Avanpost, 30/06/25
Последнее время стало модным говорить о беспарольном будущем. Отчеты, аналитика, блоги и форумы пестрят рассуждениями о том, как классические пароли уходят в прошлое, а на их смену приходят более удобные и безопасные способы входа в систему. Однако реальность, как это часто бывает, оказывается менее однозначной.
По данным “Лаборатории Касперского” [1], более трети россиян готовы отказаться от паролей – например, в пользу биометрии или одноразовых кодов. Казалось бы, тренд очевиден, но если заглянуть внутрь корпоративных инфраструктур, картина резко меняется. Свежий отчет компании Avanpost показывает: ИТ-среда российских организаций в 2025 г. по-прежнему держится за пароли обеими руками. Разберемся, почему.
Кто в доме главный? Все еще пароль
Аналитики Avanpost исследовали, какие методы аутентификации применяются в разных сегментах ИТ-инфраструктуры: от VPN и Wi-Fi до ERP-систем и средств разработки. В фокусе – пять популярных подходов: от обычных паролей до продвинутых протоколов OpenID Connect и SAML.
Выводы неутешительны: везде, где это возможно, доминируют обычные пароли. А в некоторых категориях ПО их использование приближается к 100%. Несмотря на усилия гигантов вроде Google, Apple и Microsoft, которые давно объявили паролям войну, корпоративный сектор продолжает с ними мирно сосуществовать. Причина банальна: так устроена инфраструктура.
LDAP жив, хоть и признан антипаттерном
На втором месте по популярности после паролей – доменная LDAP-аутентификация. Ее доля в таких направлениях, как VPN, VDI, Wi-Fi и особенно АРМ и серверы, достигает 90%–100%. Несмотря на то что LDAP сегодня считается устаревшим и даже небезопасным способом, он продолжает работать по умолчанию для десятков тысяч корпоративных решений.
Причина этому – необходимость совместимости с Microsoft Active Directory, а также – привычка. Да и переделывать давно внедренные системы никто не спешит – их жизненный цикл может достигать десятка лет.
SAML и OpenID: как идут дела у новых игроков
SAML – относительно современный протокол – получил умеренное распространение: до 60% в ERP и системах Service Desk. Он особенно популярен в SaaS-решениях, которые компании размещают внутри периметра. Однако удивительно, что и новые продукты до сих пор часто выбирают SAML вместо более современного OpenID Connect.
С последним дела обстоят еще скромнее: OpenID Connect чувствует себя действительно уверенно только в инструментах разработки (до 60%), таких как GitLab или CI/CD-платформы. В остальных случаях его доля едва превышает 30%. Разработчики этих решений просто изначально ориентировались на облака и современные IdP-стандарты. Коробочные корпоративные продукты – увы, нет.
Почему так происходит?
Проблема – не в нехватке технологий, а в инерции, архитектурных ограничениях и отсутствии давления со стороны заказчиков. Если заказчик не требует поддержку OpenID Connect, вендор вряд ли будет по собственному желанию ее реализовывать. А многие организации все еще не имеют централизованного провайдера удостоверений (IdP), не говоря уже о культуре построения Identity-центристской архитектуры.
Добавьте сюда Legacy старых решений, сложную миграцию и страх что-то сломать в рабочих бизнес-процессах – и вот он, рецепт затянувшегося прошлого.
Куда идти дальше?
Устранить пароли разом не получится. Но поэтапная миграция – вполне реалистична. Ключевыми шагами здесь будут:
- формулирование требований к вендорам по поддержке современных протоколов;
- выбор и внедрение централизованной IAM-платформы;
- фокус на разработку единой стратегии идентификации и аутентификации в организации;
- развитие кросс-функционального диалога между безопасниками, айтишниками и бизнесом.
До тех пор пароли останутся с нами, пусть и в слегка модернизированном виде. А беспарольное завтра будет поджидать за углом, готовое вступить в игру, когда инфраструктура будет к этому действительно готова.
