данным исследования ГК InfoWatch, в 2023 году утекло более 1,12 млрд записей.
В топ отраслей с наиболее масштабными утечками вошли госорганы (19,2%), ритейл (16,6%), банки (10%). В этих сферах распространены электронные сервисы, где хранятся паспортные данные и платежная информация граждан.
Бизнес-партнер в компании Edna (поставщик решений и сервисов в области цифровых коммуникаций) Александр Дубровин рассказал, почему увеличивается количество утечек и как бизнес может защитить данные своих клиентов с помощью двухфакторной аутентификации.
Причины, по которым утечек становится все больше
У роста утечек есть несколько причин.
Хактивисты взламывают ИТ-инфраструктуру и сливают данные по политическим мотивам. Если крупные компании достаточно защищены, то малый и средний бизнес уязвим перед ними. В прошлом году доля малого бизнеса в структуре утечек выросла до 34,1%.
Социальные инженеры взламывают аккаунты с целью наживы. При этом социальная инженерия активно развивается за счет искусственного интеллекта, больших языковых моделей, которые помогают разрабатывать наиболее эффективные схемы влияния на людей.
Слитые в сеть данные используются для взлома аккаунтов. Зная паспортные данные, дату рождения, номер телефона человека, пару «логин-пароль» от одного сервиса, преступник может взломать практически любой аккаунт. Часто для этого используются брутфорс, то есть автоматический подбор пароля или его «восстановление» через кодовое слово.
Часто пользователи сами облегчают работу хакерам. Многие люди склонны применять для авторизации на всех сервисах одну пару «логин-пароль» или использовать в качестве пароля дату рождения, имя и другую личную информацию. Такой пароль — подарок хакеру, так как его можно подобрать за минуту.
Зачем нужна двухфакторная аутентификация
В ответ на рост утечек государство стало ужесточать законодательство в сфере защиты персональных данных. С 1 декабря 2023 года была запрещена авторизация на российских сайтах с помощью Google и Apple ID. На государственных ресурсах, например, на порталах «Госуслуги» и «Мос-ру» введена обязательная двухфакторная аутентификация (2FA).
Появились и отраслевые требования. Например, ЦБ рекомендовал банкам проверять email-адреса, которые используются при авторизации, делать мониторинг IMSI (идентификатор мобильного абонента) и IMEI (индивидуальный номер мобильного телефона) клиентов.
Бизнесу тоже пришлось решать задачи защиты персональных данных, чтобы избежать штрафов и репутационных потерь. В результате здесь стал расти спрос на подключение двухфакторной и многофакторной аутентификаций.
Двухфакторная аутентификация подходит и для защиты персональных данных клиентов компании, и для контроля доступа к внутреннему ИТ-ландшафту: корпоративным системам, облакам, административной панели сайта, авторизованной зоне сайта для партнеров, поставщиков и т.д.
Проникновение в эти системы приводит к утечкам коммерческой информации, ущерб от которых, как правило, больше, чем от утечек личной информации.
По теме. Онлайн-мошенничество скоро превратится в битву между ИИ
Человеческий фактор vs второй фактор
Второй фактор защищает авторизацию почти на 100%, но слабое звено этой технологии — человек. Отправляемый OTP (One Time Password или одноразовый пароль) имеет ограниченный срок действия. Как правило, несколько минут. Это делает любые попытки взлома брутфорсом или восстановлением пароля бесполезными, так как без второго фактора авторизоваться все равно не получится, а к нему доступа нет.
Однако второй фактор не поможет, если в компании не соблюдается политика доступа, правила включения и отключения пользователей. Около 45% утечек связаны с действиями персонала, в том числе и неосознанными. Нужно следить, чтобы у уволившихся сотрудников не было доступа к корпоративным системам. При этом важно обучать персонал кибергигиене.
Частично проблему человеческого фактора можно решить и за счет сокращения срока жизни OTP, например, дав пользователю не более 20 секунд на ввод кода.
Из старых схем обхода второе рождение переживает подмена SIM-карты. Возрождение метода связано с распространением eSIM и увеличением количества виртуальных операторов связи.
Для подмены SIM-карты мошеннику нужен скомпрометированный аккаунт, который он взял из ранее утекших данных, и телефон с поддержкой eSIM. Он подает заявку на перевыпуск карты или «переходит» к виртуальному оператору с сохранением номера. Получив телефон с нужным номером, можно войти в любые сервисы и украсть деньги, взять кредиты и т.д.
