Выберите свой город

Образовательным учреждениям
Оставьте отзыв о нашей работе
8 (812) 213-10-10 (бесплатно по России)
Главная → Методические публикации → Пароли больше не защищают: как правильно подключить двухфакторную аутентификацию

10/06/2026

Классический подход к информационной безопасности, опирающийся исключительно на сложные пароли, окончательно себя исчерпал. В условиях жестких регуляторных требований, массового перехода на отечественный софт и возросшего числа целевых атак, защита ИТ-инфраструктуры требует внедрения многофакторных ИБ-механизмов.

Сегодня мы подробно разберем, как строится надежная двухфакторная аутентификация, как интеграция СЗИ помогает связать физический токен с учетной записью сотрудника и как правильно рассчитать пул необходимых устройств для компании, избежав типичных ошибок.

Зачем информационной системе второй фактор защиты

Обычный символьный пароль уязвим. Его можно перехватить с помощью фишинга, подобрать методом брутфорса или компрометировать через человеческий фактор. Двухфакторная аутентификация (2FA) в корне меняет логику доступа, разделяя проверку подлинности пользователя на два независимых контура:

  1. То, что вы знаете: классический PIN-код или пароль от учетной записи.

  2. То, чем вы владеете: физический защищенный носитель — в нашем случае аппаратный идентификатор Рутокен Lite.

Если злоумышленник узнает пароль сотрудника, он все равно не сможет проникнуть в защищенный периметр, так как у него нет физического USB-токена, привязанного к этой конкретной «учетке». И наоборот: кража самого токена ничего не даст преступнику без знания секретного PIN-кода.

При любой попытке обойти систему или при несоответствии факторов доступа вход в операционную систему мгновенно блокируется. В ИС такая связка гарантирует, что за компьютером находится именно тот человек, за которого он себя выдает.

Архитектура решения: связка Рутокен Lite, СЗИ от НСД и ОС

Аппаратный ключ не работает сам по себе — ему необходим программный комплекс, который будет управлять правами доступа и верифицировать пользователя. Процесс реализуется при помощи сертифицированных средств защиты от несанкционированного доступа (СЗИ от НСД) или встроенных механизмов безопасности отечественных операционных систем.

В качестве технологического фундамента выступает проверенная связка элементов:

Технический алгоритм привязки идентификатора

Многие ИТ-специалисты ошибочно полагают, что для организации такого процесса требуется развертывание полноценной инфраструктуры открытых ключей (PKI) и выпуск сертификатов. Это не так.

Важное правило: для настройки двухфакторной аутентификации электронная подпись не нужна. Более того, хранить квалифицированную или неквалифицированную электронную подпись на токенах, предназначенных исключительно для авторизации в ОС, строго запрещено из соображений безопасности.

Механизм аутентификации базируется на неизменяемых аппаратных свойствах устройства.

  1. Администратор информационной безопасности подключает Рутокен Lite к рабочей станции.

  2. СЗИ от НСД (Secret Net / Dallas Lock) или средства безопасности защищенной ОС считывают уникальные атрибуты токена — его UID (уникальный идентификатор чипа) и серийный номер.

  3. Программа жестко связывает эти аппаратные маркеры с конкретным профилем (учетной записью) пользователя в ИС.

  4. В процессе эксплуатации при старте ОС система требует сначала вставить Рутокен Lite, а затем ввести корректный PIN-код. При отсутствии совпадения параметров доступ полностью блокируется на аппаратном или системном уровне. Благодаря этому двухфакторная аутентификация становится непреодолимым барьером для внешних и внутренних нарушителей.

Формула расчета: как понять, сколько токенов покупать

Закупка аппаратных ключей «на глаз» часто оборачивается либо нехваткой устройств в процессе внедрения, либо нецелевым расходованием ИТ-бюджета. Существуют четкие правила расчета необходимого количества идентификаторов в зависимости от структуры ваших автоматизированных рабочих мест (АРМ).

Сценарий 1. Локальный (один изолированный АРМ)

Если у вас в ИС функционирует один обособленный компьютер, на него по стандартам безопасности требуется минимум 3 токена:

  1. Токен для Администратора информационной системы (Администратор ИС).

  2. Токен для Администратора информационной безопасности (Администратор ИБ).

  3. Токен для Пользователя данного АРМ.

Примечание: если за одним АРМ посменно работают несколько непривилегированных сотрудников, у каждого из них обязан быть свой персональный, уникальный токен. Совместное использование одного устройства разными людьми запрещен.

