Многофакторная аутентификация (MFA)

SEC-CTRL-0001 карта меры

Статусчерновик

Версия0.1

Опубликовано08.06.2026

Пересмотрдо 08.06.2027

Доказанность Bкрупные наблюдательные данные

1. Утверждение

Включение второго фактора аутентификации существенно снижает вероятность захвата учётной записи при атаках, основанных на знании пароля (перебор, утечки, массовый фишинг). Размер эффекта сильно зависит от типа фактора и типа атаки: против целевого фишинга с перехватом сессии (AiTM) сохраняют эффективность только фишинг-устойчивые методы (FIDO2/WebAuthn, аппаратные ключи, смарт-карты). MFA не защищает от кражи уже выданной сессии.

2. Какую управляемость сохраняет

Учётная запись — точка входа в роль субъекта в системе. Захват записи означает, что действиями от имени субъекта управляет противник: транзакции, переписка, права администратора, доступ к данным. MFA не «защищает аккаунт» как ценность саму по себе — она не даёт противнику присвоить роль субъекта, опираясь только на скомпрометированный пароль.

3. Механизм действия

Пароль — переносимый секрет: его можно украсть, угадать, купить, и он одинаково работает в руках владельца и противника. Второй фактор привязывает вход к обладанию объектом (телефон, токен) или к каналу, который противнику дороже воспроизвести. Разрывается звено атаки «знание пароля → вход».

Критическое различие внутри класса:

Коды и push (SMS, TOTP, push-уведомления) — проверяют обладание, но передают одноразовый секрет через пользователя. Пользователя можно обмануть (ввести код на фишинговой странице, подтвердить чужой push), поэтому звено «обман человека» остаётся.
FIDO2/WebAuthn — криптографическая подпись привязана к origin (домену) сервиса. Фишинговый сайт получает подпись, бесполезную для настоящего сервиса. Звено «обман человека» разрывается на уровне протокола.

4. Доказательная база

Источник	Год	Тип данных	Ключевой результат	Уровень
Google / NYU / UCSD, «Evaluating Login Challenges as a Defense Against Account Takeover» (WWW’19)	2019	Наблюдательное, ~350 тыс. реальных попыток захвата, >1 млн аккаунтов	Привязка устройства (on-device prompt): блокирует ~100% автоматизированных ботов, ~99% массового фишинга, ~90% целевых атак. SMS: ~100% / ~96% / ~76%. Аппаратные ключи: ~100% по всем категориям	B
Microsoft (Weinert), «Your Pa$$word doesn’t matter» и связанные публикации	2019	Телеметрия Azure AD, методология не опубликована	Заявление «MFA блокирует >99,9% атак на учётные записи». Цифра вошла в массовый оборот, но проверить её по публикации нельзя	D
Microsoft Research, «How effective is multifactor authentication at deterring cyberattacks?» (arXiv:2305.00945)	2023	Наблюдательное, данные Azure AD, опубликованная методология	Снижение риска компрометации на ~99,2% по всей популяции; ~98,6% для аккаунтов с утёкшими паролями	B
Microsoft Threat Intelligence, отчёты об AiTM-кампаниях (Evilginx-класс, EvilProxy)	2022–2024	Расследования инцидентов, телеметрия	Кампании AiTM-фишинга против >10 тыс. организаций успешно обходят OTP/push; рост PhaaS-сервисов	B/C
CISA, «Implementing Phishing-Resistant MFA»	2022	Методический документ	Иерархия факторов: фишинг-устойчивые методы > push с подтверждением контекста > OTP > SMS	C
NIST SP 800-63B	2017–н.в.	Стандарт	SMS (PSTN-канал) — ограниченно допустимый фактор из-за рисков перехвата и SIM-swap	C

Критика источников. Цифра «99,9%» Microsoft 2019 года — самое цитируемое и самое слабое утверждение в этой теме: без методологии, без разбивки по типам атак, измерена в эпоху до массового AiTM. Исследование 2023 года частично закрывает этот пробел, но оба источника принадлежат вендору, продающему решения аутентификации, — конфликт интересов фиксируем. Исследование Google 2019 также вендорское, но с опубликованной методологией и разбивкой по типам атак, поэтому остаётся опорным.

5. Размер эффекта

Эффект нельзя выражать одной цифрой — только матрицей «тип фактора × тип атаки» (по данным Google 2019, Microsoft 2023):

Тип атаки	SMS	OTP/Push	FIDO2 / аппаратный ключ
Автоматизированный перебор / credential stuffing	~100%	~100%	~100%
Массовый фишинг	высокий (~96%)	высокий, снижается с ростом AiTM	~100%
Целевой фишинг (AiTM)	низкий–средний (~76% в 2019, ниже сегодня)	низкий–средний	~100%
MFA fatigue (бомбардировка push)	не применимо	уязвим	не уязвим
Кража сессионных cookie (инфостилеры)	0%	0%	0%

Важно: оценки 2019 года для целевых атак следует считать верхней границей — индустриализация AiTM (фишкиты как сервис) произошла после публикации.

6. Границы применимости

Защищает:

от использования украденных/утёкших/подобранных паролей;
от массового фишинга без прокси-инфраструктуры;
FIDO2 — дополнительно от целевого AiTM-фишинга.

Не защищает:

от кражи действующей сессии (инфостилеры, pass-the-cookie) — фактор проверяется при входе, а не при каждом действии;
от компрометации конечного устройства (malware видит всё после входа);
от атак через процедуру восстановления доступа, если она слабее основного входа;
от социальной инженерии против службы поддержки (сброс MFA «сотруднику» — сценарий инцидента MGM Resorts, 2023);
от злоупотребления легитимным доступом (инсайдер, OAuth-согласия);
от входа по устаревшим протоколам, не поддерживающим MFA (legacy auth: IMAP/POP/SMTP basic auth).

