MFA снижает эффективность брутфорс-атак до 1%

Новость30/10/2025

Компании, использующие в своей информационной инфраструктуре многофакторную аутентификацию (MFA), значительно снижают риск успешных атак грубой силы. По данным экспертов «Информзащиты», в организациях, где MFA не интегрирован, успешными оказываются около 40% брутфорс-атак, тогда как при использовании дополнительных факторов аутентификации - не более 1%.

Разница объясняется тем, что даже при компрометации пароля злоумышленнику требуется преодолеть ещё один уровень защиты, связанный с дополнительной проверкой подлинности пользователя.

Актуальность внедрения многофакторной аутентификации подтверждается стремительным ростом атак на пароли. За 9 месяцев 2025 года количество брутфорс-атак, направленных на получение доступа к ИТ-системам российских организаций, выросло почти втрое по сравнению с аналогичным периодом 2024 года. Эксперты «Информзащиты» отмечают, что брутфорс остаётся одним из наиболее распространённых инструментов атак: в более чем 90% случаев злоумышленники начинают с попытки подбора пароля, прежде чем переходят к использованию эксплойтов или социальной инженерии.

Злоумышленники выбирают брутфорс как быстрый и малозатратный способ первичного проникновения. Для этого они активно используют ботнеты, списки ранее утёкших паролей и словари с миллионами комбинаций. Современные инструменты автоматизируют процесс подбора, распределяя нагрузку по тысячам IP-адресов, что позволяет обходить элементарные блокировки и пороговые значения неудачных попыток входа. Особенно активно такие атаки направляются на промышленные предприятия, образовательные учреждения и медицинские организации, где инфраструктура часто устарела, а средства защиты внедряются точечно или отсутствуют вовсе. В этих средах редко применяются централизованные системы аутентификации, а политики паролей формируются вручную.

В «Информзащите» подчёркивают, что многофакторная аутентификация становится критически важным элементом защиты, особенно в условиях массового перехода на удалённый и гибридный форматы работы. Когда сотрудники подключаются к корпоративным ресурсам из разных сетей и устройств, поверхность атаки растёт, а традиционная парольная защита перестаёт быть надёжной. Одного скомпрометированного пароля достаточно, чтобы атакующий получил доступ к корпоративной почте, VPN или административным панелям. MFA устраняет этот риск, добавляя дополнительный шаг проверки - одноразовый код, биометрию, push-уведомление или аппаратный ключ.

«Эффективность MFA обусловлена тем, что даже при компрометации пароля злоумышленнику требуется получить доступ к дополнительному фактору аутентификации — будь то одноразовый код, биометрические данные или аппаратный токен. Это создаёт дополнительный барьер, который киберпреступники преодолеть не могут в абсолютном большинстве случаев»

говорит Анатолий Песковский, руководитель направления анализа защищенности IZ:SOC «Информзащиты».

Специалисты «Информзащиты» рекомендуют внедрять многофакторную аутентификацию для всех критически важных систем компании, включая корпоративную почту, CRM и ERP-платформы, VPN-подключения и административные панели. Особое внимание стоит уделить защите привилегированных учётных записей. Именно они чаще всего становятся целью атак, поскольку дают злоумышленнику возможность управлять инфраструктурой и изменять права доступа. При этом важно не ограничиваться только доменной аутентификацией - MFA должно быть включено на всех уровнях: при доступе к почтовым клиентам, к внутренним сервисам и к облачным панелям администрирования. При этом даже при наличии MFA необходимо регулярно проводить аудит прав доступа и проверять корректность настройки самой системы. Ошибки конфигурации, такие как разрешение fallback-аутентификации без второго фактора, могут полностью нивелировать эффект защиты. Также важно контролировать человеческий фактор: пользователи нередко подтверждают push-уведомления автоматически, не осознавая, что запрос поступил от злоумышленника.

Помимо внедрения MFA, эксперты «Информзащиты» рекомендуют использовать комплексный подход к защите учётных данных. В него входят регулярные проверки учётных записей и прав доступа, применение принципов Zero Trust, использование систем поведенческого анализа для выявления аномальной активности и обучение сотрудников методам противодействия фишингу и социальной инженерии.