Što je provjera autentičnosti?
Saznajte kako se identiteti korisnika, aplikacija i servisa potvrđuju prije nego što im se odobri pristup digitalnim sustavima i resursima.
Definicija provjere autentičnosti
Provjera autentičnosti postupak je koji tvrtke koriste da bi pristup resursima tvrtke ili ustanove omogućili samo odgovarajućim osobama, servisima i aplikacijama s odgovarajućim dozvolama. Ona je važan dio računalne sigurnosti jer je glavni prioritet zlonamjernih korisnika dobivanje neovlaštenog pristupa sustavima. To postižu krađom korisničkih imena i lozinki korisnika koji imaju pristup. Postupak provjere autentičnosti obuhvaća tri glavna koraka:
- Utvrđivanje identiteta: korisnici daju do znanja tko su, obično putem korisničkog imena.
- Provjera autentičnosti: korisnici obično dokazuju da su oni za koje se predstavljaju unosom lozinke (podatka koji bi samo korisnik trebao znati), ali da bi povećale razinu sigurnosti, mnoge tvrtke i ustanove traže da korisnici identitet dokažu uz pomoć nečeg u svom posjedu (telefona ili hardverskog uređaja) ili nečeg karakterističnog za sebe (skeniranjem otiska prsta ili lica).
- Autorizacija: sustav potvrđuje da korisnici imaju dozvolu za sustav kojem pokušavaju pristupiti.
Zašto je provjera autentičnosti važna?
Provjera autentičnosti važna je jer tvrtkama i ustanovama omogućuje da svoje sustave, podatke, mreže, web-mjesta i aplikacije zaštiti od napada. Uz to, korisnicima omogućuje zaštitu povjerljivosti njihovih osobnih podataka radi obavljanja poslovnih transakcija, npr. bankovnih ili ulagačkih, putem interneta uz manje rizika. Kada su postupci provjere autentičnosti slabi, napadač može lakše ugroziti račun bilo tako da pogodi lozinku korisnika ili tako da ga na prijevaru navede da mu je da. Posljedica toga mogu biti sljedeći rizici:
- Kršenje sigurnosti ili izvlačenje podataka.
- Instalacija zlonamjernog softvera, kao što je ucjenjivački softver.
- Neusklađenost s propisima o zaštiti privatnosti podataka u regiji ili gospodarskoj grani.
Kako provjera autentičnosti funkcionira
Za korisnike provjera autentičnosti podrazumijeva postavljanje korisničkog imena, lozinke i drugih načina provjere autentičnosti, kao što su skeniranje lica, otisak prsta ili PIN. Radi zaštite identiteta, nijedan od tih načina provjere autentičnosti ne sprema se u bazu podataka servisa. Lozinke se raspršuju (ne šifriraju se) i raspršene se lozinke spremaju u bazu podataka. Kada korisnik unese lozinku, raspršuje se i unesena lozinka, a zatim se raspršene lozinke uspoređuju. Ako se dvije raspršene lozinke podudaraju, pristup se odobrava. Za skeniranje otiska prsta i lica podaci se kodiraju, šifriraju i spremaju na uređaj.
Vrste provjere autentičnosti
U modernoj provjeri autentičnosti postupak se delegira na pouzdani, zasebni sustav za identitete, za razliku od klasične provjere autentičnosti, kod koje svaki sustav sam provjerava identitete. Došlo je i do promjene vrste načina provjere autentičnosti koji se upotrebljavaju. Većina aplikacija traži korisničko ime i lozinku, ali budući da su zlonamjerni korisnici postali vještiji u krađi lozinki, zajednica stručnjaka za sigurnost razvila je nekoliko novih načina zaštite identiteta.
