1. Основные определения информационной безопасности: информация, автоматизированная система обработки информации, информационная безопасность, конфиденциальность, целостность и доступность информации, угроза информационной безопасности, виды угроз.

Информация - сведения: о фактах, событиях, процессах и явлениях, о состоянии объектов (их свойствах, характеристиках) в некоторой предметной области, воспринимаемые человеком или специальным устройством и используемые (необходимые) для оптимизации принимаемых решений в процессе управления данными объектами. Информация может существовать в различных формах в виде совокупностей некоторых знаков (символов, сигналов и т.п.) на носителях различных типов.

Под автоматизированной системой обработки информации (АС) понимается организационно-техническая система, представляющая собой совокупность следующих взаимосвязанных компонентов:

- технических средств обработки и передачи данных;

- методов и алгоритмов обработки в виде соответствующего программного обеспечения;

- информации (массивов, наборов, баз данных) на различных носителях;

- персонала и пользователей системы, объединенных по организационно-структурному, тематическому, технологическому или другим признакам для выполнения автоматизированной обработки информации (данных) с целью удовлетворения информационных потребностей субъектов информационных отношений.

Информационная безопасность АС - состояние рассматриваемой автоматизированной системы, при котором она, с одной стороны, способна противостоять дестабилизирующему воздействию внешних и внутренних информационных угроз, а с другой - ее наличие и функционирование не создает информационных угроз для элементов самой системы и внешней среды.

Конфиденциальность – это субъективно определяемые свойства информации, указывающие на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации и обеспечиваемая способностью системы сохранять указанную информацию втайне от субъектов, не имеющих доступа полномочий к ней.

Целостность информации – это существование информации в неискажённом виде, то есть в неизменном по отношению к некоторому фиксированному состоянию.

Доступность – это свойство системы, которое циркулирует информацию, характеризуется способностью обеспечивать своевременных беспрепятственный доступ субъектов к интересующей их информации с учётом конфиденциальности.

Угроза - это потенциальная возможность определенным образом нарушить информационную безопасность.

Попытка реализации угрозы называется атакой, а тот, кто предпринимает такую попытку, - злоумышленником. Потенциальные злоумышленники называются источниками угрозы.

Угроза информационной безопасности - это возможность реализации воздействия на информацию, обрабатываемую в автоматизированной системе обработки информации, приводящего к искажению, к уничтожению, к копированию, к блокированию доступа, а также возможность воздействия на компоненты, автоматизированной системы обработки информации, приводящего к утрате, к уничтожению, или сбою функциональности носителя информации, средства взаимодействия и управления им.

Виды угроз информационной безопасности:

1. Угроза нарушения конфиденциальности возникает, когда секретная информация попадает в руки того, кто не имеет доступа к ней.

В терминах вычислительной техники - это возникновение в ситуации, когда получен доступ к информации, хранящейся или обрабатываемой в автоматизированной системе обработки информации или во время передач информации от одной системы к другой, то есть в момент сетевого обмена для этой угрозы существует распространенный синоним - утечка.

2. Угроза нарушения целостности - это действия, направленные на несанкционированное изменение информации. Угроза нарушения целостности также может возникать из-за различных аппаратных и программных средств автоматизированной системы обработки информации. Поэтому аппаратные средства проходят процедуру сертификации и только на основе сертификационных средств, возможно создание защищенных систем.

3. Угроза отказа служб. Возникает данная угроза, когда создаются препятствия для использования ресурсов информационных систем легальными пользователями. Результатом реализации данной угрозы может являться полное блокирование ресурса. Блокирование на определенный срок, замедление информационного обмена.

4. Угроза раскрытия параметров системы. Данная угроза является опосредованной. Впоследствии ее реализации не причиняют ущерба информации, но дают возможность реализовать 3 основных типа угроз.

2. Уровни доступа к информации в системе обработки информации и структуризация методов обеспечения информационной безопасности.

При рассмотрении вопросов защиты АС целесообразно использовать четырехуровневую градацию доступа к хранимой, обрабатываемой и защищаемой АС информации. Такая градация доступа поможет систематизировать как возможные угрозы, так и меры по их нейтрализации и парированию, т. е. поможет систематизировать весь спектр методов обеспечения защиты, относящихся к информационной безопасности. Это следующие уровни доступа:

• уровень носителей информации;

• уровень средств взаимодействия с носителем;

• уровень представления информации;

• уровень содержания информации.

