
Една открадната парола не бива да е достатъчна, за да се влезе във фирмената поща, счетоводната система или административния панел. Точно това е задачата на многофакторното удостоверяване: към паролата да добави независимо доказателство, че зад входа стои правилният човек.
Тази защита често се среща като MFA (от английското Multi-Factor Authentication, или многофакторно удостоверяване). Тя не прави акаунта неуязвим, но ограничава сценария, при който нападателят вече знае паролата, но не разполага с второто доказателство.
Защо паролата вече не е достатъчна
Парола може да бъде открадната чрез фалшива страница за вход, изтекла база данни, заразено устройство или повторна употреба в различни услуги. За системата правилната парола изглежда легитимно, дори когато е въведена от нападател.
Последиците рядко се ограничават до един акаунт. Достъпът до пощата може да помогне за възстановяване на други пароли, преглед на договори и фактури или изпращане на убедителни съобщения от името на служител. Допълнителното потвърждение е особено важно за поща, финансови приложения, облачни хранилища, отдалечен достъп и административни акаунти.
Автоматизираните атаки правят проблема по-голям от способността на отделния човек да измисля и помни уникални пароли. Изтекли комбинации от потребителско име и парола се проверяват срещу множество услуги. Ако една и съща парола е използвана за служебна поща, онлайн магазин и личен профил, пробивът в най-слабо защитената услуга може да отвори път към останалите.
Фишингът също не разчита непременно на правописни грешки и очевидно подозрителен подател. Съвременната фалшива страница може визуално да копира реалния портал и да препрати въведената парола към нападателя в момента на входа. Ако допълнителното потвърждение е обикновен код, фалшивата страница може да поиска и него. Затова въпросът вече не е само „има ли втори фактор“, а може ли избраният фактор да бъде подмамен.
Как изглежда превземането на един бизнес акаунт
Типичният инцидент често започва тихо. Служител получава убедително съобщение за споделен документ, изтичаща парола или пропусната фактура. Следва линк към копие на позната страница за вход. Въведената парола попада при нападателя, който веднага я използва срещу истинската услуга.
Ако няма допълнителна защита, достъпът е получен. Ако има само код, нападателят може да поиска и него през фалшивата страница. При известия без достатъчно контекст може да започне поредица от заявки за одобрение. След успешен вход често се създава правило за скрито пренасочване на поща, добавя се нов метод за възстановяване или се изтегля информация, която да направи следващата измама по-убедителна.
Тук многофакторната защита трябва да прекъсне веригата. Колкото по-трудно е второто доказателство да бъде препратено, копирано или одобрено по грешка, толкова по-малък е шансът откраднатата парола да се превърне в реален достъп.
Какво точно проверява многофакторната защита
За да има истинска многофакторна защита, доказателствата трябва да идват от различни категории:
- нещо, което знаете – парола или персонален идентификационен номер;
- нещо, което притежавате – служебен телефон, хардуерен ключ или регистрирано устройство;
- нещо, което сте – пръстов отпечатък, лице или друга биометрична характеристика.
Парола и код от приложение използват две различни категории. Две отделни пароли не са многофакторна защита, защото и двете са „нещо, което знаете“.
Биометрията също трябва да се разбира правилно. При добре проектирана система пръстовият отпечатък или лицето обикновено отключват защитен ключ на самото устройство. Услугата не получава снимка на лицето или копие на отпечатъка. Това е важна разлика между локално отключване на устройство и изпращане на биометрични данни към произволна външна система.
Сигурността зависи и от начина на регистрация. Ако нападател успее да добави свой телефон като „доверено устройство“, наличието на многофакторна защита вече няма да помогне. Затова добавянето, премахването и подмяната на методи трябва да изискват проверка на самоличността и да оставят следа в административните дневници.