Provjera autentičnosti utemeljena na lozinkama
Provjera autentičnosti utemeljena na lozinkama najčešći je oblik provjere autentičnosti. Mnoge aplikacije i servisi od korisnika traže da stvore lozinke koje koriste kombinaciju brojeva, slova i simbola da bi se smanjila opasnost da ih zlonamjerni korisnik pogodi. No lozinke uzrokuju i izazove u pogledu sigurnosti i upotrebljivosti. Korisnicima je teško smisliti i zapamtiti jedinstvenu lozinku za svaki internetski račun, pa zato često koriste iste lozinke. Napadači koriste brojne taktike za pogađanje ili krađu lozinki ili pak navođenje korisnika da im ih otkriju, a da toga nisu ni svjesni. Zato tvrtke i ustanove s lozinki prelaze na sigurnije načine provjere autentičnosti.
Provjera autentičnosti utemeljena na certifikatima
Provjera autentičnosti utemeljena na certifikatima šifrirana je metoda koja uređajima i korisnicima omogućuje da se identificiraju drugim uređajima i sustavima. Dva su uobičajena primjera pametna kartica ili kada zaposlenikov uređaj šalje digitalni certifikat mreži ili poslužitelju.
Biometrijska provjera autentičnosti
Kod biometrijske provjere autentičnosti korisnici svoj identitet potvrđuju uz pomoć bioloških obilježja. Na primjer, mnogi korisnici koriste otisak prsta za prijavu na svoje telefone i neka računala skeniraju lice ili mrežnicu korisnika da bi provjerili njegov identitet. Uz to, biometrijski su podaci povezani s određenim uređajem, pa ih napadači ne mogu koristiti, a da ne ostvare pristup uređaju. Ta je vrsta provjere autentičnosti sve popularnija jer je jednostavna za korisnike, a napadačima otežava krađu, pa je sigurnija od lozinki.
Provjera autentičnosti utemeljena na tokenima
Kod provjere autentičnosti utemeljene na tokenima i uređaj i sustav svakih 30 sekundi generiraju novi jedinstveni broj pod nazivom vremenski ograničeni jednokratni PIN (TOTP). Ako se brojevi podudaraju, sustav potvrđuje da korisnik ima uređaj.
Jednokratna lozinka
Jednokratne lozinke (OTP-ovi) kodovi su koji se generiraju za određeni događaj prijave i koji istječu ubrzo nakon što se izdaju. Isporučuju se putem SMS poruka, poruka e-pošte ili hardverskog tokena.
Automatske obavijesti
Neke aplikacije i servisi za provjeru autentičnosti korisnika koriste automatske obavijesti. U tim slučajevima korisnici na telefonu primaju poruku u kojoj se traži da odobre ili odbiju zahtjev za pristup. Budući da korisnici katkad nehotice odobre automatske obavijesti premda se pokušavaju prijaviti na servise koji su poslali obavijest, ta se metoda katkad kombinira s metodom OTP-a. Uz OTP sustav generira jedinstveni broj koji korisnik mora unijeti. Na taj je način provjera autentičnosti otpornija na krađu identiteta.
Govorna provjera autentičnosti
Kod govorne provjere autentičnosti osoba koja pokušava pristupiti servisu prima telefonski poziv u kojem se traži da unesu kod ili da se govorno identificiraju.
Višestruka provjera autentičnosti
Jedan od najboljih načina sprječavanja ugrožavanja računa jest zahtijevanje dvaju ili više načina provjere autentičnosti, koji mogu obuhvaćati bilo koje od prethodno navedenih načina. Najbolja je učinkovita praksa zahtijevanje nečeg od sljedećeg:
- nečeg što korisnik zna, obično lozinke
- nečeg što korisnik ima, npr. pouzdanog uređaja koji se ne može jednostavno duplicirati, kao što je telefon ili hardverski token
- nečeg što obilježava korisnika, npr. otiska prsta ili skena lica
Na primjer, mnoge tvrtke i ustanove traže lozinku (nešto što korisnik zna) i uz to putem SMS-a šalju OTP na pouzdani uređaj (nešto što korisnik ima) prije nego što dopuste pristup.
Dvostruka provjera autentičnosti
Dvostruka provjera autentičnosti vrsta je višestruke provjere autentičnosti koja zahtijeva dva oblika provjere autentičnosti.