Введение этих уровней обусловлено следующими соображениями.

• Во-первых, информация для удобства манипулирования чаще всего фиксируется на некотором материальном носителе, которым может быть дискета или что-нибудь подобное.

• Во-вторых, если способ представления информации таков, что она не может быть непосредственно воспринята человеком, возникает необходимость в преобразователях информации в доступный для человека способ представления. Например, для чтения информации с дискеты необходим компьютер, оборудованный дисководом соответствующего типа.

• В-третьих, как уже было отмечено, информация может быть охарактеризована способом своего представления: языком символов, языком жестов и т. п.

• В-четвертых, человеку должен быть доступен смысл представленной информации, ее семантика.

Задача обеспечения информационной безопасности должна решаться системно. Это означает, что различные

средства защиты (аппаратные, программные, физические, организационные и т. д.) должны применяться одновременно и под централизованным управлением. При этом компоненты системы должны «знать» о существовании друг друга, взаимодействовать и обеспечивать защиту как от внешних, так и от внутренних угроз.

На сегодняшний день существует большой арсенал методов обеспечения информационной безопасности:

1.средства идентификации и аутентификации пользователей ;

2.средства шифрования информации, хранящейся на компьютерах и передаваемой по сетям;

3.межсетевые экраны;

4.виртуальные частные сети;

5.средства контентной фильтрации;

6.инструменты проверки целостности содержимого дисков;

7.средства антивирусной защиты;

8.системы обнаружения уязвимостей сетей и анализаторы сетевых атак.

Каждое из перечисленных средств может быть использовано как самостоятельно, так и в интеграции с другими. Это делает возможным создание систем информационной защиты для сетей любой сложности и конфигурации, не зависящих от используемых платформ.

3. Основные направления реализации угроз информационной безопасности.

1. Непосредственное обращение к объектам доступа

2. Создание программных и аппаратных средств, выполняющих обращение к объектам доступа в обход системы защиты.

3. Модификация средств защиты, позволяющая реализовать угрозы информационной безопасности.

4. Внедрение в технологические средства информационной системы программных и технических механизмов, нарушаемых предполагаемую структуру и функции информационной системы.

4. Основные методы реализации угроз информационной безопасности.

К числу основных методов реализации угроз информационной безопасности АС относятся:

• определение злоумышленником типа и параметров носителей информации;

• получение злоумышленником информации о программно-аппаратной среде, типе и параметрах средств вычислительной техники, типе и версии операционной системы, составе прикладного программного обеспечения;

• получение злоумышленником детальной информации о функциях, выполняемых АС;

• получение злоумышленником данных о применяемых системах защиты;

• определение способа представления информации;

• определение злоумышленником содержания данных, обрабатываемых в АС, на качественном уровне (применяется для мониторинга АС и для дешифрования сообщений);

• хищение (копирование) машинных носителей информации, содержащих конфиденциальные данные;

• использование специальных технических средств для перехвата побочных электромагнитных излучений и наводок (ПЭМИН) - конфиденциальные данные перехватываются злоумышленником путем выделения информативных сигналов из электромагнитного излучения и наводок по цепям питания средств вычислительной техники, входящей в АС;

• уничтожение средств вычислительной техники и носителей информации;

• хищение (копирование) носителей информации;

• несанкционированный доступ пользователя к ресурсам АС в обход или путем преодоления систем защиты с использованием специальных средств, приемов, методов;

• несанкционированное превышение пользователем своих полномочий;

• несанкционированное копирование программного обеспечения;

• перехват данных, передаваемых по каналам связи;

• визуальное наблюдение - конфиденциальные данные считываются с экранов терминалов, распечаток в процессе их печати и т.п.;

• раскрытие представления информации (дешифрование данных);

• раскрытие содержания информации на семантическом уровне - доступ к смысловой составляющей информации, хранящейся в АС;

• уничтожение машинных носителей информации;

• внесение пользователем несанкционированных изменений в программно-аппаратные компоненты АС и обрабатываемые данные;

• установка и использование нештатного аппаратного и/или программного обеспечения;

