Согласно исследованию «Лаборатории Касперского», более трети россиян готовы вместо пароля использовать альтернативные способы авторизации. В корпоративном сегменте такой готовности пока не наблюдается, о чём свидетельствуют результаты исследования Avanpost.
В рамках исследования специалисты Avanpost рассмотрели самые востребованные классы решений корпоративной инфраструктуры: VPN, VDI, Wi-Fi и сеть; корпоративные коммуникации (почта, ВКС); ERP/ЭДО; Service Desk; АРМы и серверы, а также средства разработки (например, GitLab). По каждому из них оценивалась доля использования пяти методов аутентификации: «обычные» пароли, доменная аутентификация, RADIUS, SAML и OpenID Connect.
В исследовании отмечено, что в современных корпоративных системах по-прежнему широко используется аутентификация на основе паролей и LDAP. Основная причина заключается в том, что заказчиками зачастую не предъявляются требования по поддержке коробочными корпоративными решениями современных механизмов аутентификации, говорит компания.
Это связано с отсутствием в корпоративных инфраструктурах централизованных современных сервисов Identity Provider (IDP), а также с длительным жизненным циклом (5–10 лет) ранее внедрённых систем. К тому же множество широко распространённых продуктов и платформ проектировались и развивались с учётом архитектуры, заложенной десятки лет назад.
Источник изображения: Bruno Brito / Unsplash
В корпоративных системах по-прежнему остаются самым распространённым методом аутентификации традиционные «обычные» пароли, несмотря на агитацию Google, Apple и Microsoft за отказ от них. Во всех проанализированных в исследовании категориях их использование близко к 100 %, несмотря на наличие современных решений. На втором место по распространённости в корпоративном сегменте находится доменная LDAP-аутентификация, хотя это общепризнанный антипаттерн, говорит компания. Особенно широко она используется в инфраструктурном сегменте (АРМы и серверы), а также в корпоративных решениях для VPN, VDI и Wi-Fi-средах с долей до 90–100 %. Это объясняется высокой совместимостью с внутренними сетями и политиками безопасности Microsoft Active Directory и другими решениями экосистемы Microsoft.
Протокол SAML (Security Assertion Markup Language) используется в 50–60 % системах ERP и службах поддержки, особенно — в SaaS/PaaS, интегрируемых с корпоративными провайдерами удостоверений, размещёнными во внутренней инфраструктуре, преимущественно за счёт возможности взаимодействия через пользователей. «Особенно удивляет сохраняющаяся тенденция реализовывать поддержку SAML в новых продуктах вместо поддержки более современного протокола OpenID Connect», — сообщили исследователи. OpenID Connect больше всего используют в средствах разработки — до 60 % случаев, тогда как в остальных категориях его доля составляет менее 30 %. При этом использование OpenID Connect в других классах корпоративных решений остаётся на достаточно низком уровне.
Источник изображения: Avanpost
По итогам исследования в Avanpost пришли к выводу, что корпоративные IT-инфраструктуры по-прежнему находятся в стадии трансформации в вопросах аутентификации. На фоне широкого распространения встроенной парольной и LDAP-аутентификации всё же заметен рост интереса к современным IdP-протоколам OpenID Connect и SAML. Вместе с тем уровень готовности большинства коробочных продуктов к использованию современных протоколов аутентификации оставляет желать. RADIUS по-прежнему широко используются при интеграции с внутренними системами из-за высокой совместимости с ранее закупленным сетевым оборудованием.
Хотя большинство корпоративного ПО продолжает полагаться на традиционные схемы аутентификации с паролями и LDAP, и лишь незначительная часть приложений (примерно 5–10 %) из коробки поддерживает OpenID Connect, грамотная стратегия миграции позволит организациям постепенно повысить уровень безопасности и удобства для пользователей без чрезмерных рисков и затрат, отметили исследователи. «Фокус на централизованной платформе IAM и в целом на Identity-центричном подходе к аутентификации и развитие культуры безопасности поможет сделать переход последовательным и контролируемым, не остановив, при этом, текущие бизнес-процессы», — сообщили в Avanpost.
Источник: servernews.ru