Не всички методи осигуряват еднаква защита
Най-удобният метод невинаги е най-надеждният. Изборът трябва да отчита стойността на акаунта, възможните атаки и способността на организацията да управлява устройствата и възстановяването на достъпа.
| Метод | Как работи | Практична оценка |
|---|---|---|
| Код чрез SMS | Получавате еднократен код с текстово съобщение. | По-добър от липса на защита, но кодът може да бъде откраднат чрез фишинг или злоупотреба с телефонния номер. |
| Код от приложение | Приложение генерира краткотраен еднократен код. | Не зависи от мобилната мрежа, но кодът все още може да бъде въведен във фалшива страница. |
| Известие с проверка на число | Приложението изисква да въведете или изберете числото от екрана за вход. | Ограничава случайното одобрение и е добър преходен вариант, когато по-силен метод още не е наличен. |
| Биометрия на служебното устройство | Лице, пръстов отпечатък или персонален код отключват защитен ключ на устройството. | Удобен и силен метод, когато устройството е управлявано, криптирано и правилно регистрирано. |
| Ключ за достъп или хардуерен ключ | Криптографски ключ потвърждава входа само към сайта, за който е регистриран. | Устойчив на фишинг и подходящ за администратори, финансови системи и други чувствителни акаунти. |
Ключът за достъп, познат и като passkey, използва криптографски ключ, съхраняван на одобрено устройство. FIDO2 е индустриален стандарт за такъв тип удостоверяване, а WebAuthn е стандартът, чрез който браузърът и сайтът го използват. За потребителя най-важното е, че ключът е свързан с истинския адрес на услугата и не може просто да бъде преписан във фалшива страница.
Кодовете чрез текстово съобщение не са безполезни. Когато алтернативата е само парола, те добавят реална пречка. Но не са добър краен избор за акаунти с високи права, защото зависят от телефонния номер и могат да бъдат въведени в подправена страница. Приложението с еднократен код премахва зависимостта от мобилната мрежа, но не решава изцяло фишинга.
Известието с проверка на число е по-смислена междинна стъпка. Вместо едно безконтекстно „Одобри“, потребителят трябва да сравни заявката с число на екрана, от който влиза. Това намалява случайното одобрение, но все още изисква внимание. Ключовете за достъп и съвместимите хардуерни ключове отиват по-далеч: криптографски проверяват за кой сайт е създаден входът.

Какво означава „устойчив на фишинг“
Методът е устойчив на фишинг, когато защитата не зависи само от това потребителят да забележи фалшивия сайт. Криптографското удостоверяване е обвързано с истинския интернет адрес на услугата. Ако човек бъде отведен към имитация, ключът не потвърждава входа към нея по същия начин.
Това е съществено предимство спрямо еднократния код. Кодът е информация, която може да бъде прочетена и въведена другаде, докато криптографският ключ не се показва и не се изпраща на потребителя. Устройството доказва притежанието му чрез подписване на конкретна заявка.
На практика устойчивите на фишинг методи са особено подходящи за хора, които могат да променят настройки, да създават потребители, да виждат плащания или да управляват резервни копия. За останалите служители може да се приложи поетапен модел, но крайната посока трябва да бъде към методи, които не могат лесно да бъдат препратени към нападател.
Когато известията се превърнат в капан
При някои атаки престъпникът вече има правилната парола и изпраща поредица от заявки за потвърждение към телефона на служителя. Целта е човекът да натисне „Одобри“ от разсеяност или само за да спрат известията. Това се нарича умора от потвърждения.
Проверката на число намалява този риск, защото служителят трябва да свърже известието с конкретен вход. Правилото остава просто: ако не сте започнали вход, не одобрявайте нищо. Непоисканото известие трябва да се докладва, защото може да означава, че паролата вече е известна на друг човек.
Еднократно отказано известие може да е човешка грешка. Поредица от заявки, особено в необичаен час, е инцидент. Правилната реакция не е само натискане на „Откажи“, а смяна на паролата от доверено устройство, прекратяване на активните сесии и проверка дали не е добавен непознат метод за вход.

