Как настроить 2FA в корпоративной среде: пошаговый гайд
По данным Microsoft, двухфакторная аутентификация блокирует 99,9% автоматизированных атак на учётные записи. При этом большинство успешных взломов корпоративных аккаунтов происходит именно там где 2FA не включена или не обязательна.
Внедрить 2FA в небольшой команде занимает один день. В компании на 200 человек с разными системами — одну-две недели. Откладывать это на потом становится всё дороже: каждый месяц без второго фактора на критических системах — это открытая дверь для credential stuffing и фишинга.
Разбираем как правильно выстроить 2FA в корпоративной среде — от выбора метода до онбординга сотрудников.
Шаг 1. Определить периметр: где 2FA обязательна
Не каждая система требует одинакового уровня защиты. Начните с составления карты доступов и выделите три приоритета.
Обязательно немедленно. Корпоративная почта, мессенджеры с рабочими данными, менеджер паролей, VPN, системы с персональными данными, финансовые системы, доступ к production-инфраструктуре.
Обязательно в течение месяца. Все административные панели, системы управления проектами, облачные хранилища с рабочими документами, CRM.
Рекомендуется. Всё остальное где есть корпоративные данные.
Для субъектов КИИ и организаций под надзором ФСТЭК приказ №117 (мера ИАФ.5) напрямую требует многофакторной аутентификации для доступа к значимым ресурсам. Это не рекомендация — обязательное требование.
Шаг 2. Выбрать метод 2FA
Методов несколько, и каждый подходит для разных ситуаций.
TOTP (Time-based One-Time Password). Одноразовые коды из приложений на смартфоне: Google Authenticator, Яндекс Ключ, Microsoft Authenticator, Aegis. Оптимальный выбор для большинства компаний: бесплатно, работает оффлайн, не требует SIM-карты, хорошо знаком пользователям. Код обновляется каждые 30 секунд. Даже если злоумышленник получил пароль — войти без телефона сотрудника не сможет.
SMS-коды. Простой в настройке и понятный пользователям метод. Слабее TOTP: SIM-своп и перехват SMS — реальные векторы атак. Для базовой защиты подходит, для систем с чувствительными данными лучше использовать TOTP или аппаратные ключи.
Аппаратные токены. YubiKey, Рутокен или другие FIDO2/WebAuthn устройства. Максимальная защита: ключ физически присутствует при аутентификации, фишинг и перехват невозможны архитектурно. Стоят деньги (1 000–5 000 рублей за устройство), требуют логистики. Обязательны для привилегированных аккаунтов и систем с особыми требованиями.
Корпоративные MFA-решения. Мультифактор (российский продукт), Keycloak с TOTP-плагином, Microsoft Entra ID. Дают централизованное управление вторым фактором для всей организации, интеграцию с SSO и возможность принудительного включения.
Шаг 3. Настроить 2FA в корпоративных системах
В BearPass
В BearPass двухфакторная аутентификация настраивается в разделе «Безопасность» профиля. Поддерживается TOTP через любое совместимое приложение. После включения система запросит код при каждом входе.
Для принудительного включения 2FA для всех пользователей: раздел «Администрирование» → «Настройки» → «Обязательная двухфакторная аутентификация». После включения пользователь при следующем входе обязан настроить второй фактор до получения доступа к системе.
В Active Directory через Keycloak
Keycloak — open source Identity Provider который часто используется как центральная точка управления аутентификацией в организациях. Настройка TOTP для всех пользователей:
- Войти в Keycloak Admin Console
- Выбрать нужный Realm → Authentication → Required Actions
- Включить «Configure OTP» как обязательное действие (Required) или разовое (Default)
- В Authentication Flows настроить OTP как обязательный шаг в Browser Flow
После этого при следующем входе все пользователи получат запрос настроить TOTP.
