Двухфакторная аутентификация для небольшой компании: подключаем без своего сервера за один рабочий день

Три года назад у одного нашего клиента — небольшой юридической фирмы на двенадцать человек — угнали корпоративную почту главного партнёра. Пароль был сложный, восемнадцать символов с цифрами и спецсимволами. Просто у бухгалтера на личном ноутбуке оказался стилер, который перехватил куки активной сессии. Всё. Полгода переписки с клиентами оказались в чужих руках. С тех пор я каждому новому клиенту первым делом настраиваю двухфакторку — прежде чем вообще начинать разговор про антивирусы, бэкапы и прочие прелести.

Почему длинный пароль больше не работает

Объясню без технических деталей. Пароль — это один фактор защиты. Если его знаете только вы, всё хорошо. Но пароли утекают постоянно. Причём не потому что кто-то записал его на стикер под клавиатурой. Взламывают базы данных сервисов, фишинговые сайты воруют данные, корпоративные ноутбуки заражаются малварью. По нашей практике, хотя бы один скомпрометированный пароль в компании на двадцать человек — это почти гарантированная история. Раз в год, а то и чаще.

Особенно уязвимы VPN-доступы и корпоративная почта. Вот почему: и то и другое — это фактически главный ключ. Получил доступ к почте директора — можешь сбросить пароли к CRM, к интернет-банку, к чему угодно, ведь восстановление доступа идёт именно на почту. Получил VPN — видишь внутренний трафик, базы 1С, сетевые папки с договорами. Я видел компании, где VPN-пароль не меняли три года подряд. И это была вполне нормальная организация с опытными юристами и бухгалтерами. Просто никто не думал про IT-безопасность, потому что всё работало.

Двухфакторная аутентификация — это второй замок. Даже если пароль утёк, войти в систему без физического телефона сотрудника невозможно. Простая механика, знакомая всем по мобильному банкингу. Вот только в корпоративной среде её почему-то ставят в самую последнюю очередь — после покупки дорогого антивируса, настройки файрвола и сотни других вещей, которые помогают меньше.

Что такое TOTP и почему именно он

Схем двухфактора существует несколько: СМС-коды, push-уведомления, аппаратные токены вроде YubiKey, биометрия. Для небольшой компании я рекомендую TOTP — Time-based One-Time Password. Это когда приложение на телефоне генерирует шестизначный код, который меняется каждые тридцать секунд. Математика внутри простая, но взломать её без физического доступа к устройству практически невозможно. И главное: никакого собственного сервера для этого не нужно. Никаких затрат на СМС. Работает даже без интернета, в самолёте.

Приложений-аутентификаторов несколько: Google Authenticator, Microsoft Authenticator, Яндекс.Ключ, Authy. Все бесплатные. Authy и Microsoft Authenticator умеют делать зашифрованную резервную копию в облако — это критически важно, потому что потеря телефона без резервной копии превращается в марафон по восстановлению доступа ко всем сервисам сразу. Своим клиентам я обычно рекомендую Authy или Microsoft Authenticator: оба поддерживают несколько устройств и облачный бэкап. Яндекс.Ключ хорош для компаний, которые полностью работают в экосистеме Яндекса.

TOTP — открытый стандарт, RFC 6238. Это значит, что один и тот же QR-код при настройке работает в любом аутентификаторе — нет привязки к конкретному вендору. Включили двухфакторку в почте — отсканировали QR любым приложением, готово. Для сотрудника вся процедура занимает три минуты. Никаких курсов, никакого специального обучения — интерфейс понятен с первого взгляда.

Почта: начинаем именно отсюда

Корпоративная почта — самое уязвимое и самое ценное место одновременно. Через неё восстанавливается доступ практически ко всем остальным сервисам. Взломали почту директора — считайте, злоумышленник в системе надолго. Поэтому начинаем именно с неё, а не с VPN или чего-то ещё.

Яндекс 360 — в нём двухфакторка реализована через приложение Яндекс.Ключ. Включается в настройках безопасности аккаунта. Администратор домена может принудительно включить её сразу для всей организации через консоль управления. Важный нюанс: если сотрудники работают через почтовые клиенты — Outlook, Thunderbird, iOS Mail — нужно для каждого из них сгенерировать отдельный пароль приложения. Это длинная строка символов, которую вводят вместо обычного пароля в настройках клиента. Звучит сложно, на практике — пять минут на человека.

