Многие CISO крупных предприятий уже более десяти лет пытаются отказаться от паролей. Однако, поскольку различные устаревшие системы рассчитаны исключительно на пароли, они постоянно сталкиваются с техническими трудностями. Это также отражено в актуальном “ID IQ Report 2026” от RSA (загрузка в обмен на данные), для которого поставщик решений безопасности опросил 2000 экспертов по безопасности по всему миру. Согласно отчету, 90 процентов респондентов испытывают проблемы с внедрением решений, не требующих пароля.

“Большинство организаций не используют решения, не требующие пароля, в качестве основного метода аутентификации. Это отличная новость для киберпреступников, поскольку украденные учетные данные из года в год являются наиболее частой причиной утечек данных”, – комментируют авторы исследования.

Проблемы решений, не требующих пароля

Преступные хакеры также рады, когда различные операционные системы и специальные требования доступа приводят к тому, что организациям приходится развертывать несколько решений, не требующих пароля. Ведь “между” этими решениями могут возникать новые уязвимости. Аналитики и практики в области безопасности считают, что большинство компаний могут охватить от 75 до 85 процентов своего ландшафта угроз с помощью существующих сегодня вариантов решений, не требующих пароля.

“Будет сложно достичь 100-процентного охвата. Особенно в OT-средах со встроенными системами и промышленными системами управления. Особенно сложной будет ситуация с IoT, Embedded Linux – и всем, что связано с производством”, – отмечает Уилл Таунсенд, главный аналитик Moor Insights & Strategy.

Кроме того, возникает вопрос, как выглядит резервное решение, если механизм, не требующий пароля, выходит из строя. Если при этом используются пароли, то это контрпродуктивно, как отмечает Аарон Пейнтер, генеральный директор специалиста по идентификации Nametag: “Если в процессах регистрации и восстановления ключей доступа таятся пароли, возникает рискованное слепое пятно. Откуда вы знаете, кто на самом деле регистрирует или сбрасывает ключ доступа?”

Используя как пароль, так и ключ доступа, компании лишь увеличивают свою поверхность атаки, констатирует специалист по безопасности. Он добавляет: “Реальный переход на решения, не требующие пароля, требует сквозной устойчивости к фишингу процессов регистрации и восстановления.”

Согласно цитированному в начале исследованию RSA, сложность корпоративных сред является потенциально самым большим препятствием для внедрения решений, не требующих пароля: “Поскольку большинство компаний работают в гибридных средах и должны поддерживать различных пользователей и варианты использования, требуется множество форм-факторов, чтобы обеспечить каждому пользователю аутентификацию без пароля”, – пишут авторы исследования. Опрошенные лица, принимающие решения в области безопасности, видят три основные проблемы при переходе на решения для аутентификации без пароля:

• Проблемы безопасности (57 процентов),
• Опасения по поводу пользовательского опыта (56 процентов), а также
• Полное отсутствие поддержки платформы (включая устаревшие приложения и системы сторонних производителей).

Решения, не требующие пароля

Как это часто бывает, при внедрении решений, не требующих пароля, все зависит от правильной стратегии (стратегий). Олег Науменко, генеральный директор поставщика решений идентификации Hideez, рекомендует CISO при переходе на аутентификацию без пароля обращать внимание на порядок действий. По словам эксперта, многие компании начинают с внедрения доступа без пароля к облачным сервисам, потому что это проще. Более сложные и рискованные системы, напротив, по-прежнему зависят от паролей. “Я обычно рекомендую изменить этот порядок. Компания, которая начинает с защиты привилегированных пользователей и критически важных систем, может значительно снизить риск.”

Привилегированные пользователи, такие как администраторы, имеют самый широкий доступ, продолжает Науменко. Если вход в систему без пароля работает для них, его гораздо проще распространить на остальную часть компании. “Если развертывание начинается с самых простых интеграций только для того, чтобы охватить больше пользователей, улучшение будет лишь поверхностным”, – отмечает менеджер. Большинство облачных приложений можно легко интегрировать через SAML или OIDC, в то время как устаревшие или пользовательские системы требуют другого подхода: “Первый вариант – ограничить доступ через VPN-решение, защищенное SSO без пароля. Более продвинутый вариант – использовать службу обратного прокси, которая обеспечивает прямой доступ без пароля”, – рекомендует Науменко.

Что касается устаревших систем, то у Ора Финкельштейна, руководителя отдела маркетинга поставщика решений безопасности Secret Double Octopus, также есть совет для CISO и лиц, принимающих решения в области безопасности. Он наблюдал это у своих клиентов: “Техника заключается в том, чтобы взять на себя управление устаревшим полем пароля и заменить пароль, выбранный пользователем, сгенерированным машиной временным токеном, который меняется при каждой аутентификации. Технически это все еще пароль, но ни один человек никогда не увидит и не использует его – он также не имеет уязвимостей обычного пароля и не может быть перехвачен с помощью фишинга.”

Эрик Авакян, технический консультант Info-Tech Research Group, сравнивает ситуацию с решениями, не требующими пароля, с той, в которой CISO уже оказывались в отношении многофакторной аутентификации (MFA): “MFA предлагает ряд вариантов механизмов аутентификации. Некоторые из них надежны, другие слабы. Компании, которые не обращают на это внимания, ставят под угрозу свою собственную безопасность. Стоит извлечь уроки из MFA и не ставить удобство выше защиты”, – говорит аналитик. По его мнению, переход к аутентификации без пароля во многом схож с переходом на модель Zero Trust: “В обоих случаях это многолетний, многоэтапный процесс.” (fm)

Хотите читать больше интересных статей об ИТ-безопасности? Наша бесплатная рассылка доставит вам все, что должны знать лица, принимающие решения в области безопасности, и эксперты, прямо в ваш почтовый ящик.