Двофакторна автентифікація в Windows: Microsoft Authenticator і апаратні ключі

Двофакторна автентифікація (2FA) — стандарт захисту корпоративних систем. Навіть якщо пароль зламали або вкрали — без другого фактора зайти неможливо.

Що таке 2FA і чому це важливо

2FA = "щось що знаєш" (пароль) + "щось що маєш" (телефон, апаратний ключ).

Більшість зламів корпоративних мереж у 2024–2025 роках відбулись через компрометацію паролів без 2FA. Microsoft стверджує що 2FA блокує 99.9% автоматизованих атак.

Microsoft Authenticator — основний спосіб

Встановлення

Встанови Microsoft Authenticator на телефон (iOS або Android)
Зайди на account.microsoft.com → Безпека → Розширені параметри безпеки
Двоетапна перевірка → Налаштувати
Вибери Програма автентифікатора → відскануй QR-код телефоном
Введи 6-значний код з додатка для підтвердження

Як це працює при вході

При вході в Windows або Microsoft-сервіси:

Push-сповіщення — на телефоні з'являється запит "Approve sign-in?" → натисни Approve
Цифровий збіг — на телефоні показується число, ти маєш вибрати правильне з трьох варіантів (захист від автоматичного підтвердження)

TOTP-коди (Google Authenticator, Authy)

TOTP — Time-based One-Time Password. Додаток генерує 6-значний код що змінюється кожні 30 секунд.

Для Microsoft акаунту:

При налаштуванні 2FA вибери Інший додаток для автентифікатора
Відскануй QR в будь-який TOTP-додаток: Google Authenticator, Authy, Bitwarden, KeePass
При вході вводь поточний код з додатка

Authy vs Google Authenticator: Authy має хмарне резервне копіювання — якщо втратиш телефон, коди відновляться. Google Authenticator до 2023 не мав backup (зараз є).

YubiKey — апаратний ключ

Найнадійніший варіант. Фізичний USB або NFC ключ — без нього вхід неможливий навіть якщо є пароль і телефон.

Налаштування для Microsoft акаунту

Купи YubiKey (5 серія — $50-60, Security Key — $25)
account.microsoft.com → Безпека → Розширені параметри безпеки → Ключ безпеки → Керування
Вставни YubiKey → натисни кнопку на ключі для реєстрації

Для корпоративного Azure AD / Entra ID

# Перевірити чи увімкнена FIDO2 автентифікація в організації
# (Azure AD PowerShell)
Get-AzureADPolicy | Where-Object {$_.Type -eq "AuthenticationMethodsPolicy"}

В Azure Portal: Azure AD → Security → Authentication methods → FIDO2 security keys → увімкни.

Windows Hello як 2FA для корпоративного входу

Windows Hello (PIN, відбиток, обличчя) в корпоративному середовищі з Azure AD — це повноцінний 2FA:

PIN прив'язаний до конкретного пристрою і TPM-чипу
Відбиток або обличчя — біометричний фактор
Разом з паролем домену — два фактори

Детальніше: Windows Hello налаштування

Умовний доступ (Conditional Access) в Azure AD

Для корпоративних адміністраторів — примусова вимога 2FA для всіх:

Azure Portal → Azure AD → Security → Conditional Access → New policy:

Users: All users
Cloud apps: All cloud apps
Grant: Require multi-factor authentication
Enable policy: On

Після цього всі входи в корпоративні сервіси вимагатимуть 2FA.

Резервні методи і відновлення

Завжди налаштовуй кілька методів 2FA — якщо один недоступний, є запасний.

Основний: Microsoft Authenticator
Резервний: SMS на номер телефону
Екстрений: Резервний код (роздрукуй і збережи фізично)

Де зберігати резервні коди:

Роздруковані в сейфі або закритому шухляді
У менеджері паролів (Bitwarden, KeePass) на окремому захищеному пристрої
Не в тому ж телефоні де Authenticator

Що робити якщо втратив пристрій з 2FA

Використай резервний код
Або SMS на резервний номер
Якщо нічого немає — account.microsoft.com → Безпека → Не маю доступу до цих параметрів → процедура відновлення акаунту (займає 24-30 днів)

Підсумок

Мінімум: Microsoft Authenticator з push-сповіщеннями + збережений резервний код. Для параноїків або критичних акаунтів: YubiKey. В корпоративному середовищі: Conditional Access в Azure AD з вимогою MFA для всіх. Налаштовується один раз і захищає назавжди.

🔑 Потрібен надійний пароль?

→ Генератор паролів — криптографічно надійні паролі прямо в браузері. Нічого не передається на сервер.