Microsoft 365 — тут удобнее. В центре администрирования Microsoft Entra (раньше это называлось Azure Active Directory) включается политика требования многофакторной проверки подлинности для всех пользователей. При следующем входе сотрудник получает запрос настроить второй фактор — выбирает Microsoft Authenticator или любое TOTP-приложение, сканирует QR. Всё это уже включено в лицензии Microsoft 365 Business Basic и выше. Многие наши клиенты не знали об этом и годами платили за сторонние MFA-решения — совершенно напрасно.

VPN: двухфактор без своего RADIUS-сервера

Вот тут обычно начинается боль. Клиент говорит: хотим 2FA на VPN. Классическое решение — поднять RADIUS-сервер, интегрировать его с Active Directory и MFA-провайдером. Нормальная история для компании на двести человек. Для компании на двадцать — это избыточно, дорого и долго. Настройка такой схемы с нуля займёт неделю и обойдётся в 40–80 тысяч рублей только за работу специалиста.

Что делаем мы для небольших компаний. Если VPN нужен для удалённого доступа пяти-пятнадцати сотрудников, переводим их на WireGuard или OpenVPN с аутентификацией через сертификаты вместо паролей. Сертификат на устройстве — это уже второй фактор de facto: то, что у тебя физически есть. Потерял ноутбук — отзываем сертификат в два клика. Никакого дополнительного сервера, никакой сложной инфраструктуры. Быстро и надёжно.

Второй вариант — Cloudflare Access или Teleport Community Edition. Оба бесплатны для небольших команд. Cloudflare Access позволяет поставить перед любым внутренним ресурсом страницу аутентификации с TOTP или OAuth через Google и Microsoft. Teleport — опенсорсный шлюз доступа, который умеет двухфактор, аудит сессий и запись терминальных подключений. В прошлом году мы поставили Teleport одной частной медклинике: пять врачей работали удалённо через него с медицинской информационной системой. Работает до сих пор без единой проблемы и без абонентской платы.

Если у вас стоит Mikrotik — а в малом бизнесе он встречается очень часто — в нём можно организовать IPsec IKEv2 с сертификатами прямо из коробки. Никакого стороннего ПО. Настройка занимает полдня. Получаете полноценный VPN, где вторым фактором выступает сертификат на устройстве пользователя. Просто, надёжно, без абонентской платы.

1С-облако: там, где живут деньги

Большинство наших клиентов работают в 1С через облачные сервисы — 1С:Фреш, различные хостеры вроде Selectel или Облако.ру. Это удобно: не нужен собственный сервер, обновления автоматические, доступ из любой точки. Но именно это «из любой точки» — дверь и для злоумышленника тоже. Особенно если менеджер по продажам зашёл в 1С с домашнего компьютера, на котором живёт весь зоопарк.

1С:Фреш поддерживает двухфакторную аутентификацию через TOTP начиная с версии платформы 8.3.22. Включается в настройках пользователя в личном кабинете. Пользователь сканирует QR в свой аутентификатор — и при каждом входе вводит шестизначный код. У части облачных хостеров есть дополнительный рубеж — двухфакторка на уровне самого веб-портала доступа. Два замка лучше одного.

Отдельная история — работа через тонкий клиент 1С по RDP. Если у вас такая схема, двухфакторку нужно ставить на сам RDP-доступ. Для Windows Server это делается через Network Policy Server и Azure MFA — но это снова история со своим сервером. Проще: Duo Security Free. Бесплатно до десяти пользователей, умеет добавлять 2FA к RDP-подключениям без Active Directory и без дополнительного сервера. Мы использовали его у клиента-производителя мебели, где три менеджера работали удалённо через RDP к серверу с 1С. Полтора года без нареканий.

Мессенджеры, CRM и боковые двери

Почта и VPN — это главные ворота. Но есть ещё боковые двери: корпоративные аккаунты в Google Workspace, Bitrix24, AmoCRM, облачные хранилища с документами. Везде, где есть авторизация и ценные данные — нужна двухфакторка. Звучит как большой объём работы. На практике настроить всё это для компании на двадцать человек за один день — вполне реально.

