Можно ли взломать ключ двухфакторной аутентификации: реальные угрозы и мифы — Контур.Эгида

В этой статье

Можно ли взломать ключ двухфакторной аутентификации: реальные угрозы и мифы

9 июня 2026

Двухфакторная аутентификация блокирует большинство автоматических атак с использованием украденных паролей — это уже аксиома. Однако против целевых атак с применением социальной инженерии, SIM-свопинга или перехвата сессий — может спасовать. В этой статье разбираем реальные уязвимости SMS, TOTP, пуш-уведомлений и аппаратных ключей, а главное — что именно работает для защиты бизнеса в 2026 году.

Фотография Игорь Суставов Игорь Суставов Менеджер проектов по внедрению

Можно ли взломать ключ 2FA: мифы и реальность

Прежде чем рассматривать технические детали, важно четко разделить два понятия. Есть взлом двухфакторной аутентификации как математический взлом алгоритмов генерации одноразовых паролей (взлом самого протокола аутентификации) и есть методы обхода 2FA с использованием социальной инженерии, компрометации устройств, перехвата сессий и атак на инфраструктуру. Первое практически невозможно. Второе происходит ежедневно и в подавляющем большинстве случаев становится причиной реальных инцидентов.

Основные заблуждения о непробиваемости двухфакторной аутентификации

Миф №1: двухфакторная аутентификация — 100% защита от взлома. Это распространенное ожидание, но на практике любая технология имеет свои границы. Статистика Microsoft действительно подтверждает: включение 2FA блокирует более 99% автоматических атак с подбором паролей и кражей учетных данных. Это колоссальный результат, и двухфакторная аутентификация остается одним из самых эффективных средств защиты.

Однако при целевых атаках эффективность может снижаться. В таких сценариях роль играют конкретный метод 2FA и наличие дополнительных мер безопасности: мониторинг аномалий, короткое время жизни сессии и т.д. Правильно настроенная 2FA в сочетании с этими мерами продолжает эффективно отражать подавляющее большинство угроз — и это тот уровень защиты, на который стоит ориентироваться.

Миф №2: «У меня нет ценных данных, зачем мне 2FA?» В корпоративной сети ценны не только ваши файлы. Через ваш аккаунт хакер может перейти к финансовой системе, клиентской базе или инфраструктуре управления доступом. Даже если вы работаете только с таблицами, взлом вашего пароля, например, который вы использовали его в другом сервисе, даст злоумышленнику легальный вход в периметр компании. 2FA блокирует такой сценарий, даже если пароль украден.

Миф №3: аппаратный ключ — неуязвим. Даже аппаратные ключи 2FA (YubiKey, FIDO2-токены) могут быть объектом атак. Еще один способ обойти защиту — принудительно «понизить» уровень безопасности во время входа. Это атака не взламывает сам ключ — это почти невозможно, а заставляет систему отказаться от него. Злоумышленник подделывает информацию о вашем браузере, чтобы сайт «подумал», будто он не поддерживает FIDO2. В результате вам предложат войти по другой схеме — через код из SMS, который хакер перехватит.

Почему 2FA не панацея от всех угроз

Ключевой фактор, который часто упускают при обсуждении надежности двухфакторной аутентификации, — безопасность не самой технологии, а процесса аутентификации в целом. Злоумышленники все чаще атакуют не столько пароли и коды 2FA, сколько сессионные файлы cookie после успешного входа пользователя.

Эффективность 2FA зависит от контекста: она отлично работает против атак с подбором паролей и перебором учетных данных, но требует дополнительных мер защиты при противодействии целенаправленным атакам с использованием методов «человек посередине» и социальной инженерии.

Дальше рассмотрим уязвимости самых популярных методов двухфакторной аутентификации.

Уязвимости SMS-аутентификации

SMS — самый распространенный, но и самый ненадежный метод 2FA. Стандарт NIST SP 800-63B уже признал его устаревшим и планирует исключить из будущих редакций.

SIM-свопинг. Мошенник через социальную инженерию убеждает оператора перенести номер жертвы на свою SIM-карту. После этого все SMS с кодами 2FA приходят злоумышленнику. Число таких атак растет: по данным британской Cifas, за год +38%, во Франции (ANSSI) на SIM-свопинг приходится 45% успешных атак на банковские счета.

