Если у вас Outlook, OneDrive, Microsoft 365, Teams или рабочая учетная запись Microsoft, SMS уже нельзя считать нормальным основным способом защиты. Код по SMS лучше, чем один пароль, но он слишком часто попадает к атакующему: через подмену SIM-карты, фишинговую страницу, вредоносное приложение или простой обман сотрудника колл-центра оператора.
Практичный вариант для большинства пользователей — использовать Microsoft Authenticator: приложение, которое подтверждает вход через push-уведомление или выдает одноразовый код. Это не делает аккаунт неуязвимым, но заметно повышает планку для атак. Главное — не просто установить приложение, а сделать его основным методом входа и убрать SMS из повседневного сценария.
- Почему SMS хуже, чем Microsoft Authenticator
- Что лучше: SMS, Authenticator или другой метод
- Как перейти с SMS на Microsoft Authenticator для личного аккаунта
- Если это рабочая или учебная учетная запись
- Как правильно подтверждать вход в Authenticator
- Что делать, если SMS всё еще включен
- Как не потерять доступ при переходе на Authenticator
- Сценарии выбора: как сделать в вашей ситуации
- Личный аккаунт Outlook, OneDrive или Xbox
- Рабочий аккаунт без прав администратора
- Владелец бизнеса или администратор Microsoft 365
- Финансы, бухгалтерия, руководитель, владелец домена
- Нет смартфона или часто нет связи
- Частые ошибки при защите Microsoft-аккаунтов
- Что сделать прямо сейчас
- Если пришел подозрительный запрос
- Итог
Почему SMS хуже, чем Microsoft Authenticator
Когда Microsoft отправляет код в SMS, проверка идет через номер телефона. А номер — не всегда надежное доказательство, что вход выполняет именно владелец аккаунта. Номер могут перенести на другую SIM-карту, перехватить код на зараженном телефоне или вытащить его через фишинговый сайт.
Типичный сценарий атаки выглядит просто. Человеку приходит письмо: «Ваш аккаунт будет заблокирован». Он переходит по ссылке, вводит логин и пароль на поддельной странице. Затем Microsoft отправляет SMS-код. Жертва вводит этот код там же. Атакующий сразу передает его на настоящую страницу Microsoft и получает доступ.
С Authenticator ситуация сложнее. При входе пользователь видит запрос в приложении. В рабочих и учебных аккаунтах Microsoft часто используется number matching — сопоставление числа: на сайте показывается одно число, и подтвердить вход можно только если это же число появилось в приложении. Если человек не входил в аккаунт, он не увидит число и не должен нажимать «Подтвердить».
Но есть нюанс: Authenticator не спасает от привычки нажимать «Одобрить» не глядя. Если вы подтверждаете любые запросы, атака MFA fatigue всё равно может сработать. Поэтому приложение нужно использовать правильно.
Что лучше: SMS, Authenticator или другой метод
| Метод | Как работает | Главный риск | Когда использовать |
|---|---|---|---|
| SMS-код | Microsoft отправляет код на номер телефона. | SIM-swap, перехват SMS, фишинг кода, проблемы со связью. | Только как временный или запасной вариант, если другого метода нет. |
| Microsoft Authenticator: push с сопоставлением числа | На телефоне появляется запрос, нужно сверить число и подтвердить вход. | Пользователь может одобрить чужой запрос или телефон может быть разблокирован. | Хороший основной вариант для личных, рабочих и учебных аккаунтов Microsoft. |
| Microsoft Authenticator: код из приложения | Приложение генерирует одноразовый код без SMS и без сети. | Код можно ввести на фишинговом сайте, если пользователь сам его перенесет. | Полезно как запасной метод, особенно когда нет мобильной сети. |
| Аппаратный ключ или passkey | Вход подтверждается криптографическим ключом на устройстве или USB/NFC-ключе. | Нужно хранить ключ и иметь запасной способ доступа. | Лучший вариант для администраторов, руководителей, бухгалтерии и критичных аккаунтов. |
Если выбирать между SMS и Authenticator, я бы почти всегда выбирал Authenticator. А для администраторов и финансово значимых ролей лучше добавить аппаратный ключ или passkey как основной метод, а Authenticator оставить запасным.
Как перейти с SMS на Microsoft Authenticator для личного аккаунта
Для личной учетной записи Microsoft путь обычно такой: раздел безопасности аккаунта → дополнительные параметры безопасности → двухэтапная проверка → добавление метода входа. Названия пунктов могут немного отличаться, но логика одна: сначала добавляете приложение, проверяете его, потом отключаете или помечаете SMS как нежелательный метод.
- Установите Microsoft Authenticator из официального магазина приложений. Проверьте, что издатель — Microsoft. Не ставьте похожие приложения с сомнительными названиями.
