Российские системы аутентификации и MFA: обзор систем 2025 года

Тренды аутентификации меняются: парольная уступает место беспарольной и многофакторной (MFA). При этом российские разработки уже сопоставимы с зарубежными по функциональности, что важно для построения независимой доверенной ИТ-инфраструктуры. Какие продукты и решения доступны сейчас для выбора на российском рынке?

 

 

 

 

 

1. Введение
2. Аутентификация и её виды
3. Мировой рынок систем аутентификации
4. Российский рынок систем аутентификации
5. Обзор российских программных продуктов и решений для аутентификации
   
   1. 5.1. Менеджеры паролей
      
      1. 5.1.1. «ОдинКлюч»
      2. 5.1.2. «Пассворк»
      3. 5.1.3. BearPass
      4. 5.1.4. TeamDo
   2. 5.2. Биометрическая идентификация
      
      1. 5.2.1. ЕБС
      2. 5.2.2. «Папилон»
      3. 5.2.3. BSS
      4. 5.2.4. FindFace Multi
      5. 5.2.5. IDenium
      6. 5.2.6. Id-Gate
      7. 5.2.7. Tevian
      8. 5.2.8. VisionLabs
      9. 5.2.9. VoiceKey.PLATFORM
   3. 5.3. Многофакторная аутентификация
      
      1. 5.3.1. Avanpost FAM
      2. 5.3.2. JaCarta Authentication Server (JAS) на платформе Linux
      3. 5.3.3. Indeed Access Manager
      4. 5.3.4. MULTIFACTOR
      5. 5.3.5. Сервис «ID от Контур.Эгиды»
      6. 5.3.6. Blitz Identity Provider
      7. 5.3.7. MFASOFT Secure Authentication Server
      8. 5.3.8. RED Security MFA
      9. 5.3.9. RooX UIDM
6. Выводы

Введение

Несмотря на рост интереса к многофакторной аутентификации, пароли по-прежнему остаются основным механизмом доступа во многих организациях. Согласно докладу компании JumpCloud за 2024 год, 83 % организаций продолжают использовать пароли для доступа к ИТ-ресурсам, несмотря на внедрение дополнительных факторов.

Проблема в том, какие именно пароли используют сотрудники. По данным российского сервиса разведки утечек данных и мониторинга даркнета DLBI, в утечках из года в год фигурируют одни и те же комбинации: 123456, 123456789, qwerty123, 12345, qwerty, qwerty1, password, 12345678, 111111 и 1q2w3e. За последние несколько лет этот список практически не менялся. При этом сами пользователи усугубляют ситуацию. Согласно тем же данным JumpCloud, 57 % людей записывают пароли на стикерах, а две трети из них теряли эти записи. Когда в обороте у одного сотрудника от трёх до пяти паролей (а у 15 % — от 10 и более), подобные случаи становятся системными.

В подтверждении сказанному можно вспомнить слова Константина Родина, заместителя директора по развитию бизнеса в «АйТи Бастион», в одном из наших интервью: 

 «Если такими активами никто централизовано не управляет, это все равно что оставить двери офиса открытыми или хранить ключ от квартиры “под ковриком” (аналог — пароль на стикере под клавиатурой). И если раньше подобных цифровых активов у одного человека было два-три, и он мог легко хранить их в своей голове, то теперь их — десятки».

Поэтому компрометация учётных данных становится одним из сценариев при атаках на информационные системы. Для снижения рисков, связанных с уязвимостями на стороне пользователя, всё больше организаций внедряют системы аутентификации, позволяющие повысить контроль над процессом доступа и минимизировать влияние человеческого фактора.

Аутентификация и её виды

Аутентификация — это процедура удостоверения личности, проверка принадлежности пользователя к заданному идентификатору. В контексте информационной безопасности под аутентификацией понимается проверка, действительно ли пользователь, предъявивший фактор, например логин-пароль, является владельцем соответствующей учётной записи. К основным факторам относят:

• Фактор знания — то, что знает пользователь. Например, он знает пароль.
• Фактор обладания — то, что есть у пользователя. Например, у него имеется мобильное устройство, флешка.
• Фактор свойства – уникальная «часть» пользователя. Например, отпечатки пальца, рисунок радужной оболочки глаза, голос. 

На основе указанных факторов строятся различные системы аутентификации, которые делятся на однофакторные и многофакторные. Однофакторные решения опираются только на один фактор, многофакторные — требуют одновременного предъявления двух и более факторов разных типов. Например, это может быть комбинация пароля (фактор знания) и одноразового кода, отправленного на устройство пользователя (фактор обладания), либо пароль и отпечаток пальца (фактор свойства).

Один из типичных примеров реализации многофакторной аутентификации — использование аппаратных токенов. Здесь применяется фактор обладания, поскольку подтверждение личности основано на физическом или программном контроле над устройством, а также фактор знания - необходимость предъявить ПИН-код для доступа к устройству. В этом случае пользователь предъявляет физическое или программное устройство, генерирующее уникальные одноразовые коды или содержащее криптографический ключ. Аппаратные токены могут быть реализованы в виде USB-ключей, смарт-карт или устройств с дисплеем для отображения временных кодов. 

Ранее мы подробно рассматривали базовые принципы и классификацию методов аутентификации в статье «Системы и методы аутентификации пользователей». В отдельном материале, «Как выбрать корпоративную систему аутентификации», был представлен пошаговый подход к выбору решения: от формирования проектной группы и определения требований до проведения пилота и внедрения. В этой статье рассмотрим конкретные решения, предлагаемые отечественными и зарубежными вендорами.