Риски на уровне оператора. В протоколе SS7 есть уязвимости (UpdateLocation, SendRoutingInfoForSM), позволяющие удаленно перехватывать SMS, зная только номер жертвы. FCC и CISA неоднократно указывали на эту проблему. Эффективность таких атак подтверждена на практике.

Для организаций, которые обязаны соблюдать требования ФСТЭК, SMS в качестве второго фактора в большинстве случаев уже не соответствует актуальным нормам.

Атаки на программные токены TOTP

TOTP-приложения, среди которых есть решение от Контура, надежнее SMS, но и у них есть слабые места.

Чем уязвим TOTP. Сам алгоритм взломать математически нельзя. Главная проблема — компрометация устройства, где хранится секретный ключ (seed). В 2025 году на Android нашли уязвимость: вредоносное приложение может считать код 2FA прямо с экрана. Под угрозой миллионы устройств.

Кроме того, keylogger перехватывает вводимые коды, а фишинговые сайты — проксируют их в реальном времени.

Отдельный риск — облачная синхронизация seed-ключей. Если взломают облачный аккаунт, злоумышленник получит все ваши TOTP-ключи разом.

Уязвимости пуш-уведомлений. Push-уведомления удобны, но у них есть специфическая атака — 2FA-спам (усталость). Хакер, уже зная пароль, заваливает пользователя запросами на подтверждение. В какой-то момент тот случайно или от усталости нажимает «Подтвердить».

Также вредоносное ПО на устройстве может читать уведомления и имитировать UI.

Аппаратные ключи 2FA: YubiKey и FIDO2

Аппаратные ключи (YubiKey) на базе стандарта FIDO2 — самый надежный метод двухфакторной аутентификации. Но и у них есть нюансы.

Можно ли скопировать YubiKey. Нет, в обычных условиях — нельзя. Закрытый ключ хранится в чипе и никогда его не покидает. Чтобы извлечь секрет, нужен физический доступ к ключу и дорогое оборудование для анализа электромагнитного излучения или энергопотребления. На практике такой сценарий маловероятен.

Уязвимости аппаратных ключей. Сам ключ скопировать нельзя, но его можно обойти. В 2025 году исследователи показали атаку на Microsoft Entra ID: злоумышленник подделывает информацию о браузере, чтобы система «подумала», будто она не поддерживает FIDO2. В результате пользователю предлагают войти через SMS или TOTP — а эти методы хакер уже может перехватить. Сам YubiKey не взломали, но заставили пользователя отказаться от него.

Несмотря на выявленные уязвимости FIDO2, этот стандарт остается лучшим выбором для защиты критически важных систем:

  • фишинг-устойчивость: закрытый ключ привязан к домену сервиса и не будет работать на поддельном сайте;
  • секретный ключ хранится на токене и никогда не передается по сети;
  • для подтверждения входа требуется физическое прикосновение к ключу, что предотвращает атаки, основанные на усталости пользователя.

Google в 2025 году выпустила рекомендацию для пользователей о переходе на аутентификацию с использованием FIDO-ключей. Microsoft с 30 сентября 2025 года начала поэтапный отказ от небезопасных методов 2FA, таких как SMS и голосовые вызовы, в среде Microsoft Entra, заменяя их на фишинг-устойчивые методы.

Сравнение методов 2FA

Метод Защита от фишинга Защита от SIM-свопинга Защита от malware на устройстве Защита от MITM-атак

SMS

Низкая

Низкая

Низкая

Средняя

TOTP (приложение)

Средняя

Высокая

Низкая

Средняя

Push-уведомления

Средняя

Высокая

Средняя

Средняя

Аппаратные ключи FIDO2

Высокая

Высокая

Высокая

Высокая

Мы разобрали уязвимости конкретных методов. Но есть класс атак, который работает против любого из них — фишинг и социальная инженерия.

Фишинг и социальная инженерия против 2FA

Фишинг остается главным каналом компрометации аккаунтов. Только в 2025 году одна фишинг-кампания с использованием набора Tycoon 2FA затронула 182 страны и скомпрометировала более полумиллиона организаций по всему миру. В октябре 2025 года Microsoft Defender заблокировала 13 миллионов вредоносных писем, связанных с этой группой, а общий объем сообщений от нее за несколько месяцев достиг 87,5 миллиона.

Real-time фишинг с перехватом кодов. Современные атаки используютсайты, похожие на реальные, например kotnur.ru вместо kontur.ru. Это прокси между пользователем и настоящим сайтом: он в реальном времени перехватывает логин, пароль, код 2FA и сессионные cookie. Пользователь даже не замечает подмены.

