Ошибки аутентификации

"Invalid credentials," отклонённые коды MFA или внезапные сбои входа после смены пароля? Пройдите эти шаги по порядку — clock drift (шаг 2) — самая частая скрытая причина.

Advertisement · 728×90
🔑

Ошибки аутентификации

Ошибки входа, проблемы с MFA и ошибки credentials в VPN, приложениях или network shares

⚠ Типичные симптомы

  • "Authentication failed," "Invalid credentials," или "Access denied" при входе
  • Коды MFA генерируются правильно, но всё равно отклоняются
  • Работает на одном устройстве, но не на другом с теми же credentials
  • Внезапно перестаёт работать после смены пароля или обновления политики
  • 1

    Проверьте свои credentials на заведомо рабочей платформе

    Прежде чем менять настройки, войдите в аккаунт через браузер, а не через приложение.

    Личный аккаунт (Google, Microsoft, банк и т.д.): используйте страницу входа провайдера → при необходимости flow восстановления пароля.

    Рабочий аккаунт: вместо этого войдите через корпоративный веб-портал/вебмейл → если не сработает, для личного аккаунта используйте self-service сброс пароля у провайдера, для рабочего — обратитесь в IT.

  • 2

    Синхронизируйте системные часы — clock skew вызывает ошибки auth

    Kerberos и MFA на основе TOTP требуют, чтобы системное время было точным в пределах 5 минут от сервера — drift даже в 6 минут отклоняет valid credentials. На Windows откройте elevated Command Prompt → выполните:

    w32tm /resync /force

    On Mac: System Settings → General → Date & Time → enable "Set automatically."

  • 3

    Перерегистрируйте приложение-аутентификатор MFA

    Коды MFA отклоняются, хотя выглядят верными = у приложения-аутентификатора сбились часы. Google Authenticator: Settings → Time Correction for Codes → Sync Now. Microsoft Authenticator: синхронизируется автоматически, но переустановка + повторное добавление аккаунта — самый надёжный способ.

  • 4

    Очистите сохранённые (cached) credentials в Windows Credential Manager

    Устаревшие cached credentials перебивают то, что вы вводите при входе. Откройте Control Panel → Credential Manager → Windows Credentials → удалите записи для системы, к которой пытаетесь получить доступ (ищите по имени сервера/приложения) → попробуйте авторизоваться снова.

  • 5

    Проверьте проблемы с certificate или TLS

    Некоторые ошибки auth на самом деле — ошибки TLS handshake, которые ошибочно показываются как ошибка credentials — проверьте детали ошибки в приложении на предмет предупреждений об истёкшем/недоверенном certificate.

    Рабочее устройство: часто это истёкший root certificate на SSL inspection proxy вашей компании → IT должен его обновить.

    Личное устройство: часто требуется обновление Windows или антивируса, либо антивирус сам выполняет SSL-сканирование → обновите оба, либо временно отключите HTTPS-сканирование в антивирусе.

  • 1

    Проверьте свои credentials на заведомо рабочей платформе

    Откройте Safari → войдите напрямую через браузер, а не через приложение.

    Личный аккаунт (Google, Microsoft, банк и т.д.): используйте страницу входа провайдера → при необходимости flow восстановления пароля.

    Рабочий аккаунт: вместо этого войдите через корпоративный веб-портал/вебмейл → если не сработает, используйте self-service сброс пароля у провайдера (для личного) или self-service инструмент компании/IT (для рабочего) — прежде чем вносить какие-либо изменения локально.

  • 2

    Синхронизируйте системные часы — clock drift вызывает ошибки auth

    Kerberos и MFA на основе TOTP требуют, чтобы часы вашего Mac были точны в пределах 5 минут от времени сервера. Включите System Settings → General → Date & Time → Set time and date automatically → для немедленной ресинхронизации откройте Terminal и выполните:

    sudo sntp -sS time.apple.com
  • 3

    Перерегистрируйте приложение-аутентификатор MFA

    Коды MFA отклоняются, хотя выглядят верными = у приложения-аутентификатора сбились часы. Google Authenticator: Settings → Time Correction for Codes → Sync Now.

    Microsoft Authenticator: синхронизируется автоматически, но переустановка + повторное добавление рабочего аккаунта через портал регистрации MFA вашей компании — самый надёжный способ при постоянных отклонениях.