Google Workspace. Включается в консоли администратора: раздел «Безопасность» → «Вход в аккаунт Google» → «Двухэтапная аутентификация». Можно принудительно включить сразу для всей организации или отдельных подразделений. Поддерживает TOTP, push-уведомления через Google Prompt, аппаратные ключи безопасности. Настройка политики — пятнадцать минут. Сотрудники настраивают аутентификатор самостоятельно при следующем входе.

Bitrix24 в облаке поддерживает TOTP в настройках профиля пользователя, но принудительно включить его для всей компании можно только на тарифе «Профессиональный» и выше. На базовых тарифах каждый сотрудник включает сам. Что, честно говоря, не работает — люди не включают добровольно то, что кажется лишним усилием. Нужен административный контроль, иначе половина компании окажется без второго фактора, и смысл в нём теряется.

Потерял телефон — как теперь работать?

Это самый частый вопрос. Сотрудник потерял телефон. Там был аутентификатор. Как войти в почту? Как войти в 1С? Паника. Но если подготовиться заранее — это решается за пять минут и без звонка в техподдержку.

Резервные коды. Все нормальные сервисы при настройке 2FA показывают набор одноразовых резервных кодов — обычно восемь-десять штук. Их нужно распечатать и положить в сейф или сохранить в менеджере паролей — Bitwarden, KeePass подходят отлично. Один резервный код позволяет войти один раз без второго фактора. Потерял телефон — используешь резервный код, входишь, настраиваешь 2FA заново на новом устройстве. Главное — сохранить коды сразу при настройке, а не вспомнить об этом после того как телефон утонул в унитазе.

Резервный метод. В большинстве сервисов можно настроить несколько методов 2FA одновременно: приложение-аутентификатор и личный номер телефона для СМС. Потерял телефон — входишь через СМС. В Google Workspace и Microsoft 365 администратор может временно отключить требование второго фактора для конкретного пользователя — на несколько минут, пока тот не войдёт и не настроит 2FA заново на другом устройстве.

Если используете Authy — там поддерживается несколько устройств. Установили приложение на рабочий телефон и на планшет. Потеряли один — работаете с другого. Это не дыра в безопасности, именно для этого функция и существует. Для компании удобно держать резервное устройство с Authy у системного администратора — на такой вот случай.

Частые вопросы

Нужен ли нам собственный сервер для внедрения 2FA?
Нет. Для большинства задач малого бизнеса — почта, облачные сервисы, VPN с аутентификацией по сертификатам — собственный сервер не нужен. TOTP работает без какой-либо инфраструктуры на вашей стороне: сервис генерирует QR-код при настройке, дальше всё считает приложение на телефоне сотрудника. Для VPN с полноценным вторым фактором можно использовать Cloudflare Access или Teleport Community Edition — оба бесплатны для небольших команд и не требуют серверного ПО у вас.

Что делать, если сотрудник забыл телефон дома и не может войти в систему?
Если подготовились заранее — не проблема. При настройке 2FA сохраните резервные коды: каждый из них позволяет войти один раз без второго фактора. Храните их в менеджере паролей или в распечатанном виде в сейфе. Второй вариант — настроить несколько методов 2FA: приложение-аутентификатор плюс СМС-резерв на другой номер. В крайнем случае администратор временно отключит требование 2FA для пользователя в Google Workspace или Microsoft 365 — это занимает минуту.

Какое приложение-аутентификатор лучше выбрать для компании?
Authy или Microsoft Authenticator — оба поддерживают облачный бэкап и несколько устройств, что критично при потере телефона. Если компания работает в Google Workspace — удобен Google Authenticator, последние версии умеют синхронизироваться с Google-аккаунтом. Яндекс.Ключ хорош для организаций на Яндекс 360. Главное при выборе — убедитесь, что приложение умеет делать резервную копию: смена телефона без неё превращается в марафон восстановления доступа к десяткам сервисов.

Сколько стоит внедрить двухфакторку в компании на 20 человек?
Сам функционал 2FA — бесплатный. Приложения-аутентификаторы бесплатны. MFA уже включён в лицензии Google Workspace, Microsoft 365 и Яндекс 360 без доплат. Платить придётся только за работу по настройке и обучению сотрудников. По нашим оценкам, на компанию в 20 человек уходит один рабочий день — это примерно 12 000–18 000 рублей разово. Стоимость одного инцидента со взломом корпоративной почты, как правило, в десятки раз выше.