Двухфакторная аутентификация (2FA)
Двухфакторная аутентификация (2FA, MFA) добавляет к паролю второй шаг подтверждения при входе. Даже если пароль узнают посторонние, без второго фактора войти в аккаунт не получится. Для бизнеса это базовая защита рабочих данных: задач, клиентов, документов и переписки.
В LadVen OS каждый сотрудник может включить 2FA сам в своём профиле, а администратор — задать политику для всей компании и для внешних участников (экстранет).
Как это работает
При включённой 2FA вход состоит из двух шагов:
- Логин и пароль — как обычно.
- Одноразовый код из приложения-аутентификатора на вашем телефоне.
Код меняется каждые несколько десятков секунд, поэтому его нельзя переиспользовать или перехватить надолго. Если телефон недоступен, вместо кода можно ввести один из кодов восстановления, которые вы сохранили при включении 2FA.
Как включить 2FA в профиле
Включение занимает пару минут. Заранее установите на телефон приложение-аутентификатор: Google Authenticator, Microsoft Authenticator, Authy или аналог.
- Откройте свой профиль и найдите раздел безопасности с блоком двухфакторной аутентификации.
- Нажмите включение 2FA. Для подтверждения личности система попросит ввести текущий пароль.
- Появится QR-код. Откройте приложение-аутентификатор и отсканируйте его — в приложении добавится строка с вашим аккаунтом LadVen OS и меняющимся кодом.
- Введите текущий код из приложения, чтобы подтвердить, что оно настроено верно.
- Система покажет коды восстановления. Сохраните их сразу — это единственный момент, когда они видны полностью.
После активации 2FA становится обязательной для входа в ваш аккаунт.
Если QR-код не сканируется, в приложении обычно можно добавить аккаунт вручную по текстовому ключу, показанному рядом с кодом.
Коды восстановления
Коды восстановления — это одноразовые запасные коды на случай, когда приложение-аутентификатор недоступно: телефон потерян, разряжен, сменён или переустановлен.
- Сохраните коды в надёжном месте: менеджер паролей, защищённая заметка, распечатка в сейфе. Не храните их рядом с паролем и не пересылайте в открытых чатах.
- Каждый код срабатывает один раз. После использования он больше не действует.
- Когда коды заканчиваются или вы подозреваете, что их видели посторонние, сгенерируйте новый набор в профиле. Старые коды при этом перестают работать.
Коды восстановления — это доступ к вашему аккаунту. Относитесь к ним как к паролю.
Доверенные устройства
Чтобы не вводить код при каждом входе с личного рабочего компьютера, браузер можно отметить как доверенный. На доверенном устройстве второй фактор какое-то время не запрашивается.
- Отмечайте доверенными только личные рабочие устройства, а не общие или чужие компьютеры.
- Если устройство потеряно или доступ к нему мог получить посторонний, отзовите доверие — при следующем входе снова потребуется второй фактор.
- Доверие ограничено по времени и хранится в конкретном браузере: после очистки данных браузера или по истечении срока код запросят заново.
Вход со вторым фактором
Когда 2FA включена, после логина и пароля появляется поле для одноразового кода:
- Откройте приложение-аутентификатор и посмотрите текущий код для LadVen OS.
- Введите код до того, как он сменится. Если не успели, дождитесь нового кода и введите его.
- Если приложение недоступно, переключитесь на ввод кода восстановления.
Если код не подходит, проверьте, что на телефоне правильное время (аутентификаторы зависят от точного времени) и что вы вводите код именно для аккаунта LadVen OS, а не для другого сервиса.
Как отключить 2FA
Отключить 2FA можно в том же разделе профиля. Система попросит подтвердить личность паролем и вторым фактором — это защищает от отключения посторонним, получившим доступ к незаблокированному экрану.
Отключайте 2FA осознанно: аккаунт снова будет защищён только паролем. Если 2FA обязательна по политике компании, отключить её самостоятельно нельзя — обратитесь к администратору.
Для администратора: политика 2FA компании
Администратор задаёт, для кого второй фактор обязателен. Политика настраивается отдельно для сотрудников портала и для внешних участников экстранета, с несколькими уровнями:
| Уровень | Что означает |
|---|---|
| Отключено | 2FA недоступна или не используется. |
| По желанию | Каждый включает 2FA сам; обязательности нет. |
| Обязательно для администраторов | Сотрудники с административными правами обязаны использовать 2FA. |
| Обязательно для всех | Все сотрудники (или все внешние участники) обязаны включить 2FA. |
Выбирайте уровень по чувствительности данных и зрелости команды. Практичный маршрут внедрения: сначала «по желанию» с просьбой включить, затем «обязательно для администраторов», затем «обязательно для всех», когда команда привыкла к процессу и знает про коды восстановления.
Когда действует обязательная политика, сотрудник без настроенной 2FA будет обязан пройти настройку, чтобы продолжить работу.
Для администратора: сброс 2FA сотрудника
Если сотрудник потерял доступ ко второму фактору (утерян телефон и коды восстановления, уволился и передал аккаунт, компрометация), администратор выполняет принудительный сброс 2FA в списке сотрудников. Это чувствительное действие, поэтому оно требует подтверждения.
После сброса:
- у сотрудника снимается текущая настройка 2FA;
- при следующем входе он проходит настройку заново, если действует обязательная политика;
- прежние коды восстановления и доверенные устройства перестают действовать.
Проверяйте личность сотрудника перед сбросом по независимому каналу: сброс 2FA снимает защиту аккаунта, поэтому им нельзя пользоваться по непроверенной просьбе.
Хорошие практики
- Включайте 2FA для всех, у кого есть доступ к клиентам, документам, финансам или административным настройкам.
- Сохраняйте коды восстановления сразу при включении и держите их отдельно от пароля.
- Не отмечайте доверенными общие и чужие устройства.
- Вводите обязательную политику поэтапно и заранее предупредите команду про коды восстановления, чтобы люди не теряли доступ.
- Сброс 2FA сотрудника выполняйте только после проверки личности по надёжному каналу.
Частые ошибки
- Включили 2FA и не сохранили коды восстановления — при потере телефона доступ восстанавливается только через администратора.
- Хранят коды восстановления рядом с паролем или в общем чате — это сводит защиту на нет.
- Отмечают доверенным общий компьютер — второй фактор перестаёт защищать вход.
- Вводят обязательную политику резко, без предупреждения — часть команды теряет доступ и перегружает администратора запросами на сброс.
- Неверное время на телефоне — коды аутентификатора не подходят, хотя всё настроено правильно.