  • 4

    Удалите устаревшие credentials из macOS Keychain

    macOS хранит сохранённые пароли/токены в Keychain — старые записи с момента до смены пароля незаметно перебивают то, что вы вводите при входе.

    Откройте Keychain Access (Spotlight → Keychain Access) → найдите hostname сервера/имя приложения/домен компании → удалите записи старше вашей последней смены пароля или те, что выглядят дублирующимися → попробуйте авторизоваться снова. macOS запросит новые credentials.

  • 5

    Проверьте ошибки certificate или TLS

    Некоторые ошибки auth на самом деле — ошибки TLS handshake, которые показываются как "неверный пароль". В Safari нажмите Show Details на любом предупреждении о certificate → проверьте issuer и дату истечения.

    Рабочий Mac: часто это SSL inspection proxy вашей компании с истёкшим root certificate → IT должен его обновить.

    Личный Mac: часто самому macOS требуется обновление, либо стороннее защитное ПО само выполняет SSL-сканирование. Также проверьте в Keychain Access → keychain SystemCertificates на предмет истёкших/недоверенных сертификатов.

  • 1

    Проверьте credentials на заведомо рабочей платформе

    # Test login via curl (e.g. check web portal response)
    curl -v -u username:password https://your-company-portal.com

    # Test Kerberos ticket (if using Active Directory)
    kinit username@DOMAIN.COM
    klist
  • 2

    Синхронизируйте системные часы

    # Check current time and NTP sync status
    timedatectl status

    # Enable automatic NTP sync
    sudo timedatectl set-ntp true

    # Force immediate sync
    sudo systemctl restart systemd-timesyncd
    timedatectl show-timesync --all

    Kerberos (в корпоративных средах Active Directory) требует точности часов в пределах 5 минут от сервера.

  • 3

    Ресинхронизируйте приложение-аутентификатор MFA

    Google Authenticator: откройте приложение → меню с тремя точками → Time correction for codes → Sync now. Microsoft Authenticator: если коды отклоняются, хотя выглядят верными, переустановка + повторное добавление аккаунта — самый надёжный способ.

  • 4

    Очистите сохранённые credentials из keyring

    # List and delete stale credentials (GNOME Keyring)
    sudo apt install seahorse -y
    seahorse

    # Or clear Kerberos ticket cache
    kdestroy

    # Clear NTLM/SMB cached credentials
    rm -rf ~/.local/share/keyrings/*.keyring

    В Seahorse (Passwords and Keys): Passwords → Login → удалите записи для системы, к которой не удаётся авторизоваться.

  • 5

    Проверьте проблемы с certificate или TLS

    # Test SSL/TLS handshake and certificate chain
    openssl s_client -connect your-server.com:443 -showcerts

    # Update CA certificates if corp root CA is expired
    sudo update-ca-certificates

    # Add a corporate root CA to the trusted store
    sudo cp corp-root-ca.crt /usr/local/share/ca-certificates/
    sudo update-ca-certificates
💡

Quick check: If the same credentials work fine on your phone but fail on your laptop, the issue is almost always clock drift or cached credentials on the laptop specifically — start with steps 2 and 4.

Advertisement · 728×90

Related Questions

Quick answers for this issue

First verify your password is correct by logging into your company portal directly. If your account uses MFA, make sure your authenticator app's time is synced. Authentication errors are also caused by clock skew — enable "Set time automatically" in your date/time settings. If you're specifically having VPN trouble, see our VPN guide as well.
Three common non-obvious causes: (1) Your system clock is off by more than 5 minutes, which causes Kerberos and TOTP-based MFA to reject valid credentials. (2) Your device has stale cached credentials stored in Windows Credential Manager that override what you type. (3) A TLS/SSL certificate mismatch between your PC and the authentication server is being reported as a login failure. Check all three before resetting your password.
This points to step 5 — a TLS/certificate issue rather than your credentials being wrong. It's common on corporate networks that use an SSL inspection proxy; if that proxy's certificate has expired or isn't trusted by your device, every HTTPS login can fail with a misleading "authentication" error. This also overlaps with our Website Blocked guide, which covers certificate warnings before block pages.
🧑‍💻

Всё ещё не можете войти? Технический специалист может проверить то, к чему у вас нет доступа.

Для диагностики Group Policy, certificate stores и логов identity provider часто нужен admin-доступ уровня IT. Свяжитесь с проверенным техническим специалистом для удалённой поддержки.

Поговорить с техническим специалистом

Authentication trouble often overlaps with these.

Advertisement · 728×90