- Добавьте учетную запись Microsoft в приложение. Обычно это делается через кнопку добавления аккаунта и сканирование QR-кода или вход в аккаунт.
- Проверьте, что уведомления приходят. Попросите Microsoft отправить тестовый запрос или войдите в аккаунт с другого устройства.
- Включите двухэтапную проверку. Пока она не включена, приложение может быть просто добавлено, но не использоваться при входе.
- Сделайте Authenticator основным способом. Если есть выбор метода, выбирайте приложение, а не SMS.
- Удалите SMS как основной метод. Если полностью удалить номер нельзя, хотя бы не используйте его для входа и добавьте другой запасной способ.
- Добавьте резервный метод доступа. Например, резервные коды, дополнительную почту или аппаратный ключ, если он у вас есть.
- Проверьте вход заново. Выйдите из аккаунта и войдите еще раз. Убедитесь, что Microsoft запрашивает подтверждение через приложение, а не отправляет SMS.
Не отключайте SMS до того, как проверили Authenticator на реальном входе. Частая ошибка — удалить номер, потом столкнуться с проблемой на новом телефоне и потерять доступ к почте или облаку.
Если это рабочая или учебная учетная запись
С рабочими аккаунтами Microsoft всё зависит от настроек организации. Иногда пользователь сам может добавить Microsoft Authenticator через страницу настройки MFA. Иногда метод разрешает или запрещает администратор.
Если вы обычный сотрудник, ваша задача проще: добавьте приложение по инструкции организации, проверьте, что запросы приходят, и никогда не подтверждайте входы, которых не инициировали. Если пришли подряд несколько уведомлений — не нажимайте «Одобрить», а сообщите в ИТ-отдел.
Если вы администрируете Microsoft 365 или Microsoft Entra ID, порядок действий такой:
- Включите Microsoft Authenticator как разрешенный метод проверки подлинности.
- Отключите SMS и голосовые вызовы для обычных пользователей. Оставлять их можно только там, где реально нет другого варианта.
- Включите сопоставление чисел для Authenticator. Это снижает риск случайного одобрения чужого входа.
- Запретите устаревшую аутентификацию. POP, IMAP и старые SMTP-клиенты часто обходят современную MFA, потому что не умеют работать с ней корректно.
- Требуйте MFA для администраторов. Для админских ролей SMS лучше не использовать вообще.
- Настройте политики входа по условиям. Например, требовать подтверждение при входе из новых стран, с неизвестных устройств или при подозрительном риске.
- Проверьте аварийные учетные записи. Даже break-glass аккаунты не стоит защищать только SMS. Лучше использовать аппаратные ключи или другой сильный метод.
Если в организации много пользователей без смартфонов, не нужно сразу отключать SMS «вслепую». Сначала найдите这些人, подготовьте альтернативы: аппаратные ключи, временные исключения, обучение или отдельные политики. Иначе вы получите не безопасность, а поток заявок на восстановление доступа.
Как правильно подтверждать вход в Authenticator
Правило простое: подтверждать можно только тот вход, который вы начали сами.
Если вы открыли Outlook, ввели пароль и на сайте появилось число 42, в приложении тоже должно быть число 42. После этого можно нажать подтверждение. Если вы ничего не вводили, а приложение показывает запрос — это красный флаг.
Не нажимайте «Одобрить», чтобы уведомление просто перестало мешать. Для атакующего это равносильно переданному коду.
Если запросы повторяются, особенно ночью или после подозрительного письма, сделайте три вещи: нажмите отказ, при наличии кнопки сообщите о подозрительной активности, затем смените пароль и проверьте недавнюю активность входа. Для рабочей учетной записи сразу подключите ИТ-отдел.
Что делать, если SMS всё еще включен
Если SMS пока остается в списке методов, это не катастрофа, но его лучше не использовать как основной способ. В настройках безопасности Microsoft часто можно выбрать предпочтительный метод входа. Поставьте Microsoft Authenticator первым.
Если есть возможность удалить номер телефона из методов проверки — удалите. Если номер нужен для восстановления или связи, оставьте его, но не позволяйте Microsoft отправлять туда коды при каждом входе. Для администраторов и владельцев домена лучше убрать SMS полностью или оставить только в исключительных случаях с отдельным контролем.
Как не потерять доступ при переходе на Authenticator
Переход на приложение должен быть спокойным. Перед тем как убрать SMS, подготовьте запасной путь:
- резервные коды восстановления;
- дополнительную электронную почту;
- аппаратный ключ безопасности;
- процедуру восстановления через ИТ-отдел для рабочих аккаунтов;
- проверенный вход с другого устройства.
При смене телефона не стирайте старый сразу. Сначала перенесите Microsoft Authenticator или заново зарегистрируйте метод входа на новом устройстве. Если старый телефон уже сброшен, а запасного метода нет, восстановление может занять время.