Мировой рынок систем аутентификации

Согласно Verified Market Reports, глобальный рынок систем аутентификации растёт за счёт повышения требований к защищённости цифровых сервисов, перехода к удалённым форматам работы и стремления организаций минимизировать риски компрометации учётных данных. Основное давление на внедрение современных решений оказывают не только регуляторные инициативы, но и растущая сложность атак, в которых стандартных методов проверки подлинности уже недостаточно. 

Ожидается, что объём мирового рынка решений аутентификации к 2033 году достигнет 11,23 млрд долларов США. Среднегодовой темп роста (CAGR) в течение прогнозируемого периода составит 10,5 %. Эти показатели можно рассматривать как признак того, что системы аутентификации нашли своё место на рынке, укоренились и теперь развиваются органически.

 

Рисунок 1. Рост мирового рынка систем аутентификации согласно Verified Market Reports

 

Ведущими разработчиками решений для аутентификации Future Market Insights называет IBM, HID Global, RSA Security, Gemalto (Thales), Duo Security (Cisco) и JumpCloud.

IBM Verify — платформа, которая объединяет инструменты управления доступом, защиты привилегированных учётных записей, адаптивной аутентификации и управления жизненным циклом цифровых идентичностей. Архитектура IBM Verify позволяет формировать единую идентификационную среду, устраняя фрагментацию и обеспечивая защиту от атак за счёт встроенных механизмов выявления и реагирования на угрозы.

HID Authentication Service — облачная платформа аутентификации. Обеспечивает полный цикл управления цифровыми идентичностями: от их создания и подтверждения до безопасного доступа сотрудников и клиентов к информационным системам. Архитектура платформы изначально ориентирована на защиту персональных данных — за счёт изоляции информации с использованием встроенных криптографических механизмов.

RSA SecurID — решение для обеспечения аутентификации и управления доступом в локальных инфраструктурах. Продукты линейки SecurID включают как программные, так и аппаратные токены (в том числе модели RSA SecurID 700 и DS100), поддерживающие одноразовые пароли, многофакторную и беспарольную аутентификацию. Центральным компонентом является RSA Authentication Manager — сервер, обеспечивающий централизованное управление пользователями, политиками доступа и регистрацией токенов.

Thales ID Verification Suite — модульное решение для проверки личности. Автоматически распознаёт и проверяет документы на подлинность с использованием различных методов контроля, включая анализ машиночитаемой зоны (MRZ), проверку в инфракрасном, ультрафиолетовом и белом спектрах, а также чтение данных с чипа. Встроенная биометрия лица с пассивной проверкой признаков жизни и точным сопоставлением с изображением из документа позволяет проводить аутентификацию без дополнительных действий со стороны пользователя. Решение может быть развёрнуто как в облачной модели, так и локально.

Duo 2FA обеспечивает проверку подлинности пользователей на основе концепции Zero Trust. Основная функциональность системы сосредоточена на двухфакторной аутентификации. Duo поддерживает адаптивные политики доступа, проверку состояния устройств за счёт использования устойчивых к подмене методов проверки. Платформа подходит для интеграции с корпоративными приложениями и может применяться как часть комплексной стратегии по защите удалённого доступа и облачных сервисов.

JumpCloud настраивает аутентификацию через протокол RADIUS, включая как традиционную проверку по паролю, так и беспарольную аутентификацию на основе сертификатов. Решение позволяет использовать многофакторную аутентификацию с одноразовыми паролями или пуш-уведомлениями через JumpCloud Protect. Беспарольный режим основан на проверке клиентского сертификата. Платформа поддерживает смешанные сценарии, при которых часть пользователей применяет сертификаты, а другие — стандартную аутентификацию по паролю, сохраняя управляемость и совместимость в единой среде.

Российский рынок систем аутентификации

Согласно данным компании «Аванпост», отечественные решения сравнялись с аналогами зарубежных вендоров по количеству внедрений ещё в 2021 году. Годом ранее рынок систем аутентификации и управления доступом продемонстрировал бурный рост — он увеличился больше чем на 20 %, составив 3,3 млрд рублей. Такая ситуация в значительной степени обусловлена курсом на импортозамещение, но также отражает зрелость и функциональный рост самих продуктов.

Увеличение числа реализованных проектов положительно сказалось на качестве: повысились надёжность, производительность и масштабируемость решений для аутентификаций. Наряду с развитием базовой функциональности, заметно стремление российских разработчиков соответствовать актуальным мировым подходам. 

Среди ключевых технологических трендов 2025 года выделяются интеграция искусственного интеллекта, биометрические методы и постквантовая криптография — подробнее об этом можно прочитать по ссылке.

С технической точки зрения, корпоративные инфраструктуры продолжают трансформироваться. По информации компании «Аванпост», большинство организаций пока опираются на встроенные механизмы с паролями и LDAP, однако нарастает интерес к современным IdP-протоколам — OpenID Connect и Security Assertion Markup Language (SAML). Несмотря на это, только около 5–10 % коробочных решений изначально поддерживают подобные механизмы. Протокол RADIUS сохраняет актуальность благодаря совместимости с существующим сетевым оборудованием.

Инициативы государства также способствуют внедрению многофакторной аутентификации и биометрической идентификации. По состоянию на начало 2025 года более 3 миллионов россиян передали свои биометрические шаблоны в Единую биометрическую систему (ЕБС), использующую двухфакторную схему с голосом и изображением лица. 

Регуляторные требования, закреплённые в законодательстве, например, Федеральный закон № 152-ФЗ «О персональных данных», ГОСТ Р-ИСО/МЭК 9594-8-98 и другие, стимулируют развитие отечественного рынка аутентификации. Они устанавливают обязательные стандарты защиты и процедуры идентификации пользователей, что стимулирует массовое внедрение многофакторной аутентификации и биометрических методов.

