Двухфакторная аутентификация (2FA) уже стала стандартом: её ждут клиенты, на неё опирается внутренняя безопасность. И чем больше сотрудников, систем и сервисов у компании, тем важнее правильно выбрать 2FA-решение, которое удобно, безопасно и работает в вашей инфраструктуре.
Мы не будем сравнивать продукты «по баллам» — вместо этого покажем, на что стоит смотреть при выборе 2FA-решения. А чтобы вы могли сразу понять, как это работает в жизни, приведём в качестве примеров конкретные решения: ID от Контур.Эгиды, MULTIFACTOR, Indeed AM, Avanpost MFA+, Red Security, Blitz Identity, Cloud MFA.
Двухфакторная аутентификация
ID — защита учетных записей сотрудников: подключений через VPN, RDG, ActiveSync, ADFS (протоколы OpenID Connect, SAML), защита входа в Windows, OWA.
Что важно учитывать при выборе 2FA-решения
Способы аутентификации
Вторым фактором аутентификации может быть:
- код в SMS,
- push-уведомление в приложении,
- временный одноразовый пароль (TOTP),
- QR-код,
- отпечаток пальца,
- звонок и другие.
Чем больше таких способов предоставляет решение — тем больше у вас гибкости. Например, один сотрудник может использовать приложение на смартфоне, другой — QR-код, а третий — Telegram-бот. Также стоит обращать внимание на надёжность: SMS и email можно перехватить, а вот push или TOTP в приложении — надёжнее.
Примеры:
ID предлагает самые удобные и распространённые варианты: push-уведомления, звонки, OTP-коды, TOTP-токены.
У Avanpost более 11 вариантов второго фактора, включая электронную подпись, push в собственном приложении, QR-коды и Telegram.
Cloud MFA предлагает восемь способов, в том числе звонки и Яндекс.Ключ.
Indeed AM в числе прочих вариантов поддерживает биометрию и push-уведомления через собственное приложение.
Размещение в инфраструктуре
Все 2FA-сервисы можно базово поделить на два типа: облачные и локальные.
Облачное решение работает на серверах поставщика, вы просто настраиваете подключение. Это быстро, удобно и не требует установки программ у себя. Но здесь важны надёжность дата-центров и стабильное интернет-соединение.
Локальное (on-premise) решение устанавливается прямо в вашей ИТ-инфраструктуре, на ваших серверах — данные никуда не уходят, всё под контролем. Но и ответственности больше: нужно настраивать и обновлять ПО, следить за его работой.
Примеры:
ID поддерживает оба варианта — и локальный (изолированный либо гибридный, с OTP-кодами и push-уведомлениями), и облачный, можно выбирать в зависимости от потребностей компании.
Indeed AM и Avanpost устанавливаются только локально.
MULTIFACTOR — облачный сервис с размещением в российских дата-центрах (DataLine, Selectel, Yandex Cloud).
У Red Security также можно выбрать: облако или локальный сервер.
Единый вход в систему
Удобно, если решение поддерживает SSO (Single Sign-On) — это когда сотрудник один раз вводит логин и пароль, а после подтверждения второго фактора автоматически входит во все рабочие системы. Удобно и безопасно, даже если используется только пароль, без второго фактора: меньше шансов, что кто-то забудет пароль или запишет его на бумажке, чтобы не забыть.
Часто SSO работает в связке с корпоративными каталогами — например, Active Directory или LDAP — где хранятся данные обо всех пользователях компании.
Примеры:
В Blitz Identity вход в одну систему открывает доступ ко всем, без лишних окон и повторного ввода пароля.
MULTIFACTOR умеет объединять учётные записи из разных приложений, включая Slack, Trello и Salesforce под единым провайдером учётных записей — и тоже получать доступ сразу ко всем после успешного входа в систему.
Один вход вместо десятков паролей
SSO объединяет авторизацию во всех корпоративных сервисах компании.
Помощь при внедрении и техподдержка
Выбирая решение, важно понимать: насколько вы будете справляться сами, а где можно рассчитывать на помощь. Кто-то из разработчиков предоставляет подробную документацию, кто-то активно участвует в запуске, а кто-то подключается только в случае проблем.