Такие инструменты доступны на теневых форумах как услуга — Phishing-as-a-Service (PhaaS). В 2025 году обнаружили набор, который перехватывает коды из SMS, приложений-аутентификаторов и пуш-уведомлений.

Атаки «человек посередине» (MITM). Это развитие той же техники. Злоумышленник получает не только учетные данные, но и поддерживает активную сессию на реальном сайте уже после того, как пользователь ушел с фишинговой страницы. Современные фреймворки умеют подделывать окно входа Google или Microsoft с правильным доменом в адресной строке.

Кража сессионных cookie. После успешного входа сервер выдает пользователю сессионный cookie — подтверждение, что проверка пройдена. Если хакер его украдет через XSS, вредоносное расширение или перехват трафика, он войдет в аккаунт без пароля и кодов 2FA.

Как защитить 2FA от взлома

Идеальной защиты не существует, но правильно настроенная многофакторная аутентификация в комбинации с организационными мерами закрывает большинство уязвимостей.

Перейти на аппаратные ключи и FIDO2

Для критически важных систем и учетных записей административного персонала, а также сотрудников с доступом к финансовым операциям и клиентским данным — используйте FIDO2-токены. При выборе аппаратных ключей проверяйте:

  • поддержку актуальной версии протокола FIDO2;
  • возможность обновления прошивки (пример с уязвимостью CVE-2025-29991 показывает, что это критично);
  • совместимость с вашими корпоративными сервисами (Microsoft Entra ID, Google Workspace, AWS и др.).

Выдавайте аппаратные ключи только тем сотрудникам, кому они действительно нужны. Для рядовых пользователей можно оставить программные TOTP, но с дополнительным контролем.

Настроить многофакторную защиту на нескольких уровнях

2FA — хорошо, MFA с тремя и более факторами — лучше, но не всегда удобно. Поэтому сфокусируйтесь на комбинации.

Уровень 1. Комбинируйте факторы аутентификации. Используйте минимум два типа из трех:

  • Что вы знаете — уникальный, сложный пароль. Лучше хранить его в корпоративном менеджере паролей.
  • Что у вас есть — TOTP или аппаратный ключ (SMS исключаем полностью).
  • Кто вы есть — биометрия (отпечаток, Face ID) как дополнительный фактор, не единственный.

Уровень 2. Настройте условия, при которых нужна 2FA. Не требуйте код везде и всегда — это раздражает и снижает бдительность. Вместо этого:

  • запрашивайте 2FA только с новых устройств, из необычных локаций или в нерабочее время;
  • запрещайте вход с устаревших версий браузеров и ОС;
  • используйте риск-аналитику (например, Microsoft Entra ID Protection) — она сама заблокирует подозрительную попытку.

Уровень 3. Контролируйте сессии. Код 2FA защищает только момент входа. После этого важно защитить и сессию:

  • завершайте сессии автоматически через 8–12 часов бездействия;
  • принудительно разлогинивайте пользователя при смене IP-адреса, если это не мешает бизнес-процессам;
  • подключите SIEM (Security Information and Event Management): система оповестит о множественных неудачных попытках 2FA или лавине пуш-запросов.

Уровень 4. Защитите резервное восстановление. Самый слабый канал — когда пользователь теряет доступ к 2FA:

  • храните резервные одноразовые коды в зашифрованном виде, не в облаке;
  • восстановление доступа делайте через ответственного сотрудника, а не автоматическим сбросом.

Уровень 5. Приведите в соответствие с ФСТЭК и 152-ФЗ. Если вы поднадзорны, то обязательно:

  • фиксируйте все попытки аутентификации в системном журнале (срок хранения не менее 12 месяцев);
  • разделяйте роли: администратор безопасности и администратор системы — разные люди;
  • периодически меняйте ключевую информацию, если используете собственные сертификаты.

Заключение

Ни одна мера не дает абсолютной гарантии, но комплекс из правильного выбора метода 2FA, коротких сессий, мониторинга и обучения сотрудников снижает риски целевых атак на 90–95%. Начинайте с отказа от SMS и настройки политик условного доступа — это даст быстрый и ощутимый результат.

Фотография Игорь Суставов Игорь Суставов Менеджер проектов по внедрению
Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Подписаться

Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Пришлем ссылку на результаты исследований о человеческом факторе в ИБ на почту, которую вы указали
Подписаться