Кои акаунти трябва да бъдат защитени първо
Крайната цел е защита на всички бизнес акаунти. При поетапно въвеждане първи са системите с най-големи права или най-тежки последици при пробив:
- администраторски и управленски акаунти;
- служебна поща и системи за възстановяване на пароли;
- счетоводни, банкови и платежни услуги;
- облачни хранилища, договори и клиентски данни;
- VPN (виртуална частна мрежа за защитен отдалечен достъп) и други входове към вътрешната инфраструктура;
- системи за архивиране, управление на сървъри и киберсигурност.
Отделният административен акаунт не трябва да се използва за ежедневна поща и сърфиране. Той получава само необходимите права и по-силен метод за вход.
Администраторските акаунти са отделна категория
Администраторът може да променя настройки, права и методи за удостоверяване на други хора. Затова компрометирането на такъв акаунт има несравнимо по-голям ефект от загубата на обикновен потребителски профил. Една и съща самоличност не бива да служи едновременно за четене на поща и за управление на цялата среда.
Практичният модел е човекът да има ежедневен акаунт без високи права и отделен административен акаунт, използван само когато е необходим. За втория се избира устойчив на фишинг метод, ограничават се местата и устройствата, от които може да се използва, и се следи всяко важно действие.
Не е добра идея всички администратори да имат всички възможни права „за всеки случай“. Достъпът се разделя според задачите: управление на потребители, поща, устройства, архивиране или сигурност. Така една грешка или превзет профил не дава автоматично контрол върху всичко.
Как да въведем защитата без хаос
Включването за цялата фирма в един ден често води до блокирани служители и импровизирани изключения. По-надеждният подход е поетапен:
- Инвентаризация. Определят се важните системи, администраторите и наличните методи.
- Пилотна група. Настройката се тества с малък брой потребители и реалните им устройства.
- Ясни инструкции. Служителите виждат как изглежда нормалното потвърждение и как се съобщава проблем.
- Поетапно включване. Защитата се активира по групи, като се следят затрудненията и опитите за вход.
- Преглед. Премахват се временните изключения, старите устройства и ненужните резервни методи.
Преди пилотната група трябва да е ясно кои устройства са служебни, дали приложението за потвърждение е разрешено на лични телефони и кой носи отговорност при смяна или загуба на устройство. Ако тези въпроси останат без отговор, техническата настройка бързо се превръща в спор между сигурност, удобство и лична собственост.
Инструкциите трябва да показват не само „къде да натиснете“, а и как изглежда подозрителната заявка. Служителят трябва да знае какво ще види при нормален вход, защо системата иска число, какво никога няма да поиска IT екипът и на кой канал се съобщава инцидент.
Временните изключения се дават с конкретен срок и отговорник. Без краен срок те се превръщат в постоянна слаба точка. След всяка вълна на внедряване се преглеждат блокираните потребители, проблемните приложения и старите протоколи, които може да заобикалят съвременния вход.

Резервният достъп е част от сигурността
Изгубен телефон, повредено устройство или напуснал администратор не бива да заключват фирмата извън собствените ѝ системи. Възстановяването трябва да е планирано, но не и толкова лесно, че да обезсмисли защитата.
Практичният минимум включва поне двама упълномощени администратори, предварително одобрена процедура за проверка на самоличността и втори надежден метод за критичните роли. Резервните кодове и аварийните акаунти се пазят контролирано, а използването им се преглежда.
Служителят не трябва да заобикаля защитата чрез личен имейл, чужд телефон или споделен код. При смяна на устройство старият метод се премахва, а новият се регистрира по проверена процедура.
Аварийният акаунт не е удобен „заден вход“. Той има силна, отделно съхранена защита, не се използва ежедневно и всяко негово използване предизвиква известие и последващ преглед. Целта му е да помогне при реален отказ на основния механизъм, а не да заобикаля правилата.
Поддръжката трябва да разполага с процедура за проверка на самоличността, която не разчита само на входящо телефонно обаждане. Нападател може да знае името, отдела и служебния номер на жертвата. Възстановяването се одобрява чрез предварително определен канал, второ отговорно лице или друг надежден организационен контрол.
