Пароли и MFA: почему даже вместе они не обеспечивают полную защиту

Паролей оказалось недостаточно, поэтому мы добавили многофакторную аутентификацию. Теперь и её уже не хватает. В этом видео для Help Net Security Карло Затыльный, технический директор и руководитель информационной безопасности в Portnox, объясняет, почему каждый уровень защиты идентичности оказался уязвим и что нас ждёт в будущем.

SMS-коды можно перехватить с помощью подмены SIM-карты. Приложения-аутентификаторы уязвимы для атак повторного использования и спам-уведомлений. И даже когда MFA работает корректно, перехват сессии позволяет злоумышленникам выдавать себя за пользователя после успешной аутентификации.

Решение — третий уровень защиты, основанный на стандартах FIDO2, WebAuthn и аппаратных сертификатах. Вместо того чтобы полагаться только на токен сессии, каждый запрос подписывается закрытым ключом, хранящимся в защищённом аппаратном модуле. Это значительно усложняет кражу учётных данных, поскольку злоумышленнику потребуется физический доступ к устройству.

Вебинар: Реальное состояние безопасности в 2026 году