Меню 1 (mobile)
Меню 4 доки (mobile)
Корпоративные системы все еще не готовы к беспарольной модели — исследование Avanpost
30.06.2025
30 июня 2025 г., Москва. — Несмотря на то, что, согласно исследованию ‘'Лаборатории Касперского'', более трети россиян готовы отказаться от паролей в пользу альтернативных способов авторизации, корпоративная инфраструктура не готова стать беспарольной.
Эксперты Avanpost (российский вендор в области безопасности идентификационных данных) разобрали, почему корпоративная действительность именно такова.
Исследование показывает реальную практику готовности бизнеса к современным подходам в аутентификации в 2025 году.
В рамках исследования были рассмотрены самые востребованные классы решений корпоративной инфраструктуры: VPN, VDI, Wi-Fi и сеть; корпоративные коммуникации (почта, ВКС); ERP/ЭДО; Service Desk; АРМы и серверы; а также средства разработки (например, GitLab).
В каждом из направлений оценивалась доля использования пяти различных методов аутентификации: «обычные» пароли, доменная аутентификация, RADIUS, SAML и OpenID Connect.
Основные факты
В исследовании пойдёт речь о корпоративной аутентификации. Пользовательская аутентификация в различных онлайн-сервисах находится за рамками предмета текущего материала.
В современных корпоративных системах по-прежнему широко используется классическая схема аутентификации на основе паролей и LDAP, несмотря на активные дискуссии и множественные публикации о переходе к «паролю без пароля», и более современным методам аутентификации. Основная причина сохраняющейся популярности объективно устаревших механизмов аутентификации в корпоративном сегменте заключается в том, что заказчиками зачастую не предъявляются требования по поддержке коробочными корпоративными решениями современных механизмов аутентификации вроде OpenID Connect. Это связано как с отсутствием централизованных современных Identity Provider в корпоративных инфраструктурах, так и с длительным жизненным циклом (порядка 5−10 лет) ранее внедрённых систем. Также множество широко распространённых продуктов и платформ изначально проектировались и развивались с учётом архитектуры, заложенной десятки лет назад. Подобная инерция в области аутентификации оказывает существенное влияние на защищённость реальных инфраструктур и сегодня.
Традиционные «обычные» пароли, несмотря на то, что passwordless-борьбу с ними подняли на флаг технологические гиганты Google, Apple и Microsoft, — по-прежнему остаются самым распространенным методом аутентификации в корпоративных системах. Во всех проанализированных категориях их использование составляет значение, приближенное к 100%, что свидетельствует о глубокой укорененности этого подхода в корпоративной практике. Это также указывает на то, что, несмотря на наличие современных решений, многие организации не готовы выводить из эксплуатации системы, не отвечающие актуальным требованиям информационной безопасности.
Доменная LDAP-аутентификация занимает почётное второе место по распространённости в корпоративных приложениях даже несмотря на то, что LDAP-аутентификация — это общепризнанный антипаттерн. Особенно широко она используется в инфраструктурном сегменте (АРМы и серверы), а также в корпоративных решениях для VPN, VDI и Wi-Fi-средах, где доля ее применения достигает 90−100%. Это объясняется высокой совместимостью с внутренними сетями и политиками безопасности Microsoft Active Directory и прочими решениями из экосистемы компании Microsoft.
SAML (Security Assertion Markup Language) показывает умеренное распространение в системах ERP и службах поддержки — до 50−60%. Этот протокол особенно актуален в SaaS/PaaS-решениях, интегрируемых с корпоративными провайдерами удостоверений, размещёнными во внутренней инфраструктуре, преимущественно за счёт возможности взаимодействия через пользователей. При этом эпизодически он встречается в различных решениях других классов. Особенно удивляет сохраняющаяся тенденция реализовывать поддержку SAML в новых продуктах вместо поддержки более современного протокола OpenID Connect.
OpenID Connect демонстрирует наибольшее проникновение в средствах разработки — до 60%, тогда как в остальных категориях его доля составляет менее 30%. Это говорит о том, что вендора инструментов и решений для разработки, Cloud-инфраструктур, средств автоматизации чаще ориентированы на современные стандарты аутентификации. При этом проникновение OpenID Connect в остальные классы корпоративных решений сохраняется на достаточно низком уровне.