7. Известные способы обхода

Способ	Появление / массовость	Против каких факторов	Статус
AiTM-прокси (Evilginx, Modlishka, EvilProxy)	Инструменты с 2017–2019, индустриализация с 2021–2022	SMS, OTP, push	Массовый, PhaaS-рынок
MFA fatigue / push-бомбардировка	Громкие кейсы 2022 (Uber, Lapsus$)	Push без подтверждения контекста	Распространён
SIM swap / перехват SS7	Давний, устойчивый	SMS	Целевые атаки
OTP-боты (выманивание кода голосом/ботом)	С ~2021	SMS, TOTP	Массовый в финансовом секторе
Социнженерия helpdesk (сброс фактора)	Постоянный; резонанс — 2023	Любые, через процесс	Целевые атаки
Кража cookie / токенов сессии	Рост вместе с рынком инфостилеров	Любые (обход, а не взлом фактора)	Массовый
Device code phishing, злоупотребление OAuth	С ~2021	Любые, через смежные потоки аутентификации	Растёт

8. Условия эффективности

Покрытие без исключений для привилегированных ролей. Исключения «для удобства VIP» — типовая точка входа.
Отключены устаревшие протоколы, не проходящие через MFA (legacy authentication).
Процедура восстановления доступа не слабее основного входа — иначе атака идёт через recovery.
Push — только с подтверждением контекста (number matching, геопривязка), иначе уязвим к fatigue-атакам.
Для администраторов и критичных ролей — фишинг-устойчивые факторы (FIDO2/аппаратные ключи), не SMS.
MFA дополнена защитой сессии: ограничение времени жизни токенов, привязка к устройству, мониторинг аномалий — иначе кража cookie обнуляет эффект.

9. Как проверить у себя

Доля учётных записей с включённой MFA, отдельно — для привилегированных ролей (цель: 100% без исключений).
Доля входов по протоколам, обходящим MFA (цель: 0; проверяется в логах IdP).
Фишинг-симуляция с AiTM-китом (Evilginx в учебном режиме): какая доля сотрудников «отдаёт» сессию, несмотря на MFA.
Тест процедуры восстановления: может ли человек, знающий публичные данные сотрудника, добиться сброса фактора через поддержку.
Метрика инцидентов: доля подтверждённых захватов аккаунтов с включённой MFA против без неё в собственной телеметрии.

10. Что опровергло бы это утверждение

Появление воспроизводимых данных о массовых компрометациях аккаунтов, защищённых FIDO2, через сам механизм аутентификации (а не через устройство или recovery).
Телеметрия (своя или отраслевая), показывающая, что доля захватов аккаунтов с MFA приблизилась к доле захватов без MFA, — это означало бы, что атаки полностью мигрировали в обходные каналы и фактор входа перестал быть значимым звеном.
Независимая репликация, существенно понижающая оценки Google 2019 / Microsoft 2023.

Частичная фальсификация уже произошла и учтена: оценки эффективности OTP/push против целевого фишинга, актуальные в 2019, к 2023–2024 устарели из-за индустриализации AiTM. Это понизило бы карту версии-2019 и является главной причиной годового цикла пересмотра.

11. Стоимость владения

Лицензии IdP/MFA-сервиса; аппаратные ключи для привилегированных ролей (разовая закупка + запасные).
Рост обращений в поддержку: потерянные телефоны, смена устройств — основная операционная статья.
Проектирование и защита процедуры восстановления (часто дороже самого внедрения, если делать честно).
Трение для пользователей: измеримо снижается при FIDO2/passkeys по сравнению с OTP.
Скрытая статья: инвентаризация и отключение legacy-протоколов — может вскрыть зависимость старых систем.

12. Типичные ошибки внедрения

SMS как фактор для администраторов.
Исключения для руководства и сервисных учётных записей.
Не отключён legacy auth — MFA существует, но обходится штатно.
Push без number matching.
Recovery через звонок в поддержку с проверкой по дате рождения.
MFA только на VPN/периметре, внутри сети — однофакторный доступ ко всему.
Вечные сессии: фактор спрашивается раз в год, украденный cookie живёт месяцами.

13. Связанные меры и связки

MFA — элемент связки «контроль доступа к ролям», эффект которой держится на четырёх ногах: MFA + отключение legacy auth + защита сессий + защищённая процедура восстановления. Изъятие любой из четырёх переводит остальные в декоративный режим. Смежные карты: парольные политики (SEC-CTRL-0002), условный доступ (SEC-CTRL-0003), защита сессий и токенов (SEC-CTRL-0004).

14. История пересмотров

Версия	Дата	Изменения
1.0	2026-06-09	Первая публикация. Уровень B. Заложен годовой цикл пересмотра из-за динамики AiTM и роста session-theft.

Источники

Doerfler P. et al. Evaluating Login Challenges as a Defense Against Account Takeover. Proc. WWW, 2019 (Google / NYU / UCSD)
Google Security Blog. New research: how effective is basic account hygiene at preventing hijacking. 2019
How effective is multifactor authentication at deterring cyberattacks? Microsoft, 2023. arXiv:2305.00945
Weinert A. Your Pa$$word doesn't matter. Microsoft Tech Community, 2019
CISA. Implementing Phishing-Resistant MFA. 2022
NIST SP 800-63B. Digital Identity Guidelines: Authentication and Lifecycle Management
Microsoft Threat Intelligence. Отчёты об AiTM-кампаниях (Evilginx-класс, EvilProxy), 2022–2024