Обзор российских программных продуктов и решений для аутентификации

Актуальные подходы к аутентификации нашли отражение в линейке российских решений, охватывающих широкий спектр функциональных и архитектурных сценариев. Сформировавшийся ландшафт отечественных решений уже сегодня позволяет организациям выбирать инструменты, соответствующие требованиям по безопасности, интеграции и масштабируемости.

В охват этого обзора мы включаем три группы продуктов: менеджеры паролей, средства биометрической идентификации и системы многофакторной аутентификации.

Менеджеры паролей

Менеджеры паролей — это программные и онлайн-инструменты, предназначенные для упрощения работы с паролями и автоматического заполнения веб-форм. Они обеспечивают централизованное управление паролями, их безопасное хранение и использование. С более подробной информацией о них можно ознакомиться по ссылке.

 

 

«ОдинКлюч»

Менеджер паролей «ОдинКлюч» предназначен для централизованного хранения и организации доступа к паролям для систем и сервисов, используемых сотрудниками организаций. Он позволяет управлять паролями, создавать уникальные и сложные комбинации, безопасно обмениваться информацией. 

Менеджер может быть развёрнут как в инфраструктуре заказчика (on-premise), так и в виде решения «ПО как услуга» (Software-as-a-Service, SaaS). Для защиты информации используется алгоритм шифрования по стандарту ГОСТ 34.12-2018. Ключевым элементом безопасности выступает мастер-пароль, необходимый для расшифровки пользовательской базы. Дополнительно реализован двухуровневый механизм защиты, включающий шифрование данных на устройствах, серверах и в канале передачи.

 

Рисунок 2. Интерфейс «ОдинКлюч»

 

Продукт проходил проверку в рамках программы вознаграждений за найденные уязвимости (Bug Bounty) с участием неограниченного числа независимых исследователей в области информационной безопасности. Это позволило проверить продукт на наличие уязвимостей, которые могли бы привести к компрометации паролей или другим инцидентам.

Особенности:

• Возможность по требованию заказчика заменить ГОСТ 34.12-2018 на другой алгоритм шифрования.
• Предоставление доступа только к необходимым для работы ресурсам.
• Адаптация уровня безопасности под степень зрелости организации.
• Поддержка политики нулевого разглашения — доступ к данным есть только у пользователя.
• Возможность подключения двухфакторной аутентификации,

На Anti-Malware.ru есть обзор корпоративного менеджера паролей «ОдинКлюч» версии 1.2.

«ОдинКлюч» входит в реестр отечественного ПО (№ 24547 от 28.10.2024), проходит сертификацию ФСТЭК России. 

Более подробная информация о менеджере паролей размещена на сайте вендора.

 

 

«Пассворк»

Предназначен для безопасного хранения паролей технических и служебных учётных записей. Все данные хранятся строго на сервере заказчика, никуда не выгружаются и не передаются. Администратор системы управляет правами пользователей, отслеживает все действия, изменения.

Менеджер работает на PHP и использует в качестве системы управления базы данных MongoDB. Поддерживаются установки как на Windows Server, так и на Linux. 

 

Рисунок 3. Интерфейс «Пассворка»

 

Особенности:

• Данные шифруются алгоритмом ГОСТ или AES-256, на выбор заказчика.
• Возможность создавать неограниченное число ролей с индивидуальными правами и настройками.
• Поддержка многофакторной аутентификации.
• Наличие мобильного клиента.

На Anti-Malware.ru можно ознакомиться с детальным обзором функциональных возможностей последней версии «Пассворка».

«Пассворк» входит в реестр отечественного ПО (№ 6147 от 13.01.2020). 

Больше информации о менеджере паролей размещено на сайте вендора. 

 

 

BearPass

BearPass — решение для централизованного хранения и управления доступом к паролям, используемым в инфраструктуре организации. Хранение информации реализовано с использованием алгоритма шифрования AES-256. Система обеспечивает безопасный обмен учётными данными между сотрудниками, а также внешними контрагентами, за счёт возможности создания временных или постоянных ссылок с ограниченным доступом.

Интерфейс системы адаптирован для использования на различных устройствах.

 

Рисунок 4. Интерфейс BearPass

 

Менеджер паролей ведёт полную историю действий пользователей и позволяет в любой момент получить отчёт по текущим правам доступа к секретам. Управление правами реализовано таким образом, что отзыв доступа возможен мгновенно, без необходимости дополнительных операций со стороны администратора.

Особенности:

• Продукт доступен как в облачном, так и в коробочном вариантах, что позволяет устанавливать его на собственные сервера заказчика и обеспечивать работу в «закрытом контуре».
• Реализована интеграция с каталогами LDAP / SSO.
• Реализована двухфакторная авторизация, а также обеспечена возможность использовать в качестве второго фактора биометрию (отпечаток пальца или FaceID).
• Журналирование всех событий. Возможность интеграции с SIEM-системами через syslog-файлы.
• Отключаемый мониторинг скомпрометированных паролей.
• Поддержка SSO (единого входа) в сервисах.

BearPass включён в реестр отечественного ПО (№ 15427 от 31.10.2022). 

Больше информации о менеджере паролей — здесь.

 

 

TeamDo

Менеджер паролей TeamDo построен по модели, которая исключает доступ к пользовательским данным третьих лиц, в том числе разработчиков.

Владельцем зашифрованной информации (пароли, приватные ссылки) остаётся сам пользователь — только он контролирует собственный ключ шифрования. Для защиты данных используется комбинация алгоритмов AES и RSA с длиной ключа 1024 бита.

Решение адаптировано для организаций любого профиля (бизнес, органы госвласти, бюджетные учреждения и другие) с разной инфраструктурой и численностью сотрудников. Менеджер паролей TeamDo поставляется в двух вариантах. Первый — «коробка», для тех организаций, в которых есть своё ИТ-подразделение. Второй — в «облаке», подходит тем предприятиям, у которых ИТ-специалистов нет. Предусмотрен 14-дневный период бесплатного тестирования.