Выводы
Корпоративные IT-инфраструктуры по-прежнему находятся в стадии трансформации в вопросах аутентификации. Несмотря на широкое распространение встроенной парольной аутентификации и LDAP-аутентификации, заметен рост интереса заказчиков к современным IdP-протоколам — OpenID Connect и SAML. Уровень готовности же большинства коробочных продуктов к использованию современных протоколов аутентификации к сожалению оставляет желать лучшего.
RADIUS продолжают играть важную роль в интеграции с внутренними системами по причине высокой совместимости с ранее закупленным сетевым оборудованием.
Таким образом, хотя подавляющее большинство корпоративного ПО сегодня продолжает полагаться на традиционные схемы с паролями и LDAP, и лишь незначительная часть приложений (примерно 5−10%) из коробки поддерживает OpenID Connect, грамотная стратегия миграции позволит организациям постепенно повысить уровень безопасности и удобства для пользователей, не создавая чрезмерных рисков и затрат. Ключевым является системный взгляд на экосистему приложений, грамотное формулирование требований к вендорам и продуктам, поэтапное внедрение современных протоколов. Фокус на централизованной платформе IAM и в целом на Identity-центричном подходе к аутентификации и развитие культуры безопасности поможет сделать переход последовательным и контролируемым, не остановив, при этом, текущие бизнес-процессы.
Эксперты Avanpost (российский вендор в области безопасности идентификационных данных) разобрали, почему корпоративная действительность именно такова.
Исследование показывает реальную практику готовности бизнеса к современным подходам в аутентификации в 2025 году.
В рамках исследования были рассмотрены самые востребованные классы решений корпоративной инфраструктуры: VPN, VDI, Wi-Fi и сеть; корпоративные коммуникации (почта, ВКС); ERP/ЭДО; Service Desk; АРМы и серверы; а также средства разработки (например, GitLab).
В каждом из направлений оценивалась доля использования пяти различных методов аутентификации: «обычные» пароли, доменная аутентификация, RADIUS, SAML и OpenID Connect.
Основные факты
В исследовании пойдёт речь о корпоративной аутентификации. Пользовательская аутентификация в различных онлайн-сервисах находится за рамками предмета текущего материала.
В современных корпоративных системах по-прежнему широко используется классическая схема аутентификации на основе паролей и LDAP, несмотря на активные дискуссии и множественные публикации о переходе к «паролю без пароля», и более современным методам аутентификации. Основная причина сохраняющейся популярности объективно устаревших механизмов аутентификации в корпоративном сегменте заключается в том, что заказчиками зачастую не предъявляются требования по поддержке коробочными корпоративными решениями современных механизмов аутентификации вроде OpenID Connect. Это связано как с отсутствием централизованных современных Identity Provider в корпоративных инфраструктурах, так и с длительным жизненным циклом (порядка 5−10 лет) ранее внедрённых систем. Также множество широко распространённых продуктов и платформ изначально проектировались и развивались с учётом архитектуры, заложенной десятки лет назад. Подобная инерция в области аутентификации оказывает существенное влияние на защищённость реальных инфраструктур и сегодня.
Традиционные «обычные» пароли, несмотря на то, что passwordless-борьбу с ними подняли на флаг технологические гиганты Google, Apple и Microsoft, — по-прежнему остаются самым распространенным методом аутентификации в корпоративных системах. Во всех проанализированных категориях их использование составляет значение, приближенное к 100%, что свидетельствует о глубокой укорененности этого подхода в корпоративной практике. Это также указывает на то, что, несмотря на наличие современных решений, многие организации не готовы выводить из эксплуатации системы, не отвечающие актуальным требованиям информационной безопасности.
Доменная LDAP-аутентификация занимает почётное второе место по распространённости в корпоративных приложениях даже несмотря на то, что LDAP-аутентификация — это общепризнанный антипаттерн. Особенно широко она используется в инфраструктурном сегменте (АРМы и серверы), а также в корпоративных решениях для VPN, VDI и Wi-Fi-средах, где доля ее применения достигает 90−100%. Это объясняется высокой совместимостью с внутренними сетями и политиками безопасности Microsoft Active Directory и прочими решениями из экосистемы компании Microsoft.
