Ротация лицензий 2ФА: как это противоречит принципам информационной безопасности — Контур.Эгида

В этой статье

Ротация лицензий 2ФА: как это противоречит принципам информационной безопасности

27 января 2026

Некоторые компании считают, что лицензии на двухфакторную аутентификацию можно использовать поочередно — «освобождать» и передавать между сотрудниками, чтобы сэкономить. Но такая «оптимизация» оборачивается потерей контроля, невозможностью расследовать инциденты и прямыми нарушениями принципов информационной безопасности. В статье разберем, почему ротирование лицензий двухфакторной аутентификации разрушает защиту доступа и как организовать все правильно.

Фотография Дмитрий Мельников Дмитрий Мельников Руководитель группы

Когда «экономия» становится уязвимостью

Ротация лицензий двухфакторной аутентификации — это практика, при которой лицензии на второй фактор (например, в мобильном приложении или токене) передаются от одного пользователя к другому. Делают так, когда сотрудников больше, чем купленных лицензий. Например, лицензии выделяют только тем, кто работает вне корпоративной сети. Когда задачи сотрудников меняются — лицензии просто передают от одного к другому.

На первый взгляд, идея кажется безобидной: ведь с лицензией работает кто-то один, зачем покупать лишние? Но двухфакторная аутентификация — не временный пропуск, а постоянный элемент системы идентификации. И если он «гуляет» между людьми, рушится фундаментальная вещь — связь между пользователем и его действиями.

Почему ротирование подрывает безопасность

1. Теряется идентификация

Двухфакторная аутентификация подтверждает, что именно этот человек входит в систему. Когда лицензия переходит к другому пользователю, теряется уникальность второго фактора. В журнале событий больше нельзя достоверно определить, кто авторизовался — Василий А., который раньше пользовался этим токеном, или Петр Б., которому его передали вчера.

2. Провести аудит и расследования становится почти невозможно

Если произойдет инцидент — например, несанкционированный доступ к серверу — расследование застопорится. Система покажет вход с «правильным» токеном, но принадлежал ли он тому пользователю, кто должен был его использовать, уже неясно.

3. Повышается риск компрометации данных

Передача лицензии — это всегда обмен: один пользователь должен «освободить» доступ, другой — получить. На этом этапе возможны ошибки и утечки — токен могут временно хранить на общем устройстве, переслать через мессенджер или почту без шифрования, сделать скриншот QR-кода. В результате злоумышленник может перехватить данные второго фактора и получить доступ к корпоративной системе, оставаясь под видом легитимного пользователя.

4. Нарушаются нормативные требования

Российские стандарты информационной безопасности требуют однозначного сопоставления учетной записи и пользователя. Передача лицензий двухфакторной аутентификации делает выполнение этих требований невозможным. В результате компания может получить замечания при проверке или вовсе не пройти аудит.

Как действуют безопасные решения: пример ID от Контур.Эгиды

В Контур.Эгиде подход к двухфакторной аутентификации строится иначе. Решение ID привязывает второй фактор к конкретному пользователю или устройству, а не к абстрактной лицензии. Это значит, что:

  • для каждого сотрудника создается собственный профиль с уникальным токеном;
  • администратор видит, кто, когда и с какого устройства входил в систему;
  • попытки несанкционированного входа отслеживаются в реальном времени.

Если компания попробует «ротировать» такие лицензии, это не сработает — система не позволит назначить один и тот же токен разным пользователям. С точки зрения ИБ это правильно: только жесткая персонализация второго фактора гарантирует прозрачность и контроль.

Что делать, если лицензий не хватает

Иногда проблема ротации возникает не из-за халатности, а из-за нехватки бюджета или неправильной оценки числа пользователей. В этом случае важно не искать обходные пути, а пересмотреть подход.

  1. Проведите инвентаризацию

    Определите, кому двухфакторная аутентификация действительно необходима. Возможно, часть сотрудников работает только внутри защищенного контура, и работа этих сотрудников не требует настройки второго фактора.

  2. Используйте групповые политики

    Пример: в решении ID от Контур.Эгиды  можно управлять доступом по группам и ролям. Это позволяет равномерно распределить лицензии и автоматизировать их назначение при изменении роли сотрудника.

  3. Настройте жизненный цикл лицензий

    Когда человек увольняется или переходит на другую должность, лицензия должна деактивироваться и очищаться — не просто «освобождаться». Это защищает систему от несанкционированного использования.

  4. Планируйте с запасом

    Если компания растет, оставьте резерв лицензий. Это дешевле и безопаснее, чем рисковать непрохождением аудитов и потерей контроля.

Ротация и архитектура безопасности

Передача лицензий кажется частной мелочью, но на практике она ломает целую архитектуру. Без персонализированной двухфакторной аутентификации рушится модель доверия, нарушается связка между IAM-системами, системами PAM и журналами событий. Любой компонент системы информационной безопасности перестает выполнять свою роль полностью, если идентификация пользователей становится нечеткой.

Например, экосистема Контур.Эгида строится как единый комплекс: решения по идентификации (Контур.ID), управлению привилегированными доступами (PAM), расследованию инцидентов и защите рабочих мест работают вместе. Ротация лицензий 2ФА делает слабым звено, которое должно быть самым прочным.

Вывод

Ротирование лицензий 2ФА — это иллюзия экономии, которая подрывает систему защиты компании. Когда второй фактор становится «общим», теряется прослеживаемость, нарушаются требования стандартов и растут риски утечек.

Правильный путь — персонализированные лицензии, прозрачный учет и автоматизированное управление жизненным циклом пользователей. 

А экосистема Контур.Эгида поможет выстроить эту систему без компромиссов между безопасностью и удобством.

Фотография Дмитрий Мельников Дмитрий Мельников Руководитель группы
Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Подписаться

Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Пришлем ссылку на результаты исследований о человеческом факторе в ИБ на почту, которую вы указали
Подписаться