Большинство компаний продолжают использовать пароли для критичных доступов
3 мин
110
Защита паролями используется 73% привилегированных учётных записей и только для 27% применяются сертификаты с более надёжной криптографической защитой. Такие результаты получили эксперты компании BI.ZONE, проанализировав практику управления привилегированным доступом в крупном бизнесе. Несмотря на развитие концепции zero trust в России, парольная аутентификация сохраняет ведущую роль.
Пароль остаётся уязвимым механизмом защиты. Его можно подобрать, получить через фишинг или украсть при утечке данных. Сотрудники также часто используют одинаковые пароли в разных системах. В результате компрометация одного сервиса может дать доступ к другим корпоративным ресурсам.
В 19% корпоративных аккаунтов используются пароли, установленные более года назад, а в 2% — более 10 лет. В среднем для 22% учётных записей применяется атрибут PasswordNeverExpires, при котором пароль не истекает, а у 19% учётных записей пароли совпадают с паролями других пользователей внутри компании. В одной из организаций этот показатель достигал 43%. Такая ситуация часто связана с тем, что сотрудники не меняют стандартные пароли, выданные при трудоустройстве.
Дополнительный риск создаёт структура доступа к информационным системам. В среднем 6% учётных записей имеют доступ к 10 тысячам корпоративных систем, а 2% — к десяткам тысяч сетевых ресурсов. При этом 4–5% пользователей одновременно обладают расширенными привилегиями и используют парольную аутентификацию. Компрометация такой учётной записи может привести к быстрому распространению атаки внутри инфраструктуры.
Эксперты отметили, что даже одна скомпрометированная привилегированная учётная запись может стать точкой входа сразу в несколько критически важных систем. Они указали, что при использовании парольной аутентификации и избыточных прав доступа масштаб потенциальной атаки существенно возрастает.
На этом фоне компании постепенно отказываются от статических учётных данных и переходят к сертификатной аутентификации и динамическому управлению доступом. В перспективе трёх лет это может привести к модели беспарольного привилегированного доступа без постоянных привилегий. По прогнозам CA/Browser Forum, к 2029 году максимальный срок действия SSL/TLS-сертификатов сократится до 47 дней. Аналитики ожидают, что этот подход будет распространяться и в России.
