Адаптивная 2ФА: когда запрашивать второй фактор на основе риска — Контур.Эгида

В этой статье

Адаптивная 2ФА: когда запрашивать второй фактор на основе риска

2 апреля 2026

Обычная двухфакторная аутентификация (2ФА) работает как металлоискатель в аэропорту: проверяет всех подряд, независимо от того, летите вы в командировку или просто зашли попрощаться. Адаптивная 2ФА настраивается иначе. Она оценивает, насколько ситуация с входом похожа на обычное поведение пользователя. Если всё штатно — пропускает без лишних вопросов. Замечает аномалию — запрашивает подтверждение. В статье разберем, по каким признакам система отличает своих от чужих и что учесть при внедрении адаптивной 2ФА.

Фотография Игорь Суставов Игорь Суставов Менеджер проектов по внедрению

Что такое адаптивная 2ФА и зачем она нужна

В классической схеме двухфакторной аутентификации проверка срабатывает при каждой попытке входа — неважно, откуда и с какого устройства заходит пользователь. Это безопасно, но может раздражать: люди тратят время на ожидание и ввод кодов, отвлекаются от работы, а некоторые ищут способы ее отключить или обойти. Безопасность вступает в конфликт с удобством.

Адаптивная 2ФА снимает этот конфликт. Система оценивает риск каждой попытки входа в реальном времени. Если параметры сессии совпадают с обычным поведением пользователя (знакомое устройство, привычная геолокация, типичное время), доступ открывается без дополнительных действий. Если система замечает отклонения — запрашивает второй фактор.

Что именно оценивает система: геолокация, устройство, поведение

RBA (risk-based authentication) опирается на десятки параметров, но все их можно сгруппировать в три блока: откуда, с какого устройства и как работает пользователь. Каждый блок добавляет баллы к общему расчету риска. Если сумма превышает порог — срабатывает второй фактор. Разберем, что именно отслеживает система и на какие аномалии реагирует.

Геолокация как первый фильтр

Местоположение — самый очевидный триггер. Система смотрит на страну, город, провайдера. Большинство массовых атак идет из регионов, где у компании нет сотрудников. Такие попытки можно отсекать сразу, даже не тратя ресурсы на глубокий анализ.

На практике используют два подхода: 

  • белые списки — страны или IP-диапазоны, откуда доступ разрешен без дополнительных проверок;
  • черные списки — регионы, откуда доступ запрещен полностью или возможен только после строгой верификации.

Но география работает не только на уровне стран. Умные системы также анализируют скорость перемещения. Если пользователь только что был в офисе в Москве, а через час заходит из Владивостока — это физически невозможно. Такой вход блокируется или требует подтверждения, даже если страна из белого списка.

Устройство: доверенное или подозрительное

Второй важный блок параметров — анализ девайсов. У каждого браузера или приложения есть цифровой отпечаток: версия ОС, разрешение экрана, список шрифтов, установленные плагины. Этого достаточно, чтобы в будущем узнавать устройство.

Система запоминает, с каких устройств пользователь обычно заходит и дает доверенным преимущество. Например, если сотрудник входит с корпоративного ноутбука, который используется год, и геолокация привычная — второй фактор можно не запрашивать.

Но если устройство новое или его профиль выглядит подозрительно (свежая ОС на старом компьютере, подмена браузера), система повышает уровень риска. В таких случаях даже при привычной геолокации может потребоваться подтверждение.

Поведенческая аналитика: что выдает мошенника

Самый тонкий уровень — анализ поведения. Система наблюдает за сессией и ищет аномалии в том, как человек взаимодействует с интерфейсом. У каждого пользователя уникальные паттерны: скорость набора, траектория движений мыши, паузы между действиями, частота кликов.

Примеры аномалий:

  • пользователь всегда печатает с паузами, а тут строчит без остановки;
  • обычно он работает в спокойном темпе, а сейчас лихорадочно переключается между разделами;

Если после успешного входа за компьютер сел другой человек или автоматизированный бот, система заметит изменения и примет меры: завершит сессию, запросит повторное подтверждение или ограничит доступ к критичным данным.

Адаптивная 2ФА с полноценной аналитикой рисков — мощный инструмент, но его настройка требует времени и экспертизы. Нужно собирать данные, обучать модели, подбирать значения риска, после которых система решает запросить второй фактор. Это оправдано, если в компании высокие требования к безопасности и есть штат компетентных технических специалистов, которые смогут выполнить тонкую настройку.

Если же нужна рабочая двухфакторная защита без лишних сложностей, ID предлагает решение, которое просто и надежно закрывает основные сценарии защиты.

Продвинутые механизмы адаптивной 2FA

Базовые сценарии адаптивной 2ФА оценивают риск только в момент входа. Но современные системы умеют больше: они непрерывно следят за сессией и могут повышать требования к аутентификации во время работы. Разберем три таких механизма.

