MFA-системы

Не пароль, а пропуск: как российские MFA-системы переосмыслили доверие к пользователю

Раньше считалось, что надёжный пароль — это уже половина защиты. Сегодня мы знаем: пароль — это всего лишь данные. Их можно украсть, подобрать, выманить фишингом или просто найти в утечке. Поэтому доверие к пользователю больше не строится на «знает/не знает», а на «владеет/не владеет» и «есть/нет». Именно так работает мультифакторная аутентификация (MFA) — не как дополнительная галочка, а как фундамент современной модели безопасности.

В российских реалиях MFA — это не просто технология, а инструмент соответствия: требования ФСТЭК, Приказ №31, ГОСТ Р 57580, стандарты КИИ — все они прямо или косвенно предписывают использование двух и более факторов для доступа к критическим системам. Но главное — российские MFA-решения сегодня предлагают не «локализованные аналоги», а архитектурно автономные платформы, которые умеют интегрироваться как с отечественными, так и с международными ИТ-ландшафтами — без зависимости от облаков, API-лимитов или геополитических сценариев.

Российский MFA: от токенов к единой политике доверия

На рынке выделяются несколько игроков, каждый из которых пошёл своим путём.

«Мультифактор» — архитектура как ответ на вызовы

Компания «Мультифактор» (ранее — «Алгосекьюр») стала одним из первых российских вендоров, кто предложил универсальную платформу MFA, а не набор отдельных решений под OTP-токены или SMS. Их подход — модульность и совместимость:

• Поддержка всех основных протоколов: RADIUS, SAML, OAuth 2.0, OpenID Connect, LDAP.
• Интеграция «из коробки» с Microsoft Active Directory, Microsoft Entra ID (Azure AD), VMware Horizon, Citrix, 1С:Предприятие, Р7-Офис, Astra Linux, «Ред ОС», «Альт».
• Поддержка аппаратных токенов (OATH-совместимых), программных генераторов (Google Authenticator, Microsoft Authenticator), push-уведомлений, биометрии и смарт-карт с ГОСТ.
• Возможность развёртывания в полностью автономном режиме — без подключения к интернету, что критично для закрытых сетей.
• Гибкая система политик: можно задать разные методы MFA для разных групп пользователей, приложений или даже географических локаций (например, дома — push, в офисе — смарт-карта, в роуминге — OTP).

Особенно ценна их поддержка российских стандартов шифрования: интеграция с криптопровайдерами (ViPNet, КриптоПро), использование ГОСТ Р 34.10-2012 для подписи токенов, поддержка УКЭП. Это делает их решение фактически единственным MFA-вендором, полностью закрывающим требования ФСТЭК для систем категории 1–2.

«Лаборатория Касперского» — MFA как часть XDR

Kaspersky Security для корпоративного доступа (Kaspersky Adaptive Authentication) — это не отдельный продукт, а компонент экосистемы. Его сила — в контексте:

• Анализ риска сессии в реальном времени: если пользователь входит с нового устройства, в нерабочее время, из подозрительного региона — система может запросить второй фактор или заблокировать доступ.
• Интеграция с EDR-агентами: если на устройстве обнаружена угроза, MFA-платформа автоматически повышает уровень проверки.
• Поддержка FIDO2/WebAuthn для бесконтактной аутентификации через биометрию или аппаратные ключи (YubiKey и др.).
• Хотя решение может работать автономно, его полная мощь раскрывается при интеграции с Kaspersky Unified Monitoring and Analysis Platform (UMA).

«Ростелеком» (СофтЛайн / RSA-совместимые решения)

«Ростелеком» предлагает MFA-решения в рамках госзаказа, часто на базе собственных или адаптированных платформ. Акцент — на централизованную аутентификацию для госуслуг и КИИ, с поддержкой:

• Единой системы идентификации и аутентификации (ЕСИА),
• УКЭП и СМЭВ,
• Смарт-карт с российскими сертификатами.

Однако такие решения редко используются в коммерческом секторе из-за высокой связанности с госэкосистемой.

«Аладдин Р.Д.» (eToken)

Хотя больше известны как производитель аппаратных ключей eToken, они также предлагают PKI-ориентированный подход к MFA, где второй фактор — это не OTP, а цифровая подпись на токене. Это особенно востребовано в банковской сфере и при работе с ЭЦП. Поддержка ГОСТ и интеграция с КриптоПро делают их решение надёжным для high-risk сценариев.

Интеграция: где российский MFA работает лучше всего

Российские MFA-платформы особенно сильны в смешанных ИТ-ландшафтах:

• С Microsoft: все ведущие решения поддерживают Azure AD и Entra ID через SAML/OAuth. «Мультифактор», например, может выступать как внешний IdP для Conditional Access.
• С Citrix и VMware: интеграция через RADIUS позволяет защищать виртуальные рабочие столы без изменения клиентского ПО.
• С российскими ОС и приложениями: Astra Linux, Р7-Офис, «1С:Предприятие», «Канцлер», «Почтовый сервер Р7» — все они имеют официальные или community-адаптеры для MFA.
• С системами СКУД и DLP: через LDAP или REST API можно синхронизировать статус пользователя — например, при увольнении автоматически блокировать и доступ к почте, и проходную.
• С облачными сервисами: даже при использовании Nextcloud, OnlyOffice или российских IaaS (Selectel, МТС Cloud) можно подключить MFA через OpenID Connect.

Интересно, что российские решения часто лучше интегрируются с западными платформами, чем наоборот. Например, «Мультифактор» поддерживает не только Microsoft, но и старые версии SAP, Oracle E-Business Suite, Lotus Notes — что критично для промышленных предприятий с унаследованной ИТ-инфраструктурой.

Почему MFA — это не «ещё один шаг», а смена парадигмы

Когда MFA внедряется как часть Zero Trust или модели «никому нельзя доверять по умолчанию», она перестаёт быть «раздражающим фактором» и становится элементом пользовательского доверия. Современные российские платформы это понимают:

• Они минимизируют количество запросов: если пользователь входит с доверенного устройства в офисе — второй фактор не запрашивается.
• Они поддерживают «бесшовную» аутентификацию: например, через FIDO2-ключи или push-уведомления.
• Они работают даже при отключении интернета: аппаратные токены и офлайн-OTP спасают в условиях нестабильной связи.

В условиях, когда каждая учётная запись — это потенциальный вход в корпоративную сеть, доверие должно быть доказуемым, а не предполагаемым. Именно это и обеспечивает современная российская MFA-платформа — не как «дополнительная защита», а как основа цифровой идентичности в новой реальности.

И в этой реальности пароль — это уже не ключ. Это просто первый вопрос на контрольно-пропускном пункте.