Premda se provjera autentičnosti, koja se katkad naziva i AuthN, i autorizacija, koja se katkad naziva i AuthZ, često koriste kao sinonimi, radi se o dvije povezane, ali različite stvari. Provjerom autentičnosti potvrđuje se da je osoba koja se prijavljuje ona za koju se predstavlja, dok se autorizacijom potvrđuje da ta osoba ima odgovarajuće dozvole za pristup željenim podacima. Na primjer, netko iz odjela za ljudske resurse može imati pristup povjerljivim sustavima, kao što su plaće ili podaci o zaposlenicima, koje drugi korisnici ne mogu vidjeti. Provjera autentičnosti i autorizacija ključne su za omogućivanje produktivnosti i zaštitu povjerljivih podataka, intelektualnog vlasništva i privatnosti.
Najbolje prakse za sigurnost provjere autentičnosti
Budući da je ugrožavanje računa vrlo čest način na koji napadači ostvaruju neovlašteni pristup resursima tvrtke, važno je uspostaviti jaku sigurnost provjere autentičnosti. Nekoliko stvari koje možete učiniti da biste zaštitili tvrtku ili ustanovu:
-
Implementirajte višestruku provjeru autentičnosti
Najvažnije što možete učiniti da biste smanjili rizik od ugrožavanja računa jest uključivanje višestruke provjere autentičnosti i zahtijevanje najmanje dva načina provjere autentičnosti. Napadačima je mnogo teže ukrasti više od jednog načina provjere autentičnosti, a posebice ako je jedan od njih biometrijska provjera autentičnosti ili nešto u posjedu korisnika, npr. uređaj. Da bi se zaposlenicima cijeli postupak maksimalno pojednostavnio, klijenti i partneri na izbor im nude nekoliko različitih načina provjere autentičnosti. No važno je imati na umu da nisu svi načini provjere autentičnosti jednaki. Neki su sigurniji od drugih. Na primjer, premda je primanje SMS-a bolje od ničeg, automatska je obavijesti sigurnija.
-
Prijeđite na prijavu bez lozinki
Kada postavite višestruku provjeru autentičnosti, možete čak ograničiti korištenje lozinki i potaknuti korisnike na korištenje dvaju ili više drugih načina provjere autentičnosti, kao što su PIN i biometrijska provjera autentičnosti. Smanjenjem korištenja lozinki i prelaskom na prijavu bez lozinki optimizirat će se postupak prijave i smanjiti rizik od ugrožavanja računa.
-
Primjena zaštite pomoću lozinke
Osim educiranja zaposlenika, dostupni su alati koje možete koristiti da biste smanjili korištenje lozinki koje je lako pogoditi. Rješenja zazaštitu pomoću lozinke omogućuju zabranu često korištenih lozinki kao što je Lozinka1. Možete stvoriti i prilagođeni popis specifičan za svoju tvrtku ili regiju, npr. popis naziva lokalnih sportskih klubova ili znamenitosti.
-
Omogućivanje višestruke provjere autentičnosti utemeljene na riziku
Neki događaji provjere autentičnosti pokazatelji su ugrožavanja, npr. kada zaposlenik pokuša pristupiti mreži s novog uređaja ili neobične lokacije. Drugi događaji prijave možda nisu neuobičajeni, ali predstavljaju veći rizik, npr. kada stručnjak odjela za ljudske resurse mora pristupiti podacima koji otkrivaju identitet zaposlenika. Da biste smanjili rizik, konfigurirajte svoje rješenje za upravljanje identitetima i pristupom (IAM) tako da zahtijeva najmanje dva načina provjere autentičnosti kada otkrije te vrste događaja.