SAML (Security Assertion Markup Language) показывает умеренное распространение в системах ERP и службах поддержки — до 50−60%. Этот протокол особенно актуален в SaaS/PaaS-решениях, интегрируемых с корпоративными провайдерами удостоверений, размещёнными во внутренней инфраструктуре, преимущественно за счёт возможности взаимодействия через пользователей. При этом эпизодически он встречается в различных решениях других классов. Особенно удивляет сохраняющаяся тенденция реализовывать поддержку SAML в новых продуктах вместо поддержки более современного протокола OpenID Connect.
OpenID Connect демонстрирует наибольшее проникновение в средствах разработки — до 60%, тогда как в остальных категориях его доля составляет менее 30%. Это говорит о том, что вендора инструментов и решений для разработки, Cloud-инфраструктур, средств автоматизации чаще ориентированы на современные стандарты аутентификации. При этом проникновение OpenID Connect в остальные классы корпоративных решений сохраняется на достаточно низком уровне.
Выводы
Корпоративные IT-инфраструктуры по-прежнему находятся в стадии трансформации в вопросах аутентификации. Несмотря на широкое распространение встроенной парольной аутентификации и LDAP-аутентификации, заметен рост интереса заказчиков к современным IdP-протоколам — OpenID Connect и SAML. Уровень готовности же большинства коробочных продуктов к использованию современных протоколов аутентификации к сожалению оставляет желать лучшего.
RADIUS продолжают играть важную роль в интеграции с внутренними системами по причине высокой совместимости с ранее закупленным сетевым оборудованием.
Таким образом, хотя подавляющее большинство корпоративного ПО сегодня продолжает полагаться на традиционные схемы с паролями и LDAP, и лишь незначительная часть приложений (примерно 5−10%) из коробки поддерживает OpenID Connect, грамотная стратегия миграции позволит организациям постепенно повысить уровень безопасности и удобства для пользователей, не создавая чрезмерных рисков и затрат. Ключевым является системный взгляд на экосистему приложений, грамотное формулирование требований к вендорам и продуктам, поэтапное внедрение современных протоколов. Фокус на централизованной платформе IAM и в целом на Identity-центричном подходе к аутентификации и развитие культуры безопасности поможет сделать переход последовательным и контролируемым, не остановив, при этом, текущие бизнес-процессы.
О компании AVANPOST:
Avanpost — российский вендор-новатор в области безопасности идентификационных данных, развивает свою экспертизу с 2007 г. Avanpost предлагает как комплексное решение безопасности Identity Security Platform для защиты цифровых идентичностей пользователей, устройств и приложений от различных угроз для крупных предприятий и нагруженных инфраструктур, так и более легкие стандартизированные продукты для среднего бизнеса:
Архитектура продуктов предполагает использование в отказоустойчивых, геораспределенных, высоконагруженных инфраструктурах.
Avanpost придерживается идеологии максимальной открытости. Технологически совместимы с отечественным ПО, интегрируем и объединяем программные компоненты различных вендоров.
Avanpost — российский вендор-новатор в области безопасности идентификационных данных, развивает свою экспертизу с 2007 г. Avanpost предлагает как комплексное решение безопасности Identity Security Platform для защиты цифровых идентичностей пользователей, устройств и приложений от различных угроз для крупных предприятий и нагруженных инфраструктур, так и более легкие стандартизированные продукты для среднего бизнеса:
- Avanpost IDM/IGA — система управления учетными записями и доступом к корпоративным ресурсам предприятия;
- Avanpost SmartPAM для контроля привилегированного доступа;
- Avanpost DS — российская служба каталогов, предназначенная для управления Linux-инфраструктурами и замены MS AD, каталог для промышленных нагрузок, протестированный на 30 млн объектах);
- Avanpost CA (российский доменный сервис сертификации; универсален для различных доменов, включая MS),
- Avanpost PKI (управление жизненным циклом объектов инфраструктуры открытых ключей из единого центра),
- Продукты линейки аутентификации Avanpost Access: FAM, MFA+, USSO, WSSO, Device Control.
Архитектура продуктов предполагает использование в отказоустойчивых, геораспределенных, высоконагруженных инфраструктурах.
Avanpost придерживается идеологии максимальной открытости. Технологически совместимы с отечественным ПО, интегрируем и объединяем программные компоненты различных вендоров.
Другие новости
Получайте свежие новости первыми!
129085, г. Москва ул. Годовикова, д. 9, стр. 17
Форма
для вопросов
для вопросов
Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности.
Все права защищены, © Avanpost 2025
Контакты
Сообщение об успешной отправке!