Примеры:
Поддержка MULTIFACTOR подключается на этапе внедрения, также разработчик предоставляет пользователям документацию, в дальнейшем поддержка придёт на помощь, если совсем ничего не получается.
Avanpost предоставляет сотрудникам компании-клиента инструкции по онбордингу, и они сами проходят настройку.
У ID есть техническая поддержка, разработчик предоставляет помощь инженеров-экспертов с внедрением, а также гибкие сценарии подключения пользователей — от ручной рассылки до автоматизированного процесса регистрации пользователей.
Протоколы для работы решения
Протоколы — это «языки», на которых система общается с другими сервисами: веб-приложениями, каталогами пользователей и так далее. Чем больше протоколов поддерживается, тем проще интеграция.
Примеры протоколов:
- SAML,
- RADIUS,
- Kerberos и другие.
Примеры:
У Indeed AM 7 поддерживаемых протоколов.
Cloud MFA может работать с несколькими протоколами для разных вариантов подключения.
ID поддерживает различные протоколы для защиты подключений через VPN и без него, а также для защиты веб-приложений и корпоративной почты.
Собственное приложение
Если разработчик предлагает собственное мобильное приложение, это упрощает внедрение и снижает зависимость от сторонних решений. Через приложение можно подтверждать вход, просматривать логи или управлять устройствами.
Примеры:
ID предлагает собственное приложение Контур.Коннект для подтверждения второго фактора.
Avanpost Authenticator и Indeed Key — собственные приложения разработчиков, заточенные под конкретные платформы.
У MULTIFACTOR также есть собственное приложение, оно доступно в App Store, Google Play, RuStore, Аврора Маркет и других магазинах.
Коннект от Контур.Эгиды
Организуйте безопасный и удобный доступ к рабочим ресурсам компании из любой точки мира.
Возможности кабинета администратора
Чем больше сотрудников и систем в компании, тем важнее удобная «админка». Желательно, чтобы администратор мог настраивать роли, управлять пользователями, создавать политики доступа, видеть статистику и логи.
Примеры:
Avanpost автоматизирует рутинные задачи: выдача и восстановление доступов, сброс паролей, блокировки и так далее.
В ID можно настраивать ресурсы для подключения 2FA, управлять доступами, просматривать журнал событий, анализировать статистику.
У MULTIFACTOR можно управлять пользователями, группами пользователей, ресурсами и объектами доступа, способами аутентификации.
Возможности кабинета сотрудника
Чем больше возможностей у сотрудника — тем меньше нагрузка на техподдержку. В идеале пользователь сам настраивает второй фактор, меняет пароль, восстанавливает доступ или отслеживает активность.
Примеры:
В ID сотрудник может заменить устройство, управлять почтовыми клиентами и смотреть историю входов.
Blitz Identity предлагает личный кабинет с витриной приложений, восстановлением доступа и просмотром событий безопасности.
Автономная работа
Интернет не всегда доступен — особенно в критических инфраструктурах или при сбоях. Устойчивость к таким ситуациям — ещё один важный критерий.
Примеры:
Приложение Avanpost может отправлять push-уведомления даже без доступа к сервисам Google или Apple в режиме онлайн.
MULTIFACTOR ориентирован только на онлайн-доступ.
Как не ошибиться с выбором
Когда смотришь на список 2FA-решений, может показаться, что они все примерно одинаковые: аутентификация есть, приложение есть, протоколы какие-то поддерживаются. Но стоит копнуть глубже — и видно, насколько по-разному эти решения устроены, как они внедряются и обслуживаются. Чтобы не потратить лишние ресурсы на настройку неподходящего инструмента, стоит отталкиваться не от «возможностей на сайте», а от собственных задач.
Вот несколько ориентиров, которые помогут понять, что именно важно для вашей компании.
1. Отталкивайтесь от инфраструктуры
Если у вас уже есть ИТ-отдел, серверная инфраструктура и требования к хранению данных внутри компании, то скорее всего вам подойдёт on-premise-решение. Оно требует установки и сопровождения, но даёт полный контроль: все данные остаются у вас, никакой зависимости от облака.
