Ошибки аутентификации
Ошибки входа, проблемы с MFA и ошибки credentials в VPN, приложениях или network shares
⚠ Типичные симптомы
- "Authentication failed," "Invalid credentials," или "Access denied" при входе
- Коды MFA генерируются правильно, но всё равно отклоняются
- Работает на одном устройстве, но не на другом с теми же credentials
- Внезапно перестаёт работать после смены пароля или обновления политики
-
1
Проверьте свои credentials на заведомо рабочей платформе
Прежде чем менять настройки, войдите в аккаунт через браузер, а не через приложение.
Личный аккаунт (Google, Microsoft, банк и т.д.): используйте страницу входа провайдера → при необходимости flow восстановления пароля.
Рабочий аккаунт: вместо этого войдите через корпоративный веб-портал/вебмейл → если не сработает, для личного аккаунта используйте self-service сброс пароля у провайдера, для рабочего — обратитесь в IT. -
2
Синхронизируйте системные часы — clock skew вызывает ошибки auth
Kerberos и MFA на основе TOTP требуют, чтобы системное время было точным в пределах 5 минут от сервера — drift даже в 6 минут отклоняет valid credentials. На Windows откройте elevated Command Prompt → выполните:
w32tm /resync /forceOn Mac: System Settings → General → Date & Time → enable "Set automatically."
-
3
Перерегистрируйте приложение-аутентификатор MFA
Коды MFA отклоняются, хотя выглядят верными = у приложения-аутентификатора сбились часы. Google Authenticator: Settings → Time Correction for Codes → Sync Now. Microsoft Authenticator: синхронизируется автоматически, но переустановка + повторное добавление аккаунта — самый надёжный способ.
-
4
Очистите сохранённые (cached) credentials в Windows Credential Manager
Устаревшие cached credentials перебивают то, что вы вводите при входе. Откройте Control Panel → Credential Manager → Windows Credentials → удалите записи для системы, к которой пытаетесь получить доступ (ищите по имени сервера/приложения) → попробуйте авторизоваться снова.
-
5
Проверьте проблемы с certificate или TLS
Некоторые ошибки auth на самом деле — ошибки TLS handshake, которые ошибочно показываются как ошибка credentials — проверьте детали ошибки в приложении на предмет предупреждений об истёкшем/недоверенном certificate.
Рабочее устройство: часто это истёкший root certificate на SSL inspection proxy вашей компании → IT должен его обновить.
Личное устройство: часто требуется обновление Windows или антивируса, либо антивирус сам выполняет SSL-сканирование → обновите оба, либо временно отключите HTTPS-сканирование в антивирусе.
-
1
Проверьте свои credentials на заведомо рабочей платформе
Откройте Safari → войдите напрямую через браузер, а не через приложение.
Личный аккаунт (Google, Microsoft, банк и т.д.): используйте страницу входа провайдера → при необходимости flow восстановления пароля.
Рабочий аккаунт: вместо этого войдите через корпоративный веб-портал/вебмейл → если не сработает, используйте self-service сброс пароля у провайдера (для личного) или self-service инструмент компании/IT (для рабочего) — прежде чем вносить какие-либо изменения локально. -
2
Синхронизируйте системные часы — clock drift вызывает ошибки auth
Kerberos и MFA на основе TOTP требуют, чтобы часы вашего Mac были точны в пределах 5 минут от времени сервера. Включите System Settings → General → Date & Time → Set time and date automatically → для немедленной ресинхронизации откройте Terminal и выполните:
sudo sntp -sS time.apple.com -
3
Перерегистрируйте приложение-аутентификатор MFA
Коды MFA отклоняются, хотя выглядят верными = у приложения-аутентификатора сбились часы. Google Authenticator: Settings → Time Correction for Codes → Sync Now.
Microsoft Authenticator: синхронизируется автоматически, но переустановка + повторное добавление рабочего аккаунта через портал регистрации MFA вашей компании — самый надёжный способ при постоянных отклонениях. -
4
Удалите устаревшие credentials из macOS Keychain
macOS хранит сохранённые пароли/токены в Keychain — старые записи с момента до смены пароля незаметно перебивают то, что вы вводите при входе.
Откройте Keychain Access (Spotlight → Keychain Access) → найдите hostname сервера/имя приложения/домен компании → удалите записи старше вашей последней смены пароля или те, что выглядят дублирующимися → попробуйте авторизоваться снова. macOS запросит новые credentials. -
5
Проверьте ошибки certificate или TLS
Некоторые ошибки auth на самом деле — ошибки TLS handshake, которые показываются как "неверный пароль". В Safari нажмите Show Details на любом предупреждении о certificate → проверьте issuer и дату истечения.
Рабочий Mac: часто это SSL inspection proxy вашей компании с истёкшим root certificate → IT должен его обновить.
Личный Mac: часто самому macOS требуется обновление, либо стороннее защитное ПО само выполняет SSL-сканирование. Также проверьте в Keychain Access → keychain System → Certificates на предмет истёкших/недоверенных сертификатов.
-
1
Проверьте credentials на заведомо рабочей платформе
# Test login via curl (e.g. check web portal response)
curl -v -u username:password https://your-company-portal.com
# Test Kerberos ticket (if using Active Directory)
kinit username@DOMAIN.COM
klist -
2
Синхронизируйте системные часы
# Check current time and NTP sync status
timedatectl status
# Enable automatic NTP sync
sudo timedatectl set-ntp true
# Force immediate sync
sudo systemctl restart systemd-timesyncd
timedatectl show-timesync --allKerberos (в корпоративных средах Active Directory) требует точности часов в пределах 5 минут от сервера.
-
3
Ресинхронизируйте приложение-аутентификатор MFA
Google Authenticator: откройте приложение → меню с тремя точками → Time correction for codes → Sync now. Microsoft Authenticator: если коды отклоняются, хотя выглядят верными, переустановка + повторное добавление аккаунта — самый надёжный способ.
-
4
Очистите сохранённые credentials из keyring
# List and delete stale credentials (GNOME Keyring)
sudo apt install seahorse -y
seahorse
# Or clear Kerberos ticket cache
kdestroy
# Clear NTLM/SMB cached credentials
rm -rf ~/.local/share/keyrings/*.keyringВ Seahorse (Passwords and Keys): Passwords → Login → удалите записи для системы, к которой не удаётся авторизоваться.
-
5
Проверьте проблемы с certificate или TLS
# Test SSL/TLS handshake and certificate chain
openssl s_client -connect your-server.com:443 -showcerts
# Update CA certificates if corp root CA is expired
sudo update-ca-certificates
# Add a corporate root CA to the trusted store
sudo cp corp-root-ca.crt /usr/local/share/ca-certificates/
sudo update-ca-certificates
Quick check: If the same credentials work fine on your phone but fail on your laptop, the issue is almost always clock drift or cached credentials on the laptop specifically — start with steps 2 and 4.