Будущее двухфакторной аутентификации
По нашим данным, среди компаний, использующих 2FA, 20% добавляет только один дополнительный фактор, а 40% — два и более. В качестве второго фактора используются разные методы: SMS OTP, email-ссылка, email OTP, SMS со ссылкой, голосовые звонки с кодом-роботом, приложения аутентификаторы, флеш-носители с токеном, биометрия.
На наш взгляд, технология 2FA будет развиваться дальше и появятся новые методы защиты. Например, из последних новинок можно отметить QR-код в качестве второго фактора. Это интересный метод с точки зрения надежности, но он не очень удобен для пользователей.
Рано или поздно придет в Россию и технология RCS. Это новый протокол коротких сообщений, который позволяет пользователям обмениваться медиафайлами. Скорее всего, со временем технология полностью заменит SMS.
Двухфакторную аутентификацию будут подключать все больше компаний: причем даже из тех отраслей, которые раньше не задумывались о защите аккаунтов своих пользователей, клиентов и сотрудников. При этом, как нам кажется, будет расти и количество случаев, когда используется второй фактор. Например, если раньше банки отправляли код подтверждения в среднем в четырех случаях, то сейчас таких сценариев около 15.
По теме. Тест: Узнайте, насколько ваш сайт готов к хакерской атаке
Как пользователям обезопасить себя
Пользователям можно посоветовать подключать двухфакторную аутентификацию не только на портале «Госуслуги» и в приложении банка, а везде, где есть какая-то значимая информация: социальные сети, мессенджеры, e-mail, личные кабинеты на маркетплейсах и в интернет-магазинах.
Подключение даже одного дополнительного фактора повышает безопасность в несколько раз. Авторизация по паре «логин-пароль» или «телефон-пароль» дает мнимое спокойствие. Из-за массовых утечек номера телефонов давно доступны, а пароль, особенно если он не самый надежный, можно подобрать за минуту брутфорсом.
Фото на обложке: Freepik
-
Партнёрский материал Онлайн-инкассация: как превратить наличную выручку в рабочий капитал 01 июня 2026, 10:00
-
Личное Сундар Пичаи. Как эмигрант из Индии за 11 лет прошёл путь от продакт-менеджера до CEO Google 08 июля 2026, 23:19
-
Технологии Уроки китайского единства 26 мая 2026, 13:27
-
Искусственный интеллект Нам не нужен свой OpenAI: где России искать эффект от ИИ и что для этого делать 19 мая 2026, 11:00
-
Искусственный интеллект Экономика суверенитета: как финансовый сектор, промышленность и ретейл монетизируют новые технологии 28 апреля 2026, 17:00
-
Искусственный интеллект Цифровизация начинается не с ИИ: эксперты рынка — о том, почему для трансформации бизнеса нужно изменить мышление 03 июля 2026, 11:58
-
Бизнес Не из гаража, а почти из холодильника: история Geely 01 июля 2026, 14:58
-
Искусственный интеллект «Мы знаем 50 миллионов книг через их описания, а не содержание»: зачем Ленинке искусственный интеллект 26 июня 2026, 11:00
-
Искусственный интеллект В России приняли первый закон о регулировании ИИ — юристы рассказали о спорных положениях документа 12 июля 2026, 19:00
-
Кибербезопасность В России выросло число фейковых сайтов Apple — злоумышленники «продают» подарочные карты для пополнения Apple ID 11 июля 2026, 19:00
-
Искусственный интеллект Китай может ограничить иностранцам доступ к передовым ИИ-моделям — российский бигтех не видит повода для паники 11 июля 2026, 08:00
-
Бизнес Менее 20% российских компаний нанимают подростков — обычно им предлагают работу курьерами, официантами и продавцами 12 июля 2026, 15:00
-
Автомобили Средний размер автокредита в РФ достиг 1,25 млн ₽ — чаще всего водители покупают машины 2017 года выпуска 12 июля 2026, 11:00
-
Бизнес Мосбиржа переходит на 17-часовой режим работы на срочном рынке — платформа шла к этому почти два года 11 июля 2026, 16:00
-
Технологии Instagram* может изменить дизайн приложения — из него исчезнет бесконечная лента контента 10 июля 2026, 19:10
-
Реклама Альфа-Конфа соберёт лидеров HoReCa в Казани: предприниматели обсудят, что помогает ресторанам расти 07 июля 2026, 17:31