Обзор двухфакторной аутентификации (2FA)

ℹ️ О документе

В этом разделе описана система двухфакторной аутентификации в IDENTYX. Двухфакторная аутентификация значительно повышает безопасность учетных записей, требуя от пользователя подтвердить свою личность двумя разными способами при входе в систему.

Что такое двухфакторная аутентификация

Двухфакторная аутентификация (2FA, Two-Factor Authentication) — это метод защиты учетной записи, который требует два различных способа подтверждения личности пользователя:

  1. Первый фактор — то, что вы знаете (логин и пароль, или другой основной метод входа)
  2. Второй фактор — то, что у вас есть (одноразовый код из приложения или письма на почту)

Даже если злоумышленник узнает ваш пароль, он не сможет войти в систему без доступа ко второму фактору.

✅ Рекомендация

Мы настоятельно рекомендуем включить двухфакторную аутентификацию для всех пользователей системы, особенно для администраторов и пользователей с расширенными правами доступа.

Доступные методы 2FA

IDENTYX поддерживает следующие методы двухфакторной аутентификации:

📱 TOTP (приложения-аутентификаторы)

Time-based One-Time Password — одноразовые коды, генерируемые мобильным приложением.

Совместимые приложения:

  • Google Authenticator
  • Microsoft Authenticator
  • Яндекс.Ключ
  • Authy
  • И другие совместимые с TOTP приложения

Код меняется каждые 30 секунд и работает даже без интернета.

Подробнее в разделе TOTP (приложения-аутентификаторы)

📧 Email 2FA

Email двухфакторная аутентификация — одноразовый код отправляется на электронную почту пользователя.

Особенности:

  • Требуется подтвержденный email адрес
  • Код отправляется при каждом входе
  • Простой в использовании метод
  • Зависит от доступности почтового сервера

Подробнее в разделе Email 2FA

Зачем нужна двухфакторная аутентификация

Двухфакторная аутентификация защищает от следующих угроз:

  • Кража паролей — даже если пароль был украден или взломан, злоумышленник не сможет войти без второго фактора
  • Фишинг — если пользователь случайно ввел пароль на поддельном сайте, второй фактор не позволит войти
  • Перебор паролей — брутфорс атаки становятся бессмысленными с включенным 2FA
  • Утечки баз данных — даже если база паролей утекла из другого сервиса, где пользователь использовал тот же пароль, второй фактор защитит аккаунт

Глобальное требование 2FA для всех пользователей

Администратор системы может включить обязательную двухфакторную аутентификацию для всех пользователей через настройки:

  1. Перейдите в раздел меню Настройки
  2. Найдите секцию Двухфакторная аутентификация
  3. Включите параметр "Требовать второй фактор аутентификации для всех пользователей"
⚠️ Важно

После включения глобального требования 2FA все пользователи, у которых не настроен ни один метод двухфакторной аутентификации, будут обязаны настроить 2FA при следующем входе. До настройки 2FA они не смогут войти в систему.

Индивидуальное требование 2FA для конкретных пользователей

Помимо глобального требования, можно настроить обязательную 2FA для отдельных пользователей. Это полезно, когда нужно усилить защиту конкретных учетных записей (например, администраторов), не требуя 2FA от всех пользователей.

Включение индивидуального требования 2FA

Для включения требования 2FA для конкретного пользователя:

  1. Перейдите в раздел Субъекты доступаПользователи
  2. Откройте карточку нужного пользователя
  3. Перейдите на вкладку Авторизация
  4. Включите чекбокс "Обязательная 2FA"
  5. Сохраните изменения

После этого данный пользователь будет обязан настроить 2FA при следующем входе.

Просмотр пользователей с требованием 2FA

Для удобства администрирования в системе предусмотрена отдельная страница, где можно посмотреть всех пользователей, для которых настроено индивидуальное требование двухфакторной аутентификации:

  1. Перейдите в раздел Субъекты доступа
  2. Выберите пункт меню Второй фактор

На этой странице отображается список всех пользователей с включенным флагом требования 2FA. Вы можете быстро добавить новых пользователей или удалить требование для существующих.

Настройка 2FA при первом входе

Когда пользователь, для которого требуется двухфакторная аутентификация, пытается войти в систему, но у него не настроен ни один метод 2FA, происходит следующее:

  1. Пользователь вводит логин и пароль (или использует другой основной метод входа)
  2. Система проверяет наличие настроенных методов 2FA
  3. Если методы не настроены, появляется экран выбора метода двухфакторной аутентификации
  4. Пользователь выбирает удобный ему метод:
    • Приложение аутентификации (TOTP) — система покажет QR-код для сканирования
    • Код на электронную почту — система отправит код на email (требуется подтвержденная почта)
  5. После успешной настройки 2FA пользователь входит в систему
ℹ️ Примечание

Если у пользователя не подтвержден email адрес, опция "Код на электронную почту" будет недоступна. В этом случае пользователь должен выбрать TOTP.

Выбор предпочтительного метода 2FA

Если у пользователя настроены оба метода двухфакторной аутентификации (и TOTP, и Email 2FA), он может выбрать предпочтительный метод, который будет использоваться по умолчанию при входе.

Для изменения предпочтительного метода:

  1. Перейдите в свой Профиль
  2. Найдите блок "Предпочтительный метод 2FA"
  3. Переключите между TOTP и Email

При входе система сначала предложит выбранный метод. Пользователь всегда может переключиться на альтернативный метод во время процесса входа.