Сценарий 2. Сетевой (несколько АРМ в составе объекта информатизации)

Если ваша инфраструктура состоит из нескольких рабочих станций, ИТ-бюджет можно существенно оптимизировать. Для учетных записей Администратора ИБ и Администратора ИС нет необходимости покупать отдельные пары ключей под каждый компьютер. Можно использовать всего два административных токена на весь пул машин.

Сценарий 3. Максимальная интеграция с АПМДЗ (Соболь + Secret Net)

Если на предприятии развернуты программно-аппаратные комплексы доверенной загрузки (АПМДЗ), например, плата Соболь в связке с СЗИ Secret Net, конфигурацию можно сделать еще более элегантной и удобной для персонала.

В данном архитектурном решении технически возможно настроить сквозное использование одних и тех же идентификаторов Рутокен Lite. Сотрудник будет применять один и тот же физический ключ как для прохождения контроля на этапе дозагрузки операционной системы (через Соболь), так и для последующей двухфакторной аутентификации внутри самой операционной системы (через Secret Net).

Пошаговый алгоритм: как подключить двухфакторную аутентификацию в компании

Переход на усиленную аутентификацию — это комплексный проект, состоящий из административной подготовки и технической настройки. Давайте детально разберем, как подключить двухфакторную аутентификацию поэтапно, чтобы система работала без сбоев.

Этап Содержание работ Ответственный
1. Проектирование и аудит Инвентаризация АРМ, составление списков пользователей и администраторов, расчет токенов по формуле. ИТ-директор / Главный архитектор
2. Закупка и приемка Приобретение партии Рутокен Lite, проверка серийных номеров, входной контроль оборудования. Отдел снабжения / ИТ-отдел
3. Документирование Создание и утверждение «Журнала учета и выдачи аппаратных идентификаторов». Администратор ИБ
4. Персонализация Маркировка, генерация первичных PIN-кодов, выдача устройств сотрудникам под подпись. Администратор ИБ
5. Техническая привязка Регистрация UID и номеров токенов в СЗИ (Secret Net/Dallas Lock) или в ОС Astra Linux. Администратор ИБ / Системный инженер
6. Запуск и контроль Тестовый вход, проверка блокировок при некорректном вводе, перевод системы в рабочий режим. Администратор ИБ / Пользователи

Перед тем как подключить двухфакторную аутентификацию на всех рабочих местах, ИТ-отделу рекомендуется провести пилотное тестирование на нескольких АРМ, чтобы отработать действия сотрудников в случае блокировки или утери токена.

Административный регламент: ведение Журнала учета

Любое аппаратное средство защиты должно находиться под строгим контролем. Хаотичная выдача токенов без фиксации — прямой путь к потере контроля над периметром организации и гарантированный штраф при первой же проверке регуляторов.

Все токены в обязательном порядке выдаются сотрудникам строго через специальный Журнал учета и выдачи аппаратных идентификаторов. За ведение и сохранность этого документа отвечает Администратор информационной безопасности.

Каждая запись в журнале представляет собой строгую отчетность и должна содержать следующие неизбывные параметры:

  • Серийный номер токена (заводской номер, четко напечатанный на пластиковом корпусе Рутокен Lite);

  • ФИО и должность сотрудника, получающего устройство в личное пользование;

  • Дата выдачи ключа;

  • Личная подпись сотрудника, подтверждающая получение;

  • Дата сдачи устройства (заполняется при увольнении или плановой замене);

  • Подпись ответственного лица (Администратора ИБ), принявшего токен обратно на хранение.

Бумажная или подписанная квалифицированной электронной подписью цифровая форма такого журнала является главным юридическим доказательством того, что в компании внедрен и функционирует легитимный режим разграничения прав доступа.

Внедрение аппаратного второго фактора — это радикальное снижение риска несанкционированного доступа, которое перекрывает до 99% векторов простейших кибератак на корпоративные учетные записи. Построение грамотной связки из отечественных ОС, надежных СЗИ и сертифицированных токенов гарантирует стабильность и общую безопасность бизнеса в современных реалиях.

Нужна консультация, как подключить двухфакторную аутентификацию?

Наш эксперт ответит на все вопросы в рамках бесплатной консультации.

Подробнее

Задайте свой вопрос прямо сейчас

*

Все офисы компании

Карта сайта

Информация на сайте является интеллектуальной собственностью ООО «Цифровые технологии» и защищена законом РФ об авторском праве. Копирование материалов запрещено.
Материалы носят информационный характер и не являются публичной офертой.
На странице использованы графические материалы: Изображения https://www.freepik.com, иконки www.flaticon.com.

© 2008-2026 Компания «Цифровые технологии»