Повышение уровня доверия (step-up authentication)

Бывают ситуации, когда даже для знакомого пользователя с доверенного устройства нужна дополнительная проверка. Например, сотрудник работает в системе целый день, открывая общие документы. Но когда он пытается зайти в раздел с госконтрактами или утвердить платеж на миллионы рублей, система мгновенно запрашивает второй фактор, потому что доступ к этим данным требует более высокого уровня доверия.

В таких случаях срабатывает повышение уровня аутентификации прямо во время сессии. Система не блокирует доступ, но говорит: «Операция рискованная. Подтвердите, что это действительно вы». Способ подтверждения используется тот же, что принят в компании для двухфакторной защиты, например OTP-коды, SMS и так далее.

Постоянный мониторинг сессии

Считается, что после аутентификации за компьютером сидит тот же человек, но на практике сессию могут перехватить, или сотрудник может отойти от рабочего места, оставив доступ открытым.

Непрерывная аутентификация решает эту проблему. Система в фоне наблюдает за поведением пользователя на протяжении всей сессии: как движется мышь, с какой скоростью набирается текст, как часто открываются новые вкладки. У каждого человека эти паттерны уникальны.

Если поведение резко меняется — например, после спокойной работы начинается лихорадочное перемещение по папкам или скорость набора становится неестественно высокой, — система снижает уровень доверия. Дальше возможны сценарии: запрос повторного подтверждения, принудительное завершение сессии или ограничение доступа к чувствительным данным.

Рисковый скоринг: как машинное обучение оценивает угрозы

Рисковый скоринг — это самообучающийся алгоритм (ML, machine learning). Он анализирует, как обычно заходят сотрудники, и запоминает, что для них нормально. Аномалии, которые в прошлом оказывались атаками, система тоже видит. Так она учится отличать реальные угрозы от необычного, но безобидного поведения.

Модель адаптируется под конкретную компанию. Например, если открывается филиал в новом регионе, система быстро поймет, что входы оттуда — норма, и перестанет их блокировать. Если начинается волна атак с подменой IP, алгоритм скорректирует вес критерия и станет строже проверять такие подключения.

Главная задача машинного обучения — сократить число ложных срабатываний. Если система будет постоянно запрашивать коды у тех, кто работает в необычное время, это приведет к росту обращений в службу поддержки: сотрудники начнут просить снять ограничения, сбросить настройки или вовсе отключить защиту. А некоторые могут попытаться найти обходные пути, чтобы не проходить лишние проверки. 

ML-модель позволяет точнее отсеивать аномалии, не перегружая людей и экономя бюджет компании на проверках.

Zero Trust и адаптивная аутентификация

Концепция Zero Trust и адаптивная 2ФА решают одну задачу: защищают данные. Но первая задает жесткое правило — не доверять никому по умолчанию. А вторая дает инструмент, чтобы это правило выполнялось, но при этом не раздражало пользователей постоянными запросами кода. Разберем, как они работают в связке.

Чем Zero Trust отличается от обычной защиты. В традиционной схеме двухфакторная аутентификация защищает только вход в периметр. Прошел проверку — и внутри системы ты уже считаешься своим. Zero Trust требует проверять каждый запрос к ресурсу: к базе данных, папке с документами, внутреннему сервису. В Zero Trust нет понятия «доверенная сеть»: доступ из офиса не дает автоматических привилегий, а подключение из кафе или из дома не становится препятствием. Все запросы проверяются по единым правилам.

Как адаптивная 2ФА вписывается в эту модель. Адаптивная аутентификация становится инструментом, который позволяет реализовать принципы Zero Trust без тотального недоверия, ведущего к постоянным запросам кода. Система оценивает риск каждого действия в реальном времени, но запрашивает подтверждение только при отклонениях. Если сессия идет штатно — доступ открыт. Как только пользователь пытается сделать что-то необычное, например, открыть финансовый документ в нерабочее время, система запрашивает второй фактор. Это позволяет соблюсти баланс: безопасность получает контроль на каждом шаге, а пользователь не тратит время на бесконечные подтверждения.

Что предлагают на рынке для адаптивной 2ФА

На рынке представлены решения трех типов. Одни делают ставку на гибкость политик и машинное обучение — они подходят компаниям, которые хотят тонко настраивать правила доступа под любые сценарии. Другие предлагают готовые сценарии для типовой инфраструктуры: защиту VPN, почты, удаленного доступа. Третьи — нишевые продукты для конкретных сред, например, только для Linux или только для веб-приложений.

При выборе обычно смотрят на три вещи: 

  1. С чем интегрируется решение (Active Directory, протоколы RADIUS, SAML, OpenID Connect).
  2. Какие методы подтверждения дает (push, SMS, OTP-коды, звонки).
  3. Насколько легко внедрять и администрировать.