Пропуск 2FA при входе через WebAuthn

WebAuthn (биометрия и ключи безопасности) сам по себе является очень безопасным методом аутентификации. IDENTYX позволяет администратору разрешить пользователям пропускать второй фактор при входе через WebAuthn.

Включение возможности пропуска 2FA для WebAuthn

Администратор может глобально разрешить эту возможность:

  1. Перейдите в раздел меню Настройки
  2. Найдите секцию Двухфакторная аутентификация
  3. Включите параметр "Разрешить пользователям настраивать вход через WebAuthn без второго фактора"

Настройка пропуска 2FA пользователем

После того как администратор разрешил эту возможность, пользователь может включить пропуск 2FA для себя:

  1. Перейдите в свой Профиль
  2. Убедитесь, что у вас настроен хотя бы один ключ WebAuthn или биометрия
  3. Найдите опцию "Вход по биометрии/ключу без второго фактора"
  4. Включите эту опцию

После этого при входе через WebAuthn система не будет запрашивать второй фактор аутентификации.

⚠️ Безопасность

Включайте пропуск 2FA для WebAuthn только если вы полностью доверяете безопасности используемых устройств WebAuthn. Ключи безопасности (например, YubiKey) обычно безопаснее биометрии на мобильных устройствах.

Управление методами 2FA

Пользователи могут самостоятельно управлять своими методами двухфакторной аутентификации через личный профиль:

Включение/отключение TOTP

  1. Перейдите в свой Профиль
  2. Найдите блок "Двухфакторная аутентификация (TOTP)"
  3. Используйте переключатель для включения или отключения TOTP
  4. При включении система покажет QR-код для сканирования в приложении-аутентификаторе

Включение/отключение Email 2FA

  1. Перейдите в свой Профиль
  2. Найдите блок "Двухфакторная аутентификация (Email)"
  3. Убедитесь, что ваш email подтвержден
  4. Используйте переключатель для включения или отключения Email 2FA
⚠️ Ограничение

Если для вас требуется двухфакторная аутентификация (глобально или индивидуально), вы не сможете отключить оба метода одновременно. Система требует наличия хотя бы одного активного метода 2FA.

Подробнее об управлении методами 2FA читайте в разделе Управление методами 2FA.

Процесс входа с двухфакторной аутентификацией

Типичный процесс входа с включенной 2FA выглядит следующим образом:

  1. Пользователь открывает страницу входа
  2. Вводит логин и пароль (или использует другой метод: LDAP, OAuth, и т.д.)
  3. Система проверяет учетные данные
  4. Если первый фактор прошел успешно, система проверяет настройку 2FA:
    • Если 2FA не настроена, но требуется — показывается экран настройки 2FA
    • Если настроен только один метод 2FA — запрашивается код этим методом
    • Если настроены оба метода — используется предпочтительный метод с возможностью переключения
    • Если был вход через WebAuthn и включен пропуск 2FA — второй фактор не запрашивается
  5. Пользователь вводит одноразовый код
  6. Система проверяет код
  7. При успешной проверке пользователь получает доступ к системе

Журналирование событий 2FA

Все события, связанные с двухфакторной аутентификацией, автоматически записываются в журнал событий безопасности:

  • Настройка TOTP
  • Удаление TOTP
  • Включение/отключение Email 2FA
  • Успешная проверка второго фактора
  • Неудачная проверка второго фактора
  • Требование настройки 2FA при входе
  • Изменение предпочтительного метода 2FA
  • Настройка пропуска 2FA для WebAuthn

Это позволяет администраторам отслеживать использование 2FA и выявлять подозрительную активность (например, многократные неудачные попытки ввода кода).

Рекомендации по использованию 2FA

👨‍💼 Для администраторов
  • Включите обязательную 2FA как минимум для всех администраторов
  • Рассмотрите возможность включения глобального требования 2FA для всех пользователей
  • Настройте корректную отправку email перед включением Email 2FA
  • Регулярно проверяйте журнал событий на наличие подозрительной активности
  • Обучите пользователей использованию 2FA перед включением требования
👤 Для пользователей
  • Используйте TOTP вместо Email 2FA для большей надежности
  • Храните резервные коды доступа в надежном месте
  • Не делайте скриншоты QR-кода для TOTP
  • Защитите свое приложение-аутентификатор паролем или биометрией
  • Включите 2FA даже если система не требует этого обязательно

Решение проблем

Не приходит код на email

  • Проверьте папку "Спам" в почте
  • Убедитесь, что ваш email адрес подтвержден в профиле
  • Обратитесь к администратору для проверки настроек SMTP

Код из приложения не работает

  • Убедитесь, что время на вашем устройстве синхронизировано
  • Проверьте, что вы используете правильное приложение и аккаунт
  • Попробуйте дождаться следующего кода (коды меняются каждые 30 секунд)

Потерял устройство с 2FA

  • Если у вас настроено два метода 2FA, используйте альтернативный метод
  • Обратитесь к администратору системы для сброса 2FA
  • Администратор может временно отключить требование 2FA для вашей учетной записи
✅ Готовы продолжить?

Переходите к разделу TOTP (приложения-аутентификаторы) для изучения детальной информации о настройке и использовании TOTP.