-
Davanje prioriteta upotrebljivosti
Za učinkovitu sigurnost potreban je pristanak zaposlenika i drugih zainteresiranih strana. Pravilnici o sigurnosti katkad zaposlenicima onemogućuju upuštanje u rizične aktivnosti na internetu, ali ako su pravilnici prestrogi, zaposlenici će naći zaobilazno rješenje. Najbolja su rješenja ona koja se prilagođavaju očekivanom ljudskom ponašanju. Implementirajte značajke kao što je samostalno vraćanje izvorne lozinke da korisnici ne moraju zvati službu za korisnike kada zaborave lozinku. To ih može potaknuti da odaberu jaču lozinku jer znaju da će moći lako vratiti izvornu lozinku ako je zaborave. Dopuštanje korisnicima da odaberu način provjere autentičnosti koji im najviše odgovara još je jedan dobar način pojednostavnjivanja prijave.
-
Implementacija jedinstvene prijave
Jedinstvena prijava (SSO)odlična je značajka koja poboljšava upotrebljivost i pridonosi sigurnosti. Nitko ne voli unositi lozinku pri svakoj promjeni aplikacije, što može dovesti do korištenja iste lozinke na više računa radi uštede vremena. Uz jedinstvenu prijavu zaposlenici se moraju prijaviti samo jedanput da bi pristupili većini aplikacija koje su im potrebne za rad ili svima. Time se smanjuje otpor i omogućuje primjena univerzalnih ili uvjetnih pravilnika o sigurnosti, kao što je višestruka provjera autentičnosti, na sav softver koji zaposlenici koriste.
-
Koristite načelo najniže razine ovlasti
Ograničite broj računa s ovlastima na temelju uloga i zaposlenicima dajte najmanje ovlasti koje su im potrebne za rad. Uvođenjem kontrole pristupa jamči se da će manje zaposlenika moći pristupati ključnim podacima i sustavima. Kada netko mora obaviti neki povjerljivi zadatak, uz pomoć upravljanja pristupom s ovlastima, kao što je pristup točno na vrije s vremenskim ograničenjima, da biste dodatno smanjili rizik. Korisno je i zahtijevati da se administrativne aktivnosti provode isključivo na vrlo sigurnim uređajima koji su odvojeni od računala koje zaposlenici koriste za svakodnevne zadatke.
-
Pretpostavite kršenje sigurnosti i provodite redovite nadzore
U mnogim se tvrtkama i ustanovama redovito mijenjaju uloge i status zaposlenja zaposlenika. Zaposlenici napuštaju tvrtku ili prelaze iz jednog odjela u drugi. Partneri ulaze u projekte i izlaze iz njih. To može biti problem kada pravila o pristupu ne prate zbivanja. Važno je pobrinuti se da zaposlenici ne zadrže pristup sustavima i datotekama koji im nisu više potrebni za rad. Da biste smanjili rizik da napadač dođe do povjerljivih podataka, koristite rješenje za upravljanje identitetima da biste dosljedno nadzirali račune i uloge. Ti vam alati omogućuju da zaposlenicima ograničite pristup samo na ono što im je potrebno i da se pobrinete da računi zaposlenika koji su otišli iz tvrtke ili ustanove ne budu više aktivni.
-
Zaštita identiteta od prijetnji
Rješenja zaupravljanje identitetima i pristupom nude brojne alate za smanjenje rizika od ugrožavanja računa, ali unatoč tome pametno je predvidjeti kršenje sigurnosti. I dobro educirani zaposlenici katkad nasjednu na prijevare radi krađe identiteta. Da biste rano primijetili ugrožavanje računa, uložite u rješenja za zaštitu identiteta od prijetnji i implementirajte pravilnike koji pojednostavnjuju otkrivanje sumnjivih aktivnosti i reagiranje na njih. Mnoga moderna rješenja, kao što je Microsoft Security Copilot, koriste umjetnu inteligenciju ne samo za otkrivanje prijetnji, već i za automatsko reagiranje na njih.
Rješenja za provjeru autentičnosti u oblaku
Provjera autentičnosti ključna je za jak program računalne sigurnosti i za omogućivanje produktivnosti zaposlenika. Sveobuhvatno rješenje za upravljanje identitetima i pristupom utemeljeno na oblaku, kao što je Microsoft Entra, nudi alate uz pomoć kojih zaposlenicima možete omogućiti jednostavan pristup onome što im je potrebno za rad uz primjenu jakih kontrola koje smanjuju rizik da će napadači ugroziti račun i ostvariti pristup povjerljivim podacima.