Пример: такие решения, как ID, Indeed AM или Avanpost, ставятся на ваших серверах и отлично подходят для организаций с повышенными требованиями к безопасности.
Если же инфраструктура в основном в облаке, а компания небольшая или распределённая, лучше выбрать облачный сервис — он быстрее внедряется, не требует настройки серверов и легко масштабируется.
Пример: MULTIFACTOR, Cloud MFA — облачные решения, которые легко подключить даже без отдельного системного администратора, к ним же относится и облачная версия ID.
2. Посмотрите на зрелость процессов
В компаниях с выстроенными ИТ-процессами может быть несколько каталогов пользователей, интеграции с десятком сервисов и собственные политики доступа. Для них важно, чтобы 2FA-решение умело работать с существующими системами и протоколами.
Пример: Indeed AM поддерживает широкий набор протоколов (SAML, Kerberos, RADIUS и др.) и может быть интегрировано с SIEM или IGA-решениями. ID обеспечит защиту подключений, веб-приложений, корпоративной почты.
Если процессы пока только формируются, лучше брать продукт с понятным интерфейсом, готовыми сценариями и автоматизированным онбордингом.
Пример: у Avanpost сотрудники получают инструкции и настраивают аутентификаторы сами, без участия ИТ-отдела; ID также предлагает самостоятельную регистрацию и автоматизацию процессов с помощью ссылок, загрузки Excel-файлов с данными пользователей или SMS-рассылок.
3. Учитывайте нагрузку на ИТ и поддержку
Если ваша техподдержка и так работает на пределе, важно выбрать решение, где сотрудники смогут многое делать сами: настраивать второй фактор, сбрасывать пароли, восстанавливать доступ без заявок в Help Desk.
Пример: Blitz Identity и ID предлагают удобные личные кабинеты сотрудников, где пользователь может управлять своим доступом самостоятельно.
А вот если вы готовы инвестировать в централизованное управление и строите защищённую ИТ-среду — лучше выбирать решения с гибкой настройкой политик, логированием событий и контролем доступа по ролям.
Пример: у MULTIFACTOR и ID можно централизованно управлять сотрудниками и группами сотрудников, настраивать доступы и способы аутентификации для разных пользователей в соответствии с ролями.
4. Подумайте о сценариях на будущее
Многие компании начинают с базовой задачи — защитить доступ к веб-приложениям. Но со временем может возникнуть потребность подключить VPN, управлять доступом к серверам, интегрировать новые решения с внутренними системами. Хорошо, если выбранное решение это позволяет.
Пример: Cloud MFA поддерживает доступ не только к веб-приложениям, но и к VPN, серверным системам (SSH, RDP), Outlook Web, Bitrix24 и другим сервисам. ID защитит подключения через VPN, доступ к корпоративной почте и веб-приложениям, интегрированным в ADFS.
5. И наконец — не выбирайте «по максимуму»
Иногда хочется взять решение «с запасом» — с поддержкой всех протоколов, десятком способов входа и интеграцией со всем, что есть на рынке. Но избыточная функциональность не только не поможет, но может усложнить внедрение и ежедневную работу.
Вместо этого стоит выбрать то, что решает ваши задачи и при этом легко масштабируется. Это проще, дешевле и эффективнее.
Если кратко:
- Нет «лучшего» решения — есть подходящее.
- Сначала — потребности и ограничения вашей компании.
- Потом — сопоставление с тем, что предлагают решения.
- И только после этого — выбор.
Вместо вывода
2FA — это не волшебная палочка, а элемент системы. Но именно с него начинается защита: если надёжно определить, кто заходит в систему, можно предотвратить множество атак.
Важно, чтобы выбранное решение было не просто «функциональным», а подходило вам по масштабу, бюджету и команде. И тогда безопасность будет не обузой, а надёжной опорой для работы.
Информационная безопасность бизнеса
Контур.Эгида — сервисы информационной безопасности: уменьшение рисков внутренних угроз и утечек конфиденциальных данных, предотвращение атак злоумышленников.