Почему организациям необходимо использовать менеджер паролей корпоративного стандарта

Несмотря на многочисленные предсказания об их исчезновении в качестве средства обеспечения безопасности, пароли по-прежнему широко используются в организациях любого размера.

Действительно, количество паролей не исчезает, а продолжает расти, поскольку людям требуется доступ ко все большему количеству систем для выполнения своих повседневных задач.

В ответ на эту тенденцию ИТ-отделы стали часто развертывать инфраструктуру единого входа (SSO). Система единого входа позволяет сотруднику войти в систему только один раз и получить доступ ко всем необходимым приложениям и источникам данных.

Однако часто существует ряд ресурсов, на которые не распространяется безопасность единого входа. Это могут быть облачные платформы, используемые для хранения данных, внешние коммуникационные службы, используемые для связи с коллегами или клиентами, или даже теневые ИТ-отделы.

В результате ИТ-команда организации может не контролировать все пароли, используемые персоналом. Это означает, что члены команды не будут знать о людях, которые могут использовать слабые пароли, делиться ими с другими или хранить их небезопасно.

Эта ситуация может иметь серьезные последствия. Неправильное использование или украденные пароли могут привести к взлому учетных записей, несанкционированному доступу к системам и краже данных.

Ситуация становится еще сложнее, когда сотрудники покидают организацию. Если их учетные данные для входа не будут полностью деинициализированы, любой оставшийся доступ может стать вектором атаки для киберпреступников.

Использование менеджеров паролей потребительского уровня

Чтобы справиться с этими проблемами, некоторые организации обратились к менеджерам паролей потребительского уровня. Эти инструменты предоставляют возможность хранить несколько паролей в безопасном хранилище, доступ к которому требует знания общего «главного» пароля.

Такие менеджеры паролей пользуются популярностью у пользователей, поскольку избавляют от необходимости запоминать несколько паролей. Это снижает вероятность того, что один и тот же пароль будет использоваться для доступа к нескольким ресурсам, создавая тем самым уязвимость в безопасности.

Однако, хотя такие инструменты действительно решают некоторые проблемы, связанные с эффективным и безопасным управлением паролями, они не соответствуют действительности в ряде ключевых областей. К ним относятся:

• Отсутствие безопасности корпоративного уровня:
  Поскольку менеджеры паролей потребительского уровня не обеспечивают такой же уровень безопасности, как альтернативы корпоративного уровня, они подвержены хакерским атакам, таким как посредник, кража токенов сеанса или установка вредоносного ПО для кейлогинга. Уязвимости, существующие в этих инструментах, могут предоставить злоумышленникам конфиденциальные учетные данные.
• Отсутствие возможностей аудита и отчетности:
  Если используются менеджеры паролей потребительского уровня, организация обнаружит, что у нее лишь ограниченное представление о том, кто, к каким паролям и когда получал доступ.
• Проблемы с обменом паролями:
  Члены команды часто делятся паролями, необходимыми для доступа к централизованным службам или ресурсам. Однако менеджерам паролей потребительского уровня часто не хватает функций, которые обеспечивают безопасный обмен информацией и отчеты об общих паролях.
• Риски, связанные с «теневыми ИТ»:
  Сотрудники могут прибегать к так называемым «теневым ИТ», когда они используют приложения и инструменты, находящиеся вне контроля ИТ-отдела организации. Если для хранения связанных паролей используются менеджеры паролей потребительского уровня, это может создать дополнительную возможность для злоумышленников получить доступ.

Преимущества развертывания альтернатив корпоративного уровня

Организации, которые вместо этого предпочтут развернуть и поддерживать менеджеры паролей корпоративного уровня, получат некоторые существенные преимущества. Помимо повышения безопасности, общее управление правами доступа для персонала будет упрощено и ужесточено. Некоторые из конкретных преимуществ, которые могут обеспечить инструменты корпоративного уровня, включают:

• Улучшенный пользовательский интерфейс за счет использования защищенных личных папок:
  Многие инструменты управления паролями корпоративного уровня предоставляют каждому пользователю собственную защищенную личную папку, обеспечивая тем самым безопасное хранилище для его паролей. Этот простой метод хранения избавляет пользователей от необходимости запоминать отдельные пароли или использовать незащищенное хранение паролей.
• Упрощенный доступ через расширение браузера:
  Пользователи могут удобно получать доступ к своим сохраненным паролям и входить в корпоративные приложения непосредственно из веб-браузеров с помощью расширения веб-браузера. Сохраненные пароли автоматически заполняются в процессе входа в приложение. Это обеспечивает быстрый и безопасный процесс входа в систему, сохраняя при этом знакомый и удобный интерфейс.
• Комплексные возможности аудита и отчетности:
  Лучшие инструменты корпоративных паролей будут поддерживать надежные возможности аудита и отчетности. Это дает организации возможность осуществлять надзор и соблюдение требований при использовании паролей. Комплексные журналы аудита также позволяют организациям отслеживать, кто, к каким паролям, когда и с какой целью обращался.
• Расширенные возможности удовлетворения требований киберстрахования:
  Поскольку угроза кибератак продолжает расти, поставщики услуг киберстрахования все чаще требуют улучшения контроля и надзора за безопасностью. Управление паролями является важной частью этого требования. Внедрив менеджер паролей корпоративного уровня, организация может снизить риск, связанный с компрометацией паролей, и стать более привлекательным кандидатом на страхование от киберугроз.
• Улучшено обеспечение использования надежных паролей:
  Корпоративные менеджеры паролей также позволяют ИТ-специалистам устанавливать требования к пользователям, чтобы они имели сложные пароли и не использовали их повторно в нескольких местах. Это может повысить безопасность и снизить вероятность взлома.

Организации, решившие развернуть решения по управлению паролями корпоративного уровня, получают как повышенный уровень безопасности, так и повышенную удовлетворенность пользователей. Риски неправильного использования паролей значительно снижаются, а централизованные ИТ-ресурсы становятся более безопасными.

Следите за нашими историями в LinkedIn, ТвиттерFacebook и Instagram.