В условиях глобальной цифровизации и внедрения бизнес-процессов в облачную среду, веб-сервисы стали основным средством взаимодействия между пользователями и информационными системами. Всем привычная однофакторная аутентификация на основе паролей давно доказала свою несостоятельность. В ответ на это двухфакторная аутентификация (2FA) превратилась из опциональной меры защиты в отраслевой стандарт и обязательное требование регуляторов.

Однако сам по себе факт наличия «второго фактора» не гарантирует безопасности. Современное разнообразие угроз характеризуется высокой изощрённостью атак: злоумышленники активно используют инструменты на базе искусственного интеллекта для создания фишинговых сайтов в реальном времени, применяют атаки на истощение внимания пользователя, а также используют уязвимости протоколов мобильной связи. В этих условиях многие традиционные методы 2FA, такие как SMS-коды или простые Push-уведомления, стремительно теряют свою эффективность и официально рекомендуются к выводу из эксплуатации для высокопривилегированных аккаунтов [3].

Проблема исследования заключается в отсутствии универсального метода 2FA, который бы в равной степени обеспечивал максимальную защиту от современных атак, низкую стоимость внедрения и высокий уровень удобства для конечного пользователя.

Целью данной работы является проведение сравнительного анализа современных методов двухфакторной аутентификации, применяемых в веб-сервисах, для выявления оптимальных решений, балансирующих между требованиями кибербезопасности, экономической целесообразностью и удобством использования.

Исторически веб-аутентификация базировалась на однофакторной модели, использующей секретные знания — пароли. Как показывают исследования, данная модель достаточно уязвима из-за человеческих факторов, таких как: повторное использование паролей, выбор слабых комбинаций и подверженность социальной инженерии [4].

В ответ на это индустрия перешла к многофакторной аутентификации (MFA), требующей подтверждения как минимум двух из трех категорий: «знание» (пароль), «владение» (токен, телефон) и «биометрия» (отпечаток пальца, лицо). Однако классическая связка «пароль + SMS/TOTP» лишь усложняет процесс, но не устраняет корневую проблему — наличие перехватываемого секрета (пароля), который можно украсть или подделать.

Регулирование и техническая реализация методов 2FA опираются на ряд фундаментальных стандартов, эволюция которых отражает изменение ряда угроз.

Несмотря на широкую распространённость и отсутствие зависимости от каналов мобильной связи, TOTP-код уязвим к фишингу типа «Человек посередине». Злоумышленник, создав прокси-страницу, может перехватить как пароль, так и сгенерированный TOTP-код в реальном времени.

Спецификации FIDO Alliance дают возможность веб-серверам запрашивать и проверять асимметричные ключи, которые привязаны к конкретному домену. Это делает фишинг технически невозможным [2]. Passkeys, или ключи доступа, обеспечивают кроссплатформенную синхронизацию учётных данных, решая проблему удобства использования.

Отмечается снижение уровня доверия к аутентификации через SMS и голосовые вызовы из-за уязвимостей и риска атак типа SIM-своппинг. Приоритетную сторону имеют криптографические методы с привязкой к устройству и домену [1].

Анализ современных исследований позволяет выделить несколько ключевых проблем внедрения и уязвимостей 2FA:

1. Ряд исследований подробно описывает атаки на истощение внимания, при которых злоумышленник, имея пароль, инициирует десятки запросов на подтверждение входа. Психологическое давление приводит к тому, что пользователь случайно или намеренно подтверждает вход. Это доказывает, что наличие второго фактора в виде простого Push-уведомления без контекстной привязки не является гарантом надежной защиты.
2. Фиксируется резкий рост использования злоумышленниками автоматизированных наборов для фишинга, которые успешно обходят как SMS, так и TOTP. Это делает методы, не устойчивые к фишингу, неэффективными против целевых атак.
3. Сложность настройки и использования аппаратных токенов или управления Passkeys на новых устройствах остаётся ограничением для массового внедрения. Исследования показывают, что до 30 % пользователей сталкиваются с проблемами восстановления доступа при утере основного аутентификатора, что увеличивает нагрузку на службы поддержки.

На основе установленных критериев была составлена таблица 1, в которой использована качественная шкала: Высокий — оптимальное соответствие, Средний — приемлемо с оговорками, Низкий — наличие критических недостатков.

Таблица 1

Сравнительная оценка методов двухфакторной аутентификации

Проведённый анализ показывает, что компромисс между безопасностью и удобством использования, характерный для предыдущих десятилетий, преодолевается внедрением криптографических методов на основе открытых ключей.

SMS должен быть выведен из эксплуатации как основной метод из-за неустранимых архитектурных уязвимостей.

TOTP остаётся приемлемым компромиссом для сервисов с ограниченным бюджетом, но не защищает от целевого фишинга.

Passkeys представляют собой оптимальное решение для большинства современных веб-сервисов, обеспечивая высший уровень безопасности при минимальной когнитивной нагрузке на пользователя.

Аппаратные токены сохраняют статус «золотого стандарта» для защиты учетных записей с максимальным уровнем риска.

Результаты проведённого сравнительного анализа позволяют не только ранжировать методы двухфакторной аутентификации по формальным критериям, но и переосмыслить архитектурные подходы к защите веб-сервисов в условиях быстро меняющегося ландшафта киберугроз.

Литература:

1. Баланов А. Н. Защита информационных систем. Кибербезопасность: учебное пособие для вузов / А. Н. Баланов; Баланов А. Н. — 3-е изд., стер. — Санкт-Петербург: Лань, 2026. — 280 с.
2. Булычёв Г. Г. Программно-аппаратные средства защиты информации. Ч. 2. Программно-аппаратные средства защиты информации. Часть 2 / Г. Г. Булычёв; Булычёв Г. Г. — Москва: РТУ МИРЭА, 2022. — 177 с.
3. Лобанова Н. М. Эффективность информационных технологий: учебник и практикум для вузов / Н. М. Лобанова, Н. Ф. Алтухова; Н. М. Лобанова, Н. Ф. Алтухова. — Москва: Юрайт, 2024. — 237 с. — (Высшее образование). — URL: https://urait.ru/bcode/536253 (дата обращения: 04.06.2024).
4. Сулейманов М. Д. Цифровая грамотность: учебник / М. Д. Сулейманов, Н. С. Бардыго; М. Д. Сулейманов, Н. С. Бардыго. — Москва: Креативная экономика, 2019. — 324 с.: ил. — Библиогр.: с. 300–304.