 

Рисунок 5. Интерфейс TeamDo

 

Особенности:

• Двухфакторная аутентификация (2FA) и 10 степеней защиты, включая защиту от скринкаста.
• Отсутствие ограничений по привязке устройств.
• Система ролей и прав разграничивает доступ к критической информации по принципу «только то, что нужно для работы».
• Встроенный генератор паролей.
• Резервное копирование данных каждый следующий час, а также логирование всех действий пользователей.
• Автоподстановка данных при входе во внешние сервисы для авторизованных пользователей.

Менеджер паролей TeamDo включен в реестр российского программного обеспечения (№ 19256 от 23.09.2023).

Больше информации о TeamDo — на сайте разработчика.

Биометрическая идентификация

Биометрическая идентификация представляет собой механизм, основанный на анализе индивидуальных физиологических или поведенческих характеристик человека. За счёт их уникальности можно установить, является ли человек именно тем пользователем, за которого себя выдаёт. Биометрические данные предварительно сохраняются и используются в качестве эталона; при попытке доступа система считывает текущие данные пользователя и сопоставляет их с эталонными значениями.

 

 

ЕБС

Единая биометрическая система (ЕБС) представляет собой цифровую платформу, обеспечивающую идентификацию личности по биометрическим характеристикам как в дистанционном, так и в очном формате. Система призвана повысить безопасность проведения операций и предоставления сервисов, одновременно улучшая удобство их использования. Оператором ЕБС выступает «Центр Биометрических Технологий» (ЦБТ) — он обеспечивает сбор, хранение, обработку, проверку биометрических персональных данных.

 

Рисунок 6. Общая схема взаимодействия при удалённой идентификации в ЕБС

 

Особенности:

• Данные хранятся в зашифрованном обезличенном виде.
• Система способна определить «подделку» вместо живого человека.
• Усиливает защиту от фрода.
• Позволяет взаимодействовать с клиентом удалённо (оформление услуг и другое).
• Внедрение коробочного решения занимает 2–3 месяца. 

В декабре 2021 года ЕБС получила статус государственной информационной системы (ГИС) и стала частью инфраструктуры, обеспечивающей взаимодействие информационных систем, применяемых для предоставления государственных и муниципальных услуг в электронной форме.

Больше информации о ЕБС можно узнать по ссылке.

 

 

«Папилон» 

Автоматизированная дактилоскопическая информационная система (АДИС) «Папилон» представляет собой мультибиометрическую систему идентификации, предназначенную для формирования, хранения и анализа биометрических данных различного типа. Система поддерживает работу с регистрационными картами, следами пальцев и ладоней, а также фотоследами, включающими изображения лиц, личность которых не установлена.

Источниками пополнения базы данных могут выступать как собственный настольный клиент, так и внешние базы или другие продукты экосистемы «Папилон».

 

Рисунок 7. Интерфейс АДИС «Папилон» 

 

Особенности: 

• 13 видов автоматических поисков (с созданием рекомендательных списков).
• Автоматическая оперативная проверка личности в режиме реального времени по запросам с мобильных, стационарных станций.
• Поддержка обмена данными с другими АДИС, использующими международные форматы (ANSI / NIST, RUS-I, Interpol, EFTS, EBTS), а также с внешними системами распознавания лиц и радужной оболочки глаз.
• Объём базы данных не ограничен.

Больше информации о решении можно узнать на сайте вендора.

 

 

BSS

Голосовая биометрия BSS распознаёт звонящего и верифицирует его личность за несколько секунд при помощи непрерывной голосовой биометрии живой речи. Использует текстонезависимый, пассивный и смешанный методы. Голосовая биометрия BSS включает: 

• BSS-VeryFi — решение голосовой биометрии, предназначенное для проверки подлинности личности. Входит в реестр отечественного ПО (№ 3177 от 29.03.2017).
• BSS-IdentyFi — система голосовой идентификации, которая определяет личность говорящего путём сравнения его голоса с базой ранее зарегистрированных голосовых отпечатков.

Рисунок 8. Архитектура голосовой биометрии BSS

 

Особенности:

• Фиксирует более 100 параметров голоса.
• Не запоминает пароли, парольные фразы, которые можно подслушать.
• Выявляет и пресекает попытки мошенничества.
• Обеспечивает цензуру данных. Например, в соответствии с PCI DSS (стандарт безопасности индустрии платёжных карт).

Биометрию можно использовать в любых средах: интерактивный автоответчик (IVR), операторский центр, мобильное приложение и другое. Система разворачивается в облаке или на территории заказчика.

Больше сведений о продукте — на сайте вендора.

 

 

FindFace Multi

FindFace Multi — многофункциональная мультиобъектная система видеоаналитики. Обнаруживает, идентифицирует и анализирует на видеоизображении лица, силуэты людей, автомобили. Дополнительные сведения об объекте, как пол, возраст, номер авто, отображаются в событии распознавания.

 

Рисунок 9. Досье в FindFace Multi

 

Особенности:

• Встроенная в систему антиспуфинговая система гарантирует, что перед камерой находится живой человек.
• Уведомление ответственных лиц происходит за доли секунды. 
• Интеграция со сторонними решениями через HTTP API и веб-хуки.
• Утилиты резервного копирования и восстановления.
• ЦП- и ГП-ускорение на выбор заказчика.

Решение включено в реестр отечественного ПО (№ 12187 от 30.11.2021). 

Больше сведений о продукте можно посмотреть на сайте вендора.

 

 

IDenium

IDenium — решение для биометрической идентификации, управления паролями и реализации единого входа (SSO) с интеграцией в Microsoft Active Directory. Поддерживается вход в систему по отпечатку пальца — как для ПК и доменов, так и для корпоративных приложений и веб-сайтов. Система сохраняет полную историю событий аутентификации.