• заражение программными вирусами;

• внесение искажений в представление данных, уничтожение данных на уровне представления, искажение информации при передаче по линиям связи;

• внедрение дезинформации;

• выведение из строя машинных носителей информации без уничтожения информации - выведение из строя электронных блоков накопителей на жестких дисках и т. п.;

• проявление ошибок проектирования и разработки аппаратных и программных компонентов АС;

• обход (отключение) механизмов защиты - загрузка злоумышленником нештатной операционной системы с дискеты, использование отладочных режимов программно-аппаратных компонент АС и т.п.;

• искажение соответствия синтаксических и семантических конструкций языка - установление новых значений слов, выражений и т.п.;

• запрет на использование информации - имеющаяся информация по каким-либо причинам не может быть использована.

5. Основные принципы обеспечения информационной безопасности.

Построение системы обеспечения безопасности информации в АС и ее функционирование должны осуществляться в соответствии со следующими основными принципами:

1. Законность - Предполагает осуществление защитных мероприятий и разработку системы безопасности информации в АС в соответствии с действующим законодательством в области информации, информатизации и защиты информации, других нормативных актов по безопасности.

2. Системность - Системный подход к защите информации в АС предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов.

Должны учитываться все слабые и наиболее уязвимые места системы, возможные объекты и направления атак. Система защиты должна строиться с учетом возможности появления принципиально новых путей реализации угроз безопасности.

3. Комплексность - Комплексное использование методов и средств защиты компьютерных систем предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные каналы реализации угроз. Защита должна строиться эшелонировано. Главное - защитить ОС, т.к. это та часть компьютерной системы, которая управляет использованием всех ее ресурсов.

4. Непрерывность защиты - Защита информации – это непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла АС, начиная с самых ранних стадий проектирования. 

5. Своевременность - Разработка системы защиты должна вестись параллельно с разработкой и развитием самой защищаемой системы. Это позволит учесть требования безопасности при проектировании архитектуры и, в конечном счете, создать более эффективные (как по затратам ресурсов, так и по стойкости) защищенные системы.  

6. Преемственность и совершенствование - Предполагают постоянное совершенствование мер и средств защиты информации на основе преемственности организационных и технических решений.  

7. Разделение функций - Принцип Разделения функций требует, чтобы ни один сотрудник организации не имел полномочий, позволяющих ему единолично осуществлять выполнение критичных операций.

8. Разумная достаточность (экономическая целесообразность, сопоставимость возможного ущерба и затрат) - Используемые меры и средства обеспечения безопасности информационных ресурсов не должны заметно ухудшать эргономические показатели работы АС, в которой эта информация циркулирует. 

9. Персональная ответственность - Предполагает возложение ответственности за обеспечение безопасности информации и системы ее обработки на каждого сотрудника в пределах его полномочий. Чтобы в случае любого нарушения круг виновников был четко известен или сведен к минимуму.  

10. Минимизация полномочий - Доступ к информации должен предоставляться только в том случае и объеме, в каком это необходимо сотруднику для выполнения его должностных обязанностей.  

11. Гибкость системы защиты - В таких ситуациях изменения требований это свойство гибкости системы защиты избавляет владельцев АС от необходимости принятия кардинальных мер по полной замене средств защиты на новые.

12. Открытость алгоритмов и механизмов защиты - Суть принципа открытости алгоритмов и механизмов защиты состоит в том, что защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. 

13. Простота применения средств защиты - Механизмы защиты должны быть интуитивно понятны и просты в использовании.  

14. Научная обоснованность и техническая реализуемость - Информационные технологии должны быть реализованы на современном уровне развития науки и техники, научно обоснованы и должны соответствовать установленным нормам и требованиям по безопасности информации.

15. Специализация и профессионализм - Реализация административных мер и эксплуатация средств защиты должна осуществляться профессионально подготовленными сотрудниками (специалистами подразделений обеспечения безопасности информации).

16. Взаимодействие и координация - Предполагают осуществление мер обеспечения безопасности информации на основе взаимодействия всех заинтересованных министерств и ведомств.

17. Обязательность контроля - Контроль над деятельностью любого пользователя, каждого средства защиты и в отношении любого объекта защиты должен осуществляться на основе применения средств оперативного контроля и регистрации и должен охватывать как несанкционированные, так и санкционированные действия пользователей.