Saznajte više o rješenju Microsoft Security
Microsoft Entra ID
Zaštitite svoju tvrtku ili ustanovu upravljanjem identitetima i pristupom.
Microsoft Entra ID Governance
Automatski zajamčite da odgovarajuće osobe imaju odgovarajući pristup odgovarajućim aplikacijama u odgovarajuće vrijeme.
Upravljanje dozvolama za Microsoft Entra
Nabavite jedno objedinjeno rješenje za upravljanje dozvolama za bilo koji identitet u svojoj infrastrukturi s više oblaka.
Potvrđeni ID za Microsoft Entra
Decentralizirajte identitete uz pomoć upravljanog servisa za provjerljive vjerodajnice koji se temelji na otvorenim standardima.
Microsoft Entra Workload ID
Upravljajte identitetima dodijeljenim aplikacijama i servisima te ih zaštitite.
Najčešća pitanja
-
Postoji mnogo različitih vrsta provjere autentičnosti. Evo nekih primjera:
- Mnogi se korisnici prijavljuju na svoje telefone uz pomoć prepoznavanja lica ili otiska prsta.
- Banke i druge službe često traže da se korisnici prijave uz pomoć lozinke i koda koji je automatski poslan putem SMS-a.
- Za neke su račune potrebni samo korisničko ime i lozinka, premda mnoge tvrtke i ustanove prelaze na višestruku provjeru autentičnosti da bi povećale razinu sigurnosti.
- Zaposlenici se često prijavljuju na svoje računalo i ostvaruju pristup većem broju različitih aplikacija istovremeno, što je poznato kao jedinstvena prijava.
- Postoje i računi koji korisnicima omogućuju prijavu uz pomoć računa na Facebooku ili Google računa. U tom su slučaju Facebook, Google ili Microsoft odgovorni za provjeru autentičnosti korisnika i prijenos provjere autentičnosti na servis kojem korisnik želi pristupiti.
-
Provjera autentičnosti u oblaku servis je koji potvrđuje samo odgovarajuće osobe i aplikacije s odgovarajućim dozvolama za pristup mrežama i resursima u oblaku. Mnoge aplikacije u oblaku imaju ugrađenu provjeru autentičnosti koja je utemeljena na oblaku, ali postoje i šira rješenja, kao što je Microsoft Entra ID, koja su osmišljena za upravljanje provjerom autentičnosti u više aplikacija i servisa u oblaku. Ta rješenja obično koriste protokol SAML da bi jednom servisu za provjeru autentičnosti omogućila rad s više računa.
-
Premda se provjera autentičnosti i autorizacija često koriste kao sinonimi, radi se o dvije povezane, ali različite stvari. Provjerom autentičnosti potvrđuje se da je osoba koja se prijavljuje ona za koju se predstavlja, dok se autorizacijom potvrđuje da ta osoba ima odgovarajuće dozvole za pristup željenim podacima. Kada se koriste zajedno, provjera autentičnosti i autorizacija smanjuju rizik da će napadač ostvariti pristup povjerljivim podacima.
-
Provjera autentičnosti koristi se za provjeru jesu li korisnici i entiteti oni za koje se predstavljaju prije nego što im se dopusti pristup digitalnim resursima i mrežama. Premda je glavni cilj sigurnost, moderna rješenja za provjeru autentičnosti namijenjena su poboljšanju upotrebljivosti. Mnoge tvrtke i ustanove, primjerice, implementiraju rješenja za jedinstvenu prijavu da bi zaposlenicima pojednostavnile pronalaženje onog što im je potrebno za rad. Korisnički servisi često omogućuju prijavu uz računa za Facebook, Google računa ili Microsoftova računa da bi ubrzali postupak provjere autentičnosti.
Pratite Microsoft Security