 

Рисунок 10. Централизованное управление в Active Directory

 

Особенности:

• Поддержка неограниченного количества дополнительных серверов. 
• Поддерживается многофакторная аутентификация, включая сочетание смарт-карты и отпечатка пальца. В зависимости от конфигурации и версии решения может использоваться иная биометрия (например, распознавание лица через Windows Hello). Также возможна аутентификация с использованием одноразового пароля (OTP).
• Централизованное управление осуществляется через Microsoft Active Directory Users and Computers (ADUC). 
• Работает как на Windows, так и на Linux клиентских машинах. Поддержка работы с платформами виртуализации Citrix (Xen, MetaFrame) и Microsoft (MRDP). IDenium работает в средах тонких клиентов (например, через упомянутые Citrix / RDP), при этом биометрическая аутентификация обычно происходит на терминале пользователя, где подключён считыватель отпечатков. Прямая поддержка всех моделей тонких клиентов из коробки может быть не абсолютной и зависит от конкретной модели и её возможностей.
• Интеграция биометрической идентификации в любые корпоративные информационные системы с учетом индивидуальной бизнес-логики.
• Поддержка современных стандартов аутентификации, таких как FIDO2 (WebAuthn), что обеспечивает возможность безопасного входа на веб-сайты и приложения без использования пароля — с применением биометрии или PIN-кода на устройстве.

IDenium включён в реестр отечественного ПО (№ 10041 от 02.04.2021). 

Больше сведений о решении можно узнать на сайте вендора. 

 

 

Id-Gate

Id-Gate — программное решение для биометрической верификации личности в системах контроля и управления доступом (СКУД). Продукт обеспечивает бесшовную интеграцию с широким спектром платформ, включая Bosch Security System (BIS), Dormakaba Exos и другие, при этом список поддерживаемых интеграций регулярно расширяется. Все модули интеграции входят в базовую версию продукта.

Система использует биометрический идентификатор — уникальный и неотчуждаемый фактор, связанный с конкретным сотрудником или посетителем, который невозможно потерять или передать третьему лицу.

 

Рисунок 11. Интерфейс Id-Gate

 

Особенности:

• Бесплатная демонстрационная лицензия на три месяца.
• Поддерживает двух- и многофакторную аутентификацию.
• Идентификация лиц занимает менее одной секунды.
• Поддержка работы со средствами контроля температуры тела человека.
• Мгновенное уведомление оператора в СКУД о выявлении постороннего лица. 

Id-Gate включено в реестр отечественного ПО (№ 8638 от 31.12.2020).

Больше информации о решении можно получить на сайте вендора.

 

 

Tevian

Программная платформа Tevian для обеспечения поиска в больших массивах лиц — набор библиотек, предоставляющих программный интерфейс приложений, предназначенный для работы с биометрическими шаблонами лиц. Выполняет декодирование фотографий лиц из бинарных массивов и проверку качества изображений на соответствие установленным критериям.

 

Рисунок 12. Пример сохраняемого скриптом изображения, где выделены области обнаруженных лиц

 

Особенности:

• Осуществляет поиск лиц на фотографиях с предоставлением координат областей, содержащих лица.
• Расчёт биометрических шаблонов обнаруженных лиц. 
• Для приложений предусмотрены примитивы, необходимые для организации кеширования биометрических шаблонов в оперативной памяти. 
• Реализована функция сравнения биометрических шаблонов с целью определения их принадлежности одному и тому же человеку.

Продукт включён в реестр отечественного ПО (№ 28368 от 06.06.2025). 

Больше данных о продукте — на сайте вендора.

 

 

VisionLabs

Комплекс решений VisionLabs, в состав которых входит LUNA PLATFORM, LUNA ID, LUNA PASS, представляет собой систему для хранения и обработки биометрических данных, ориентированную на распознавание лиц и поддерживающую спектр задач, связанных с идентификацией и аутентификацией пользователей. Решение может быть развёрнуто как в закрытом контуре клиента, так и в облачной инфраструктуре. Поддерживается работа как на центральных (CPU), так и на графических (GPU) процессорах. Подключение к сети Интернет не требуется.

Система состоит из нескольких компонентов — frontend (LUNA ID, LUNA PASS) для получения кадров и проведения проверок на пользовательских устройствах, LUNA PLATFORM для выполнения операций распознавания лиц, пользовательского интерфейса Clementine для отображения результатов работы.

 

Рисунок 13. Архитектура решения VisionLabs

 

Особенности:

• Модульная архитектура сервисов позволяет создавать масштабируемые, отказоустойчивые биометрические системы для работы с многомиллионными списками лиц при целевой нагрузке.
• Создание списков для поиска и сбор статистической информации.
• Отправка уведомлений о событиях распознавания лиц во внешние системы.
• Возможность получения кадров и проведения проверок на мобильных и web устройствах; отображение результатов в пользовательском интерфейсе.
• Оценка качества изображения лица на основе стандарта ISO / IEC 19794-5.
• Выявление атак на биометрическую систему путём отличия живого человека от фотографии, маски или подмены видеопотока (Liveness Detection, Deepfake Detection).

LUNA PLATFORM включена в реестр отечественного ПО (№ 13538 от 20.05.2022). 

Больше информации о продукте можно узнать на сайте вендора.

 

 

VoiceKey.PLATFORM

Платформа мультимодальной биометрической аутентификации представляет собой программный комплекс управления нагрузкой, которая поступает в виде звуков или фото. Платформа обеспечивает маршрутизацию к обработчикам данных, мониторингу состояния, хранения и защиты данных.