6. Основные направления обеспечения информационной безопасности.

Выделяются 3 основных направления:

1. правовая защита;

2. организационно – методическая защита;

3. инженерно – техническая защита.

7. Правовая защита информации. Понятие коммерческой тайны.

Правовая защита – это специальные законы, нормативные акты, правила и процедуры, обеспечивающие защиту информации на правовом уровне.

Согласно принципу непрерывности и комплексности защиты информации требования об информационной защите должны включаться во все уровни законодательств.

Основные законодательные акты в сфере защиты информации:

1. «об информации, информатизации и защите информации»;

2. «об участии в международном информационном обмене»;

3. «по связи»;

4. «об авторском праве и смежных правах»;

5. «о государственной тайне»;

6. «о коммерческой тайне»;

7. «о правовой охране программ ЭВМ и топологии микросхем»;

8. «об органах государственной безопасности»;

9. «о создании гос. тех. комиссии при президенте РФ» - основной орган.

Кроме того, в области правовой защиты информации существуют государственные стандарты: «Средства вычислительной техники» защита от несанкционированного доступа к информации; «Система обработки информации» защита криптографическая, алгоритм криптографического преобразования; «Процедура выработки и проверки электронной подписи на базе ассиметричного криптографического алгоритма»; «Противодействия инженерно – технической разведки. Термины и определения».

Коммерческая тайна – это не являющиеся государственными секретами сведения, связанные с производством, технологией, управлением, финансами и другой деятельностью, разглашение которой может понести ущерб их владельцам.

К коммерческой тайне относятся:

1. охраняемые государственные сведения;

2. общеизвестные на законных основаниях сведения;

3. общедоступные патенты;

4. товарные знаки и т. п.;

5. учредительные документы и сведения о хозяйственной деятельности;

6. сведения о негативной стороне деятельности.

8. Организационная защита информации. Основные задачи службы безопасности предприятия.

Это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерный доступ к конфиденциальной информации и проявление внутренних и внешних угроз.

Организационные меры:

- организация охраны и режима: При создании охраны и режима необходимо предусмотреть необходимость создания специальных производственных зон для работы с конфиденциальной информацией.

- организация работы сотрудников: Включает в себя подбор и расстановку персонала, обучение его правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение защиты информации на предприятии.

- организационная работа с документами, документированной информацией и их носителями: Сюда относится организация разработки и использования документов и их носителей, их учёт, использование, возврат, хранение и уничтожение.

- организация использования технических средств сбора, обработки, накопления и хранения информации.

- организация работ по анализу внутренних и внешних угроз и выработки мер по защите.

- организация работ по проведению систематического контроля над работой персонала с конфиденциальной информацией, порядком учёта, хранения и уничтожения документов и технических средств.

Всю организационную работу по защите информации должна проводить специально выделенная в составе предприятия служба безопасности. Подчиняется служба безопасности непосредственно руководителю предприятия.

Организационно служба безопасности должна состоять из: подразделения режима и охраны, подразделения обработки документов конфиденциального характера, инженерно-технического подразделения, информационно-аналитического подразделения.

К основным документам, которые должны разработать служба безопасности на любом предприятии, относятся:

• Положение о сохранении конфиденциальности информации;

• Перечень сведений составляющих конфиденциальную информацию;

• Инструкция о порядке допуска сотрудников к сведениям составляющих конфиденциальную информацию;

• Положение о специальном делопроизводстве и документообороте;

• Перечень сведений разрешённых к опубликованию в открытой печати;

• Обязательство сотрудника о сохранении конфиденциальности информации;

• Памятка сотруднику о сохранении коммерческой тайны.

9. Инженерно-техническая защита информации. Физические методы ИТЗИ.

ИТЗИ – это совокупность специальных органов, технических средств и мероприятий по их использованию в интересах защиты конфиденциальной информации.

По функциональному назначению средства ИТЗИ делятся на 3 основных вида:

1. физические;

2. аппаратные;

3. программные.

Физические методы ИТЗИ – это разнообразные устройства, приспособления, конструкции или изделия, предназначенные для создания препятствий на пути движения злоумышленников или выполнение против них противоправных действий.

