Пароль больше не дает 100% гарантии защиты аккаунтов. Сегодня в открытом доступе и на теневых площадках находятся миллиарды учетных данных, собранных из старых и новых утечек. Однако двухфакторная аутентификация усложняет механику атаки. О том, как она усиливает защиту от типовых сценариев компрометации рассказал бизнес-партнер по информационной безопасности «1С-Битрикс» Леонид Плетнев редакции АБН24.

Фото: pxhere

Масштаб, по его словам, подтверждает статистика — только за два месяца 2026 года утечка логинов и паролей затронула 149 млн человек по всему миру. Украденная комбинация превратилась в массовый товар с понятной ценой и предсказуемым результатом. Двухфакторная аутентификация, в свою очередь, добавляет независимый компонент — устройство или биометрические данные — и усложняет механику атаки: одного совпадения пароля больше не хватает для входа, требуется дополнительно подтверждение с привязкой к непосредственно пользователю (биометрия) или его устройству.

Сценарий №1 — Фишинг

В 2025 году общее количество фишинговых сайтов в России выросло почти на 8% по сравнению с предыдущим годом, отметил эксперт. Сотруднику приходит сообщение с привычным контекстом «срочно согласовать документ», далее он переходит по ссылке на страницу-клон корпоративного портала и вводит логин и пароль. С технической точки зрения на этом этапе атака уже успешна: секрет передан злоумышленнику добровольно.

«Если дополнительной защиты нет, дальнейшие действия предсказуемы. Полученные данные используются для входа в систему, создания постоянной сессии и закрепления внутри корпоративной среды. Внешне это выглядит как обычная авторизация легитимного пользователя», — подчеркнул Плетнев.

При включенной двухфакторной аутентификации цепочка обрывается. После ввода пароля система требует подтверждение входа с доверенного устройства — например, через уведомление в мобильном приложении сервиса. Пользователь получает запрос на подтверждение и видит попытку входа, которую он не инициировал. Достаточно отклонить запрос, чтобы авторизация не состоялась. Сам факт знания пароля уже не дает доступа.

Сценарий №2 — Массовая подстановка паролей

Второй распространенный сценарий — автоматическая проверка украденных учетных данных. В 2025 году было собрано 2 млрд уникальных адресов электронной почты и 1,3 млрд паролей из утечек, пригодных для атак с массовой подстановкой. Злоумышленник берет такую базу и запускает программу, которая по списку проверяет пары «логин–пароль» на корпоративном портале. Если сотрудник использовал ту же комбинацию в другом сервисе, совпадение обнаруживается за секунды. Человеческое участие в атаке минимально: проверка идет непрерывно и масштабируется техническими средствами. Одна крупная база способна дать десятки и сотни успешных входов в разных компаниях.

Однако, как рассказал специалист, автоматизированная программа не способна пройти этап двухфакторной аутентификации. Практика показывает, что защита может быть встроена в рабочий процесс без избыточной нагрузки на пользователя.

«В системах, где реализован механизм доверенных устройств, повторные входы с привычного устройства не требуют постоянного подтверждения, при этом авторизация с нового устройства неизбежно активирует второй фактор. Например, устройство можно отметить как доверенное, и это сохраняет баланс между удобством работы и контролем доступа», — добавил спикер.

Так, по его словам, массовая автоматическая атака теряет экономический смысл. Чтобы получить доступ, злоумышленнику требуется индивидуальное взаимодействие с пользователем или сложная дополнительная компрометация. Стоимость и время атаки растут, а масштабируемость снижается.

Сценарий №3 — Инфостилеры

Третий сценарий связан с вредоносными программами, которые незаметно собирают учетные данные на устройстве пользователя. Инфостилер устанавливается под видом полезного инструмента или обновления, после чего выгружает сохраненные в браузере пароли, данные сессий и иные идентификаторы.

«При отсутствии дополнительной защиты полученный набор логинов и паролей позволяет атакующему авторизоваться в сервисах от имени сотрудника и развивать атаку внутри инфраструктуры. Повторное использование одной и той же комбинации в разных системах упрощает задачу: одна зараженная машина способна открыть доступ сразу к нескольким ресурсам компании», — объяснил Плетнев.

При включенной двухфакторной аутентификации даже если комбинация совпала, система не создает сессию без второго шага проверки. Системный эффект здесь принципиален, считает эксперт. Утечка из одного сервиса больше не означает автоматический доступ к другим, где активирована двухфакторная защита. Массовые базы украденных паролей теряют прикладную ценность: они дают лишь половину данных, необходимых для входа.

Предел технологии

Двухфакторная аутентификация устраняет главную слабость пароля — его самостоятельность как единственного ключа доступа. Даже если комбинация логина и пароля известна злоумышленнику, вход не состоится без подтверждения со стороны пользователя. На уровне системы цепочка атаки обрывается.

Но даже двухфакторная аутентификация не сможет на 100% защитить от атак. Типовой сценарий — звонок с представлением сотрудником службы безопасности и просьбой продиктовать код подтверждения входа. Пользователь получает уведомление, называет код, и система фиксирует корректную авторизацию.

Плетнев заключил, что двухфакторная аутентификация блокирует массовые и автоматизированные атаки и должна быть обязательным стандартом корпоративной безопасности, но ее эффективность сохраняется при одном условии — код подтверждения остается личным инструментом доступа и не передается третьим лицам, либо такая передача исключена за счет строгой привязки второго фактора к доверенному устройству, с которого осуществляется вход.