Система включает три компонента: 

• VoiceKey.AGENT — аутентификация клиента в контактном центре по голосу. 
• VoiceKey.FaceAccess — аутентификация клиента по лицу в мобильных и веб-приложениях.
• VoiceKey.TRACKER — идентификация мошенников по голосу
  и лицу (сравнение с «горячими списками»).

Рисунок 14. Верификация клиентов с онлайн-проверкой по спискам — чёрным и белым

 

Особенности:

• Поддержка голосовой и лицевой биометрии с подключением других модальностей (палец, ладонь, радужка и другое).
• Интеграция с мобильными и веб-приложениями, большинством популярных АТС, голосовых меню (IVR) и систем управления взаимоотношениями с клиентами (CRM).
• Настройка прав доступа.
• Языко- и текстонезависимость.
• Подключение речевой аналитики. 

Платформа находится в реестре отечественного ПО (№ 16414 от 30.01.2023). 

Больше сведений о VoiceKey.PLATFORM можно узнать на сайте вендора. 

Многофакторная аутентификация

Многофакторная аутентификация — подход к защите доступа, при котором для подтверждения личности требуется использование как минимум двух независимых факторов аутентификации. Комбинируя несколько несовмещаемых по природе методов, MFA значительно снижает вероятность несанкционированного доступа даже при компрометации одного из факторов.

 

 

Avanpost FAM 

Система единой аутентификации сотрудников в корпоративных ресурсах организации поддерживает весь спектр современных физических факторов, включая ключевые носители, биометрические считыватели и считыватели меток. Позволяет организовать аутентификацию в корпоративных приложениях с использованием протоколов SAML, OpenID Connect и OAuth. Для корпоративных систем предусмотрена аутентификация по протоколу RADIUS, а также через технологии Microsoft Credential Provider и PAM в Linux.

Механизмы аутентификации через обратный прокси (Reverse Proxy) и перехват окон в Avanpost FAM сводят проблему совместимости SSO с приложениями к выбору технологии подключения конкретного приложения к системе единой аутентификации.

 

Рисунок 15. Личный кабинет пользователя Avanpost FAM

 

Особенности: 

• Единая многофакторная аутентификация для ОС, мобильных, десктопных и веб-приложений.
• Поддержка мультидоменных инфраструктур с возможностью обрабатывать в рамках одной системы аутентификации пользователей из неограниченного набора доменов и других источников.
• Уменьшение нагрузки на службу Service Desk по смене паролей в пять раз, по подсчётам вендора.
• Поддержка широкого спектра технологий аутентификации — Microsoft Credential Provider, Reverse Proxy, RADIUS, SAML 2.0, OpenID Connect, PAM Linux и других, обеспечивающих интеграцию с любыми корпоративными приложениями.
• Адаптивная аутентификация с гибкой настройкой цепочек проверки, позволяющая учитывать разные категории сотрудников и ситуации.
• Поддержка современных факторов аутентификации — смарт-карты, биометрия, OTP, сертификаты ЭП, push-уведомления, USB-токены и другие.

Avanpost FAM включена в реестр отечественного ПО (№ 6824 от 16.07.2020). В 2020 году мы писали о её функциональных возможностях в статье «Обзор Avanpost FAM, системы единой аутентификации пользователей в корпоративной сети». 

Информацию об обновлениях системы и другие актуальные материалы можно посмотреть на сайте вендора.

 

 

JaCarta Authentication Server (JAS) на платформе Linux

Это высокопроизводительный сервер аутентификации Enterprise-класса (в составе платформы JaCarta Management System 4LX (JMS 4LX). Обеспечивает усиленную аутентификацию пользователей с использованием одноразовых паролей в различных вариантах (PUSH, OTP, SMS, Telegram) и строгую аутентификацию по протоколу U2F. Поддерживает аутентификацию на рабочих станциях и серверах с использованием Aladdin SecurLogon. 

Интеграция с прикладным ПО реализуется через стандартные протоколы RADIUS, REST и ADFS. Поддержка OpenID Connect, OAuth 2.0 и SAML 2.0 в разработке (Q4 2025). Сервер включает сервис безопасной передачи секретов для программных аутентификаторов, а также собственное мобильное приложение Aladdin 2FA.

 

Рисунок 16. Архитектура JaCarta Authentication Server

 

Особенности:

• Включает сервис аутентификации, средства мониторинга, журналирования, JAS RADIUS Server, плагины для MS NPS, MS AD FS, MS RDG, средства управления токенами и пользователями.
• Совместим со всеми сертифицированными отечественными и распространёнными зарубежными дистрибутивами Linux.
• Работает в Linux, Windows и смешанных информационных инфраструктурах.
• Архитектурно поддерживает масштабируемость и отказоустойчивость.
• Совместим с распространенными приложениями генерации OTP по событию и по времени.

Сервер внесён в реестр отечественного ПО (№ 2128 от 08.11.2016) в составе JaCarta Management System 4LX, сертифицированной ФСТЭК России на соответствие четвёртому УД и техническим условиям (№ 4516 от 25.01.2022).

Больше информации о продукте — на сайте компании.

 

 

Indeed Access Manager

Программно-аппаратный комплекс реализует централизованные политики управления аутентификацией, технологию единой аутентификации во всех корпоративных сервисах и различные сценарии усиленной и многофакторной аутентификации. Включает модули: 

• Authentication Management.
• Multi-Factoring Authentication Provider (MFA-Provider).
• Enterprise Single Sign-On.
• Web Single Sign-On.
• Out of band (Mobile) Authentication.