Задачи средств физической защиты:

1. охрана территорий и наблюдение за ними;

2. охрана зданий, внутренних помещений и контроль над ними;

3. охрана оборудования, продукции, финансов и информации;

4. осуществление контролируемого доступа в здание и помещения.

Все физические средства защиты можно разделить на 3 группы:

1. предупреждение (система контроля доступа);

2. обнаружение;

3. ликвидация угроз.

10. Аппаратные средства ИТЗИ.

Аппаратные средства защиты – это технические конструкции, обеспечивающие пресечение разглашения, защиты информации от утечки и противодействия несанкционированному доступу к источникам информации.

Применяются для решения следующих задач:

1. проведение специальных исследований технических средств обеспечения производственной деятельности на наличие возможных каналов утечки информации;

2. выявление каналов утечки информации на объектах и в помещении;

3. локализация каналов утечки;

4. поиск и обнаружение средств промышленного шпионажа.

По функциональному назначению делятся на:

1. средства обнаружения;

2. средства поиска и детальных измерений;

3. средства активного и пассивного противодействия.

11. Программные средства ИТЗИ.

Средства программной защиты – это ПО, предназначенное для защиты от типовых угроз информационной безопасности (такие как угроза несанкционированного доступа, угроза раскрытия параметров системы и т. д.).

Классификация средств программной защиты:

1. средства собственной защиты – это средства, внедрённые в конкретном программном продукте;

2. средства защиты в составе вычислительной системы – это средства защиты различного вида аппаратуры (напр., жёсткие диски);

3. средства защиты с запросом информации – это парольные системы и другие программные решения, которые требуют от пользователя ввода секретной информации в различные моменты времени;

4. средства активной защиты – это программные механизмы, инициирующиеся при возникновении какой-либо угрозы (напр., ввод неправильного пароля, попытка сканирования и т. д.);

5. средства пассивной защиты – это программные механизмы, направляемые на предупреждение, контроль, сбор улик и доказательств с целью создания обстановки неотвратимого раскрытия нарушения информационной безопасности.

Основные направления средств программной защиты:

1. защита информации от несанкционированного доступа;

2. защита информации от копирования;

3. защита информации от разрушения;

4. защита самих программ от копирования;

5. защита программ от разрушения;

6. защита каналов связи.

Для 1, 2 и 4 используются следующие виды программной защиты:

1. идентификация технических средств, файлов и аутентификация пользователей;

2. регистрация контроля работы технических средств и пользователей;

3. обслуживание режимов обработки информации ограниченного пользования;

4. защита операционных средств ЭВМ и прикладных программ пользователей;

5. уничтожение информации на защищённых устройствах после использования;

6. сигнализации нарушений использования ресурсов.

Защита информации от разрушений и защита самих программ от разрушений наиболее часто реализуется с помощью антивирусных пакетов.

Ещё одним средством защиты информации от разрушений являются системы контроля версий.

12. Системы аутентификации и идентификации. Основные требования к паролям, используемым в системе информационной безопасности.

Идентификация позволяет субъекту (пользователю, процессу, действующему от имени определенного пользователя, или иному аппаратно-программному компоненту) назвать себя (сообщить свое имя). Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает. В качестве синонима слова "аутентификация" иногда используют словосочетание "проверка подлинности".

Современные СИА по виду используемых идентификационных признаков разделяются на электронные, биометрические и комбинированные (см. рис. 1).

Рисунок 1 — Классификация СИА по виду идентификационных признаков

В электронных системах идентификационные признаки представляются в виде цифрового кода, хранящегося в памяти идентификатора. Такие СИА разрабатываются на базе следующих идентификаторов:

контактных смарт-карт;

бесконтактных смарт-карт;

USB-ключей (другое название — USB-токенов);

идентификаторов iButton.

В биометрических системах идентификационными признаками являются индивидуальные особенности человека, называемые биометрическими характеристиками. В зависимости от вида используемых характеристик биометрические системы делятся на статические и динамические.

Статическая биометрия (также называемая физиологической) основывается на данных, получаемых из измерений анатомических особенностей человека (отпечатки пальцев, форма кисти руки, узор радужной оболочки глаза, схема кровеносных сосудов лица, рисунок сетчатки глаза, черты лица, фрагменты генетического кода и др.).

