Только 27% привилегированных учетных записей защищены сертификатами

Несмотря на развитие подхода zero trust, парольная аутентификация остается основным способом защиты критически важных учетных записей в крупном бизнесе

28 мая 2026 г.

Эксперты BI.ZONE PAM проанализировали, как компании управляют привилегированным доступом. Оказалось, что 73% привилегированных учетных записей защищены паролями, тогда как для 27% применяются сертификаты с более надежной криптографической защитой. Хотя в России активно развивается концепция zero trust, парольная аутентификация пока остается основным способом защиты. При этом пароль можно подобрать, получить с помощью фишинга или украсть в результате утечки данных. Сотрудники также могут использовать одинаковые пароли в нескольких системах. В таком случае компрометация одного сервиса способна дать злоумышленникам доступ и к другим корпоративным ресурсам.

До сих пор во многих компаниях пароли не меняют годами. По данным BI.ZONE TDR, в 19% корпоративных аккаунтов используются пароли старше одного года, а в 2% — старше 10 лет. Кроме того, в среднем у 22% учетных записей установлен атрибут PasswordNeverExpires («пароль никогда не истекает»).

У 19% учетных записей пароли такие же, как у других пользователей внутри компании. В одной из организаций этот показатель достигал 43%. Часто причина в том, что сотрудники не меняют стандартные пароли, выданные при трудоустройстве.

Даже одна скомпрометированная привилегированная учетная запись может стать точкой входа сразу в несколько критически важных систем. Если при этом используется парольная аутентификация и избыточные права доступа, масштаб потенциальной атаки существенно возрастает.

На этом фоне компании отказываются от статических учетных данных в пользу сертификатной аутентификации и динамического управления доступом. В перспективе 3 лет это может привести к модели беспарольного привилегированного доступа без постоянных привилегий.

Артём Назаретян

Руководитель BI.ZONE PAM

Дополнительный риск создает структура доступа к информационным системам. В среднем по компаниям около 6% учетных записей имеют доступ более чем к 10 тысячам корпоративных систем, а примерно 2% — к десяткам тысяч сетевых ресурсов. При этом 4–5% пользователей одновременно обладают расширенными привилегиями и используют парольную аутентификацию. Компрометация такой учетной записи может привести к быстрому распространению атаки внутри инфраструктуры.

Мировая практика движется в сторону отказа от паролей в пользу сертификатной аутентификации и сокращения срока жизни учетных данных. Так, по прогнозам CA/Browser Forum, к 2029 году максимальный срок действия SSL‑/TLS‑сертификатов сократится до 47 дней.

Вероятно, этот тренд скоро придет и в Россию. Администрировать сертификатами вручную на уровне отдельных пользователей станет практически невозможно, поэтому возрастет потребность в централизованном управлении жизненным циклом учетных данных.

В этих условиях ключевую роль начинают играть платформы управления привилегированным доступом. Например, BI.ZONE PAM автоматизирует выпуск, ротацию и отзыв сертификатов и секретов, объединяя эти процессы в единый цикл. Решение, построенное по модели нулевого доверия, бесшовно встраивается в IT‑инфраструктуру и обеспечивает повышенный уровень защиты. Такой подход снижает операционную нагрузку, а также сокращает риск компрометации учетных данных за счет их регулярного обновления и контроля.