Рисунок 17. Архитектура Indeed Access Manager

 

Особенности:

• Централизованная настройка провайдеров аутентификации Indeed AM в консоли управления.
• Все аутентификационные данные хранятся в защищённом хранилище.
• Пользовательская веб-консоль предоставляет сведения о выданных аутентификаторах и позволяет пользователю самостоятельно выпускать или отзывать их.
• Ролевая модель позволяет настроить полномочия сотрудников с разными должностными обязанностями и обеспечить, к примеру, полноценное разделение обязанностей между региональными и федеральными администраторами.

Indeed Access Manager включён в реестр отечественного ПО (№ 4993 от 03.12.2018). 

Больше информации о продукте — на сайте вендора.

 

 

MULTIFACTOR

MULTIFACTOR — система двухфакторной аутентификации и контроля доступа для любого удалённого подключения: RDP, VPN, VDI, SSH и других. В случае отказа облачного компонента MULTIFACTOR не блокирует доступ: в худшем случае аутентификация возвращается к базовому уровню, без применения второго фактора. Это позволяет исключить риск полной потери доступа к инфраструктуре.

Реализована поддержка технологии единого входа (SSO). Имеется портал самообслуживания (SelfService Portal, SSP), который реализует самостоятельное взаимодействие пользователей с системой — настройка и подтверждение второго фактора, смена пароля после прохождения полной аутентификации и другое. 

 

Рисунок 18. Личный кабинет администратора MULTIFACTOR

 

Особенности:

• Гарантируется высокая доступность, поддержка 24/7.
• Расположение облака MULTIFACTOR в дата-центрах DataLine, Selectel, Linx Cloud в Москве с многоуровневой физической защитой, резервными интернет-каналами и источниками питания.
• В MultiFactor Radius Adapter есть функция запроса второго фактора перед первым. Она помогает снять нагрузку с LDAP-каталога и защищает его в случае перебора паролей пользователей.
• Сервис MULTIFACTOR Directory Sync помогает синхронизировать учётные записи Active Directory с личным кабинетом MULTIFACTOR.
• Нет ограничений по количеству пользователей и ресурсов, гибкое лицензирование.

На Anti-Malware.ru опубликован обзор российской системы двухфакторной аутентификации MULTIFACTOR 2.2.

Решение включено в реестр отечественного ПО (№ 7046 от 07.10.2020). 

Обновления и другие актуальные материалы по продукту — на сайте компании.

 

 

Сервис «ID от Контур.Эгиды» 

Обеспечивает защиту учётных записей сотрудников (подключений через VPN, RDG, ActiveSync, ADFS (протоколы OpenID Connect, SAML)), защиту входа в Windows, OWA. Он доступен как в облачном, так и в серверном варианте. Облачная конфигурация развёрнута на территории России и обеспечивает уровень доступности 99,9 %. При использовании серверного варианта все данные пользователей хранятся внутри корпоративной сети. Возможны два режима эксплуатации: полностью изолированный и с поддержкой доставки пуш-уведомлений.

Сервис реализует несколько механизмов многофакторной аутентификации. Пользователю может быть направлено пуш-уведомление через приложение «Контур.Коннект», при получении которого подтверждение личности осуществляется нажатием кнопки. В качестве альтернативы могут использоваться одноразовые коды, генерируемые в мобильном приложении с заданным интервалом времени. При отсутствии возможности установки приложения предусмотрен вариант подтверждения через входящий телефонный вызов.

 

Рисунок 19. Пример набора сервисов в панели администратора «Контур.ID»

 

Узнать подробнее, как система двухфакторной аутентификации «Контур.ID» обеспечивает дополнительную защиту учётных записей сотрудников, снижает риски утечек и нелегитимного доступа к корпоративным ресурсам, можно в статье «Применение 2FA-системы “Контур.ID” в корпоративной среде».

Особенности:

• Возможно массовое подключение пользователей через файл с перечнем электронных адресов сотрудников.
• Сотрудник может самостоятельно привязывать или заменять устройство для подтверждения второго фактора.
• В качестве второго фактора могут использоваться звонки через собственную телефонию (для клиентов — бесплатно).
• Изменения в системе регистрируются в журнале событий.
• При обнаружении подозрительной активности, связанной с использованием одноразовых паролей, доступ к учётной записи временно блокируется. При повторении такой активности продолжительность блокировки увеличивается по нарастающей.

Система включена в реестр отечественного ПО (№ 25972 от 28.12.2024). 

Больше информации о ней — на сайте разработчика.

 

 

Blitz Identity Provider 

Сервер аутентификации Blitz Identity Provider предназначен для управления входом пользователей в приложения. Разворачивается на серверах организации и позволяет реализовать функции защиты учётных записей с учётом актуальных требований к безопасности. Обеспечивает выполнение всех ключевых задач в области идентификации, аутентификации, авторизации и аудита. Система подходит для защиты веб-сайтов, мобильных приложений и смарт-устройств, а также для организации доступа к инфраструктурным сервисам, включая SSH, RDP и VPN.

Поддерживается единый вход и многофакторная аутентификация. Реализована защита корпоративных веб-приложений и сервисов, включая управление доступом (Access Management) и защиту интерфейсов взаимодействия (API Security). Встроена поддержка многофакторной аутентификации с возможностью выбора наиболее подходящего способа подтверждения входа.

 

Рисунок 20. Просмотр событий безопасности в Blitz Identity Provider

 

О том, как упростить внедрение MFA в организации на примере Blitz Identity Provider, мы рассказали в статье «Многофакторная аутентификация как стандарт безопасности».

Особенности:

• Поддерживается более 20 современных способов аутентификации, включая вход с использованием квалифицированной электронной подписи (УКЭП) и возможность беспарольного доступа.
• Входы пользователей и доступы к приложениям и сервисам компании регистрируются.
• Наличие системы информирования пользователя о важных событиях с учётной записью.
• Реализована поддержка внешних систем идентификации, включая популярные в России социальные сети, а также доверенную аутентификацию через учётные записи банков и портал государственных услуг (ЕСИА).
• Настройка правил, устанавливающих, каким пользователям, при выполнении каких условий и с какими требованиями к уровню аутентификации, разрешён доступ к конкретным приложениям.

