Владелец линейки Avanpost Access Дмитрий Грудинин о преимуществах USSO в сравнении с NTLM

11.12.2025 |

NTLM остаётся одним из самых уязвимых протоколов в корпоративной инфраструктуре. Несмотря на многолетние призывы Microsoft к поэтапному отказу от NTLM, он продолжает активно использоваться сотрудниками компаний. А значит, и злоумышленниками. Как показывает исследование Лаборатории Касперского за 2025 год, атаки типа Relay, основанные на перехвате NTLM-хэш пароля, остаются эффективным способом получения доступа к критически важным системам. Особенно опасны сценарии, при которых пользователь использует одни и те же учётные данные для входа в операционную систему и различные приложения. В такой среде компрометация одной учётной записи может привести к цепочке эскалации привилегий и несанкционированному доступу ко множеству информационных систем с непредсказуемыми последствиями как для сотрудников, так и для бизнеса.

Ситуацию усугубляет тот факт, что многие организации до сих пор полагаются на однофакторную аутентификацию по логину и паролю для входа на рабочую станцию. Такой подход не только морально устарел, но и противоречит современным требованиям к информационной безопасности. Использование парольного входа без дополнительных факторов означает применение заведомо уязвимого механизма, подверженного фишингу, брутфорсу и перехвату трафика.

К счастью, снизить риски достаточно просто. Для этого достаточно:

1. Использовать многофакторную аутентификацию, позволяющую значительно повысить защищённость доступа.

2. Внедрять современные системы единого входа, которые сочетают высокий уровень защиты с удобством использования (заметьте, удобство не менее важно, ведь оно повышает мотивацию сотрудников использовать выбранную систему).

Есть ли такие решения, удовлетворяющие этим требованиям, на рынке? Есть. Это Unified SSO.

Каковы ключевые преимущества USSO в сравнении с упомянутым NTLM?

1. Отказ от передачи учётных данных. В отличие от NTLM, где хэш пароля передаётся и может быть скомпрометирован, Unified SSO не хранит и не передает хэш во внешние приложения.

2. Кратковременное использование данных. При необходимости подстановки логина/пароля данные хранятся кратковременно и немедленно очищаются из защищённой области памяти, что исключает возможность их кражи.

3. Единая сессия вместо множества паролей. При использовании NTLM пользователи часто применяют один пароль для входа в ОС и доступа к приложениям, что приводит к цепной компрометации. Unified SSO обеспечивает единую доверенную сессию, которая автоматически используется для доступа ко всем информационным системам без повторного ввода пароля. Или вообще без ввода пароля.

4. Адаптивная MFA и оценка рисков. Вместо слепого доверия, Unified SSO динамически проверяет контекст: параметры устройства, местоположение и поведение пользователя. При подозрительной активности запрашиваются дополнительные факторы.

5. Централизованное управление и контроль. События аутентификации фиксируются в журнале безопасности и содержат исчерпывающую информацию о событии, включая источник, тип приложения, метод аутентификации, время и т.п.

6. Поддержка современных стандартов безопасности. Unified SSO интегрируется с FIDO2, Рутокен ЭЦП, TOTP и мобильными аутентификаторами, обеспечивая защиту даже при компрометации одного из факторов (в частности, пароля).

7. Максимально возможное удобство для пользователя, который получает систему единого входа в самые разнородные информационные системы.

Использование устаревших, но привычных решений, приводит к тому, что новые опасности застают нас врасплох.