В корпоративных сервисах
Большинство корпоративных SaaS-сервисов поддерживают TOTP из коробки. Стандартный путь: Настройки безопасности → Двухфакторная аутентификация → Включить для организации (принудительно). GitLab, Bitbucket, Confluence, Jira — у каждого есть опция обязательного 2FA на уровне организации или группы.
Шаг 4. Онбординг сотрудников
Это самый недооценённый этап. Технически 2FA можно включить за час. Но если сотрудники не готовы — будут звонки в поддержку, заблокированные аккаунты и сопротивление.
Объявить заранее. За 1–2 недели до включения разослать понятное письмо: с такого-то числа для входа в [системы] потребуется второй фактор. Вот инструкция как установить и настроить приложение.
Дать пошаговую инструкцию. С картинками, без технического жаргона. Скачать приложение → открыть настройки безопасности → нажать «Настроить 2FA» → отсканировать QR-код → ввести шестизначный код для проверки.
Провести сессию поддержки. Выделить 30–60 минут когда IT-сотрудник доступен для помощи. Онбординг в онлайне занимает 5 минут на человека — большинство справляются сами, у некоторых будут вопросы.
Установить дедлайн. «Рекомендуется» работает хуже чем «обязательно с такого-то числа». После дедлайна вход без второго фактора должен быть заблокирован.
Шаг 5. Резервные коды и процедура восстановления
Если сотрудник потерял телефон — как он войдёт в систему? Это нужно продумать заранее, иначе потеря телефона превратится в экстренный инцидент.
Резервные коды. При настройке TOTP система генерирует набор одноразовых резервных кодов. Их нужно сохранить в безопасном месте — в распечатанном виде или в надёжном хранилище. Каждый код используется один раз.
Процедура сброса. Администратор должен иметь возможность сбросить 2FA для конкретного пользователя после верификации его личности. В BearPass это делается через административный интерфейс в карточке пользователя.
Запасное устройство. Для критических аккаунтов (системные администраторы, руководство) рекомендуется иметь TOTP настроенный на двух устройствах или использовать аппаратный токен как запасной вариант.
2FA и менеджер паролей: как они работают вместе
Двухфакторная аутентификация и менеджер паролей не конкурируют — они дополняют друг друга.
Менеджер паролей решает задачу надёжных уникальных паролей для каждой системы. 2FA добавляет второй слой защиты поверх этого: даже если пароль скомпрометирован, вход без второго фактора невозможен.
Оптимальная модель: каждая система имеет уникальный случайно сгенерированный пароль из менеджера плюс обязательный TOTP. Атака через credential stuffing (подбор пар логин-пароль из утечек) становится бессмысленной — пароль уникален и даже если он скомпрометирован, без второго фактора он бесполезен.
В BearPass пароли и TOTP-коды хранятся в одном защищённом хранилище. Браузерное расширение подставляет и пароль и код при входе в нужную систему — без ручного переключения между приложениями.
Частые ошибки при внедрении 2FA
Включить 2FA только для части систем. Злоумышленник найдёт систему без второго фактора и войдёт через неё. 2FA работает только если охватывает весь периметр чувствительных систем.
Оставить 2FA необязательной. «Рекомендуем включить» означает что половина сотрудников не включит. 2FA должна быть принудительной для критических систем.
Не иметь процедуры восстановления. Первый же потерянный телефон без процедуры сброса превращается в инцидент. Процедура должна быть задокументирована до того как понадобится.
Использовать SMS как единственный метод. SMS-коды уязвимы к SIM-своп атакам. Для систем с чувствительными данными TOTP или аппаратные ключи надёжнее.
Не обучить сотрудников. Техническое внедрение без онбординга приводит к звонкам в поддержку и саботажу. Час на объяснение экономит дни на разгребание последствий.
Итог
2FA блокирует 99,9% автоматизированных атак на аккаунты. Настройка занимает один день. Откладывать не стоит.
Последовательность простая: определить где 2FA обязательна, выбрать TOTP как базовый метод, включить принудительно с дедлайном, провести онбординг, документировать процедуру восстановления.