Как 2ФА от Контур.Эгиды решает типичные проблемы 

Защищает все, что нужно. Почту, рабочие станции, серверы, подключения через VPN — не надо собирать конструктор из разных продуктов.

Избавляет от рутины. Сотрудников можно добавить сотнями и тысячами сразу из Active Directory. Приглашения уходят автоматически, регистрация — в пару кликов.

Дает свободу пользователям. Можно подтверждать вход пушем, звонком или кодом — как удобно. 

Можно настроить время действия кэша. От нескольких часов до дней — и не запрашивать второй фактор при каждом входе из доверенных сетей.

Работает как в облаке, так и на своих серверах. Можно выбрать то, что подходит компании по безопасности и бюджету.

Подходит для госсектора. Решение в реестре отечественного ПО, поддержка и обновления — в стоимости.

Оставьте заявку, чтобы бесплатно протестировать все возможности.

Что учесть при внедрении адаптивной 2ФА

Адаптивная аутентификация не работает сама по себе — ее нужно правильно настроить. Без подготовки можно или получить шквал ложных срабатываний, или пропустить реальную угрозу. Вот четыре вещи, которые стоит продумать до внедрения.

Дайте системе время на обучение

Адаптивная аутентификация начинает адекватно работать не сразу. Первые две-четыре недели уходят на сбор данных и формирование профилей обычного поведения сотрудников. В этот период возможны ложные срабатывания — например, запрос кода при входе в выходной день или с нового ноутбука. 

Чтобы ускорить процесс, можно загрузить исторические данные о входах, если они есть. И на старте лучше установить не слишком жесткие пороги срабатывания, повышая их постепенно.

Продумайте сценарии восстановления доступа

Сотрудник может потерять телефон, сменить номер или сломать устройство. Процедура возврата доступа должна быть простой для него, но защищенной от злоумышленников. Обычно используют комбинацию: заранее выданные запасные коды, подтверждение через руководителя, временный доступ с ограниченными правами. Все действия при восстановлении нужно логировать, чтобы исключить злоупотребления.

Разделите сотрудников на группы по уровню доступа

Универсальных настроек для всех не существует. Для бухгалтерии и отдела кадров порог риска стоит сделать ниже, чем для отдела маркетинга. Администраторы и топ-менеджмент требуют более жестких правил, рядовые сотрудники могут работать по более мягким. Группировка пользователей позволяет точнее настроить политики и не раздражать людей там, где высокая защита не нужна.

Регулярно анализируйте логи и корректируйте правила

Статистика срабатываний покажет, какие триггеры срабатывают слишком часто и мешают людям. Если какой-то параметр постоянно вызывает ложные срабатывания у конкретной группы, его стоит скорректировать или отключить. Адаптивная защита — не статичная настройка, а живой механизм, который должен меняться вместе с бизнес-процессами.

Коротко об адаптивной 2ФА

Если собрать все сказанное в статье, ключевые тезисы об адаптивной 2ФА выглядят так:

  • Адаптивная двухфакторная аутентификация опирается на три группы параметров. Система оценивает географию входа и IP-адрес, сверяет цифровой отпечаток устройства, анализирует поведенческие характеристики — динамику набора, траекторию мыши. Так формируется профиль обычного поведения пользователя.
  • Второй фактор запрашивается только при отклонениях от этого профиля. Если сессия выбивается из привычного паттерна, система предлагает подтвердить вход кодом из SMS или push-уведомлением. В остальных случаях доступ открывается без лишних действий.
  • Адаптивный подход не раздражает сотрудников постоянными проверками, но добавляет контроль там, где риск действительно повышен. При этом компания платит только за те подтверждения, которые действительно нужны, а не за каждый вход.
  • Такая модель естественным образом реализует концепцию Zero Trust: каждый запрос проверяется в контексте, доверие к сети или устройству не предполагается автоматически.
  • Машинное обучение постепенно снижает число ложных срабатываний. Модель адаптируется к специфике компании и со временем точнее отсеивает аномалии, не перегружая службу поддержки.

Для большинства компаний достаточно обычной двухфакторной аутентификации — она надежно закрывает утечку паролей, фишинг и подбор учетных записей. Пользователи сами выбирают способ подтверждения — пуш, звонок или код. Администраторы не тратят время на подключения: приглашения отправляются автоматически, а кэш и белые списки позволяют не запрашивать второй фактор при каждом входе из доверенных сетей. Внедрение занимает дни, а не месяцы.

Фотография Игорь Суставов Игорь Суставов Менеджер проектов по внедрению
Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Подписаться

Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Пришлем ссылку на результаты исследований о человеческом факторе в ИБ на почту, которую вы указали
Подписаться