Какво трябва да знае всеки потребител
- Одобрявайте само вход, който лично сте започнали.
- Проверявайте показаното число, услугата и местоположението, когато системата ги показва.
- Не споделяйте еднократни кодове по телефон, чат или имейл.
- Докладвайте непоискани известия и поредица от неуспешни опити за вход.
- Съобщавайте незабавно за изгубено служебно устройство.
Защитата се поддържа, не се отметва
След въвеждането трябва да се наблюдават необичайни входове, новорегистрирани устройства, промени в методите за потвърждение и многократни отказани заявки. Периодично се премахват телефони на напуснали служители, стари резервни адреси и временни изключения.
Полезните сигнали включват вход от нова държава, невъзможно бърза смяна на местоположението, регистрация на нов метод непосредствено след подозрителен вход, масово изтегляне на файлове и създаване на правила за пренасочване на поща. Нито един сигнал сам по себе си не доказва атака, но комбинацията им изисква бърза проверка.
При потвърдено съмнение активните сесии се прекратяват, паролата се сменя, непознатите методи се премахват и се проверяват последните действия на акаунта. В пощата се търсят правила за пренасочване и изтрити съобщения, а в облачните услуги – споделени връзки, нови приложения и необичайни изтегляния.
Прегледът не трябва да чака инцидент. На определен период се сравняват активните служители с регистрираните акаунти и устройства. При напускане достъпът се прекратява като част от самия процес, а не когато някой си спомни седмици по-късно.
Многофакторната защита не замества актуалните устройства, филтрирането на пощата, ограничените административни права и надеждния бекъп. Тя е един от основните слоеве, които не позволяват една открадната парола да се превърне автоматично в пълен достъп до бизнеса.
Чести грешки при внедряването
- Защитена е само пощата. Нападателят избира останалия портал, отдалечения достъп или системата за архивиране, които още приемат само парола.
- Всички разчитат на един телефон. При загуба или повреда няма проверен резервен метод и започват опасни импровизации.
- Администраторите използват най-удобния, а не най-силния метод. Така най-ценните акаунти остават с най-голям риск.
- Няма обучение. Потребителите одобряват непоискани заявки или споделят код с човек, представил се за поддръжка.
- Временните изключения остават завинаги. Старите приложения и акаунти се превръщат в обходен път около новата защита.
- Не се следят промените в методите. Незабелязано добавено устройство може да даде траен достъп дори след смяна на паролата.
Как да изберем реалистичен модел за фирмата
Няма еднаква конфигурация за всяка организация. Малък офис с управлявани лаптопи, производствена фирма със споделени работни места и екип, който работи изцяло дистанционно, имат различни ограничения. Общият принцип е методът да бъде достатъчно силен за риска и достатъчно управляем, за да не бъде заобикалян.
За масовите потребители приложението с проверка на число може да бъде практична начална стъпка. За администратори, финанси и достъп до чувствителни данни целта трябва да е ключ за достъп, хардуерен ключ или друг устойчив на фишинг метод. За служебни лаптопи добре управляваното локално удостоверяване с биометрия и персонален код може да съчетае удобство и сигурност.
Правилният проект не завършва с активиране на настройката. Той включва кой регистрира методите, как се сменят устройствата, как се възстановява достъпът, какво се наблюдава и кой взема решение при инцидент. Именно тези процеси превръщат технологията в работеща защита.
Практичен минимум за малка и средна фирма
- Включете допълнително потвърждение за всички служебни акаунти.
- Изберете устойчив на фишинг метод за администраторите и финансовите системи.
- Когато такъв метод още не е възможен, използвайте приложение с проверка на число.
- Не оставяйте критичен външен портал защитен само с парола.
- Подгответе процедура за изгубено устройство и аварийно възстановяване.
- Преглеждайте редовно регистрираните методи, устройствата и изключенията.
Добрата многофакторна защита не се измерва с броя известия, а с това дали правилният човек може да влезе лесно, а чуждият – не.