Динамическая биометрия (также называемая поведенческой) основывается на анализе совершаемых человеком действий (параметры голоса, динамика и форма подписи).

В комбинированных системах для идентификации используется одновременно несколько идентификационных признаков. Такая интеграция позволяет воздвигнуть перед злоумышленником дополнительные преграды, которые он не сможет преодолеть, а если и сможет, то со значительными трудностями.

В комбинированных системах для идентификации используется одновременно несколько идентификационных признаков. Такая интеграция позволяет воздвигнуть перед злоумышленником дополнительные преграды, которые он не сможет преодолеть, а если и сможет, то со значительными трудностями. Разработка комбинированных систем осуществляется по двум направлениям:

• интеграция идентификаторов в рамках системы одного класса;

• интеграция систем разного класса.

В первом случае для защиты компьютеров от НСД используются системы, базирующиеся на бесконтактных смарт-картах и USB-ключах, а также на гибридных (контактных и бесконтактных) смарт-картах. Во втором случае разработчики умело «скрещивают» биометрические и электронные СИА (далее в статье такой конгломерат называется биоэлектронной системой идентификации и аутентификации).

13. Системы аутентификации и идентификации, построенные по технологии единого входа: реализации, преимущества и недостатки.

Технология единого входа (англ. Single Sign On) — технология, при использовании которой пользователь переходит из одного раздела портала в другой без повторной аутентификации.

Например, если на веб-портале существует несколько обширных независимых разделов (форум, чат, блог и т. д.) то, пройдя процедуру аутентификации в одном из сервисов, человек автоматически получает доступ ко всем остальным, что избавляет его от многократного ввода данных своей учётной записи.

Реализация

Kerberos;

Kerberos — сетевой протокол аутентификации, позволяющий передавать данные через незащищённые сети для безопасной идентификации. Он ориентирован в первую очередь на клиент-серверную модель и обеспечивает взаимную аутентификацию — оба пользователя через сервер подтверждают личности друг друга. Данная модель является одним из вариантов Нидхем-Шрёдер-протокола аутентификации на основе доверенной третьей стороны и его модификациях, предложенных Denning и Sacco

Смарт-карты;

Смарт-карты представляют собой пластиковые карты со встроенной микросхемой В большинстве случаев смарт-карты содержат микропроцессор и операционную систему, контролирующую устройство и доступ к объектам в его памяти. Кроме того, смарт-карты, как правило, обладают возможностью проводить криптографические вычисления.

Одноразовые пароли;

Одноразовый пароль— это пароль, действительный только для одного сеанса аутентификации. Действие одноразового пароля также может быть ограничено определённым промежутком времени. Преимущество одноразового пароля по сравнению со статическим состоит в том, что пароль невозможно использовать повторно. Таким образом, злоумышленник, перехвативший данные из успешной сессии аутентификации, не может использовать скопированный пароль для получения доступа к защищаемой информационной системе. Использование одноразовых паролей само по себе не защищает от атак, основанных на активном вмешательстве в канал связи, используемый для аутентификации (например, от атак типа «человек посередине»).

Встроенная аутентификация Windows.

Преимущества

К основным преимуществам технологии единого входа относятся:

уменьшение парольного хаоса между различными комбинациями имени пользователя и пароля;

уменьшение времени на повторный ввод пароля для одной и той же учетной записи;

поддержка традиционных механизмов аутентификации, таких как имя пользователя и пароль;

снижение расходов на IT-службу за счёт уменьшения количества запросов по восстановлению забытых паролей;

обеспечение безопасности на каждом уровне входа/выхода/доступа к системе без причинения неудобств пользователям.

В технологии единого входа применяются централизованные серверы аутентификации, используемые другими приложениями и системами, которые обеспечивают ввод пользователем своих учётных данных только один раз.

Недостатки

Некоторыми экспертами в качестве главного недостатка технологии единого входа отмечается увеличивающаяся важность единственного пароля, при получении которого злоумышленник обретает доступ ко всем ресурсам пользователя, использующего единый вход. Поставщики менеджеров паролей также отмечают использование различных паролей к разным информационным ресурсам как более надёжное решение по сравнению с технологией единого входа.