Сценарии выбора: как сделать в вашей ситуации
Личный аккаунт Outlook, OneDrive или Xbox
Поставьте Microsoft Authenticator, включите двухэтапную проверку, сделайте приложение основным способом входа. SMS удалите или оставьте только как временный запасной вариант. Обязательно добавьте резервную почту или резервные коды.
Рабочий аккаунт без прав администратора
Добавьте приложение по инструкции компании. Не утверждайте запросы, если не входили в аккаунт. Если SMS продолжает приходить вместо Authenticator, сообщите в поддержку — возможно, у вас не настроен предпочтительный метод или администратор не отключил SMS.
Владелец бизнеса или администратор Microsoft 365
Не держите админские аккаунты на SMS. Включите Microsoft Authenticator для пользователей, отключите SMS для обычных сценариев, запретите устаревшую аутентификацию и проверьте журналы входов. Для администраторов лучше добавить аппаратные ключи или passkey.
Финансы, бухгалтерия, руководитель, владелец домена
Для таких ролей Authenticator уже хороший шаг, но лучше использовать связку: аппаратный ключ или passkey как основной метод, Microsoft Authenticator как запасной, SMS не использовать вообще.
Нет смартфона или часто нет связи
Push-уведомления требуют интернета, но код из приложения может работать без сети. Если смартфона нет совсем, смотрите в сторону аппаратного ключа безопасности. SMS можно оставить только как временное исключение, но не как постоянную основу защиты.
Частые ошибки при защите Microsoft-аккаунтов
- Приложение установили, но двухэтапную проверку не включили. Пока метод не включен в настройках безопасности, он не защищает вход.
- Оставили SMS основным способом. Authenticator добавлен, но Microsoft всё равно отправляет коды по SMS.
- Подтверждают любой push без проверки. Это превращает MFA в формальность.
- Не проверяют число при number matching. Атакующий как раз рассчитывает, что пользователь нажмет «Одобрить» автоматически.
- Удалили SMS до проверки нового метода. В итоге можно потерять доступ к аккаунту.
- Не добавляют резервный способ восстановления. Потеря телефона становится серьезной проблемой.
- Администраторы входят через SMS. Для админских ролей это слишком слабый метод.
- Не отключают устаревшие протоколы. В Microsoft 365 старые клиенты могут стать обходным путем.
- Не проверяют активность после подозрительных запросов. Даже если атака не прошла, стоит посмотреть, не было ли других попыток.
- Оставляют бывших сотрудников в методах восстановления. Старые номера и устройства нужно удалять сразу после увольнения или смены роли.
Что сделать прямо сейчас
Минимальный рабочий план такой:
- Проверьте текущие методы входа в учетной записи Microsoft.
- Установите Microsoft Authenticator из официального источника.
- Добавьте учетную запись в приложение.
- Войдите в аккаунт и убедитесь, что подтверждение приходит в приложение.
- Включите двухэтапную проверку или MFA.
- Сделайте Authenticator основным способом входа.
- Уберите SMS из основных методов.
- Добавьте резервный способ восстановления.
- Проверьте недавнюю активность входа.
- Для рабочих аккаунтов попросите администратора отключить SMS и устаревшую аутентификацию.
Если пришел подозрительный запрос
Если Microsoft Authenticator показывает вход, который вы не начинали, действуйте быстро. Нажмите отказ. Если есть кнопка сообщения о подозрительной активности — используйте ее. Затем смените пароль, выйдите из всех сеансов, проверьте правила пересылки в Outlook, подозрительные приложения с доступом к аккаунту и журналы входов.
Для рабочей учетной записи не пытайтесь «просто подождать». Передайте событие ИТ-отделу: время запроса, устройство, если оно отображается, и сколько раз приходили уведомления. Это помогает понять, скомпрометирован пароль, есть ли фишинговая сессия или кто-то просто проверяет доступность аккаунта.
Итог
Для защиты учетных записей Microsoft переход с SMS на Microsoft Authenticator — один из самых практичных шагов. SMS можно оставить только как временную запасную опцию, но не как основной метод. Лучше всего сделать так: установить Authenticator, включить двухэтапную проверку, настроить подтверждение входа через приложение, убрать SMS из повседневного использования и добавить надежный резервный способ восстановления.
Если вы обычный пользователь, начните с личного аккаунта и проверьте, что вход теперь подтверждается через приложение. Если вы администратор, не ограничивайтесь включением Authenticator: отключите SMS для массовых сценариев, запретите устаревшую аутентификацию и отдельно защитите админские роли. Для самых важных аккаунтов добавьте аппаратный ключ или passkey — это уже следующий уровень защиты после Authenticator.