Система включена в реестр отечественного ПО (№ 842 от 20.05.2016), сертифицирована ФСТЭК России. 

Больше информации о ней можно найти на сайте вендора.

 

 

MFASOFT Secure Authentication Server

Программный комплекс MFASOFT Secure Authentication Server (SAS) предназначен для усиления защиты доступа к корпоративным устройствам и приложениям, таким, как серверы (шлюзы) VPN и RDP / VDI, веб-приложения, сервисы Linux (графический вход, sudo, ssh, xrdp и другое), средства управления привилегированным доступом (PAM) с помощью аутентификации по одноразовым паролям и пуш-уведомлениям. Для интеграции этих ресурсов в комплекс включены агенты для работы с протоколами RADIUS, SAML, OIDC, ADFS, LDAP в режиме прокси, а также собственный REST API. 

 

Рисунок 21. Веб-консоль управления SAS

 

Заметим, что на Anti-Malware.ru есть практическая статья «Многофакторная аутентификация: реализовываем на платформе Secure Authentication Server».

Решение можно развернуть локально в своей корпоративной сети, на хостинге в коммерческом ЦОДе или подключиться к публичному облаку одного из сервис-провайдеров MFASOFT. 

Многоуровневая мультиарендная (multi-tier multi-tenant) архитектура SAS позволяет определять на одном экземпляре решения автономные тенанты и распределять между ними пользователей и токены по любому принципу: географическому, функциональному, организационному, ролевому. Для каждого из этих тенантов можно задать свой набор целевых ресурсов и свои политики безопасности. Права управления тенантами (в том числе возможность создавать новые) можно делегировать сотрудникам своей или внешних организаций. 

Особенности:

• Мультиплатформенная модульная архитектура с контейнеризацией и дублированием компонентов.
• Управление с фокусом на автоматизацию и делегирование — автоназначение токенов и ролей пользователям, автоматизация отчётности, портал для самостоятельного выполнения пользователями типичных операций.
• Целостный подход к управлению жизненным циклом токенов: общий пул токенов, единые процедуры (распределение, выдача, активация, приостановка, отзыв), централизованные политики безопасности и ПИН-коды.

Комплекс включён в реестр отечественного ПО (№ 15554 от 18.11.2022) и сертифицирован ФСТЭК России по четвёртому уровню доверия.

Больше информации о SAS можно найти на сайте компании.

 

 

RED Security MFA 

RED Security MFA — сервис многофакторной аутентификации для защиты удалённого доступа. Решение обеспечивает полный жизненный цикл управления токенами одноразовых паролей (OTP). В качестве способов аутентификации доступны аппаратные и программные OTP-токены, а также подтверждение через СМС, голосовой вызов, коды в Telegram и электронную почту. Для контроля удалённых подключений предусмотрены возможности ведения журнала событий и централизованное управление через административный интерфейс.

 

Рисунок 22. Архитектурная схема RED Security MFA

 

Особенности:

• Поддержка более шести способов аутентификации, более пяти сценариев использования.
• Обеспечение единого входа в корпоративные системы.
• Интеграция со сторонними решениями через API.
• Возможно локальное развёртывание (в формате on-premise).

Больше сведений о сервисе можно получить на сайте компании.

 

 

RooX UIDM

RooX UIDM — российская платформа управления доступом с функциональностью IAM, MFA и IDM. Поддерживает методы аутентификации, которые можно комбинировать: пароль, OTP (СМС, имейл, пуш-уведомления), HOTP/TOTP и другие. Аутентификация может быть адаптивной.

Единый вход (SSO) обеспечивает централизованную аутентификацию. IDM реализует управление учётными данными пользователей, аутентификационной информацией и правами доступа. Возможна интеграция по LDAP-протоколу. Access Gateway выполняет проксирование доступа к легаси-системам с добавлением механизмов аутентификации и авторизации, что позволяет реализовать Zero Trust.

Реализованы функции логирования, контроля жизненного цикла учётных данных, интеграции с SIEM и внутренними системами ИБ. Внедрены инструменты управления рисками доступа (блокировка сессий, принудительная смена факторов, уведомления). Поддерживаются модели доступа RBAC и ABAC.

 

Рисунок 23. Возможности аутентификации в RooX UIDM

 

Особенности:

• Разворачивается как on-premise, так и в изолированных сегментах облаков.
• Поддерживает развитие силами как вендора, так и заказчика — можно дорабатывать пользовательские и административные интерфейсы, сценарии аутентификации и самообслуживания, обработчики событий жизненного цикла УЗ и сессий, модули интеграции, политики авторизации.
• Решение является полностью российской разработкой, не является надстройкой над open-source платформами. 

RooX UIDM включено в реестр отечественного ПО (№ 10504 от 06.05.2021).

Больше информации о нём можно узнать на сайте вендора.

Выводы

Текущие требования к информационной безопасности делают аутентификацию одним из ключевых элементов защиты корпоративных и государственных информационных систем. Российские разработчики адаптируются к этим требованиям, предлагая решения, способные заменить зарубежные аналоги в критически важных сегментах. 

Наблюдается устойчивый рост интереса к многофакторным схемам, биометрии и другим трендам. Параллельно усиливается поддержка со стороны государства — как в виде нормативных требований, так и через развитие инфраструктуры (например, ЕБС). Это создаёт условия для масштабного внедрения современных подходов к аутентификации в различных отраслях. Несмотря на сохраняющееся технологическое разнообразие и необходимость доработок в части совместимости, тренд на отказ от устаревших схем с применением только пароля — очевидный.