Kas ir autentifikācija?
Uzziniet, kā personu, programmu un pakalpojumu identitātes tiek pārbaudītas, pirms tām tiek piešķirta piekļuve digitālajām sistēmām un resursiem.
Autentifikācijas definīcija
Autentifikācija ir process, ko uzņēmumi izmanto, lai nodrošinātu, ka organizācijas resursus var iegūt tikai atbilstošās personas, pakalpojumi un programmas ar pareizajām atļaujām. Tā ir svarīga kiberdrošības daļa, jo ļaunprātīga aktora galvenā prioritāte ir iegūt nesankcionētu piekļuvi sistēmām. Tas var to izdarīt, nozogot to lietotāju lietotājvārdus un paroles, kuriem ir piekļuve. Autentifikācijas process ietver trīs pamatdarbības:
- Identifikācija: Lietotāji norāda, kas tie ir, parasti izmantojot lietotājvārdu.
- Autentifikācija: Parasti lietotāji pierāda, ka viņi ir tie, par kuriem uzdodas, ievadot paroli (kaut ko tādu, kas būtu jāzina tikai konkrētajam lietotājam), bet, lai stiprinātu drošību, daudzas organizācijas arī pieprasa, lai viņi pierādītu savu identitāti ar kaut ko, kas viņiem ir (tālrunis vai marķiera ierīce), vai kaut ko, kas viņi ir (pirkstu nospiedumu vai sejas skenēšanu).
- Autorizācija: Sistēma pārbauda, vai lietotājiem ir atļauja izmantot sistēmu, kurai viņi mēģina piekļūt.
Kāpēc autentifikācija ir svarīga?
Autentifikācija ir svarīga, jo tā palīdz organizācijām aizsargāt savas sistēmas, datus, tīklus, tīmekļa vietnes un programmas pret uzbrukumiem. Tā arī palīdz personām uzturēt savus personas datus konfidenciālus, ļaujot tām veikt tādas darbības kā bankas operācijas vai līdzekļu ieguldīšanu tiešsaistē ar mazāku risku. Ja autentifikācijas procesi ir vāji, uzbrucējam ir vieglāk apdraudēt kontu, uzminot atsevišķas paroles vai ar viltu liekot lietotājiem izpaust savus akreditācijas datus. Tas var novest pie šādiem riskiem:
- Datu drošības pārkāpums vai eksfiltrācija.
- Ļaunprogrammatūras, piemēram, izspiedējprogrammatūras, instalēšana.
- Neatbilstība reģionālajiem vai nozares datu konfidencialitātes noteikumiem.
Kā darbojas autentifikācija
Lietotājiem autentifikācija ietver lietotājvārda, paroles un citu autentifikācijas metožu, piemēram, sejas skenēšanas, pirksta nospieduma vai PIN koda, iestatīšanu. Lai aizsargātu identitātes, neviena no šīm autentifikācijas metodēm netiek saglabāta pakalpojuma datu bāzē. Paroles tiek jauktas (netiek šifrētas), un jaucējvērtības tiek saglabātas datu bāzē. Kad lietotājs ievada paroli, ievadītā parole arī tiek jaukta, pēc tam notiek jaucējvērtību salīdzināšana. Ja šīs divas jaucējvērtības sakrīt, tiek piešķirta piekļuve. Pirkstu nospiedumu un sejas skenēšanas gadījumā informācija tiek kodēta, šifrēta un saglabāta ierīcē.
Autentifikācijas metožu veidi
Modernajā autentifikācijā autentificēšanas process tiek deleģēts uzticamai, atsevišķai identitātes sistēmai pretstatā tradicionālajai autentifikācijai, kur katra sistēma identitātes verificē pati. Ir notikušas arī izmantoto autentifikācijas metožu veida izmaiņas. Vairākums programmu pieprasa lietotājvārdu un paroli, bet, tā kā ļaunprātīgie aktori ir iemācījušies veiklāk nozagt paroles, drošības kopiena ir izstrādājusi vairākas jaunas metodes, lai palīdzētu aizsargāt identitātes.
Paroles autentifikācija
Paroles autentifikācija ir visizplatītākais autentifikācijas veids. Daudzas programmas un pakalpojumi pieprasa, lai lietotāji izveidotu paroles, kurās tiek izmantota ciparu, burtu un simbolu kombinācija, lai mazinātu risku, ka ļaunprātīgs aktors tās uzminēs. Tomēr paroles arī rada drošības un lietojamības izaicinājumus. Lietotājiem ir grūti izdomāt un iegaumēt unikālu paroli katram savam tiešsaistes kontam, tāpēc viņi bieži izmanto paroles atkārtoti. Savukārt, uzbrucēji izmanto daudzas taktikas, lai uzminētu vai nozagtu paroles vai lai no lietotājiem tās izvilinātu pret viņu gribu. Šī iemesla dēļ organizācijas pāriet no parolēm uz citiem ievērojamāki drošākiem autentifikācijas veidiem.
Sertifikāta autentifikācija
Sertifikāta autentifikācija ir šifrēta metode, kas ļauj ierīcēm un personām sevi identificēt citās ierīcēs un sistēmās. Divi bieži sastopami piemēri ir viedkarte un ciparsertifikāts, ko darbinieka ierīce nosūta uz tīklu vai serveri.
Biometriskā autentifikācija
Biometriskās autentifikācijas laikā personas verificē savu identitāti, izmantojot bioloģiskus līdzekļus. Piemēram, daudzi lietotāji izmanto savu pirkstu vai īkšķi, lai pierakstītos savā tālrunī, un daži datori skenē personas seju vai acs tīkleni, lai verificētu lietotāja identitāti. Biometriskie dati ir saistīti arī ar konkrētu ierīci, tāpēc uzbrucēji nevar tos izmantot, neiegūstot piekļuvi pašai ierīcei. Šāda veida autentifikācija kļūst arvien populārāka, jo lietotājiem tā ir ērta — nekas nav jāiegaumē —, bet ļaunprātīgiem aktoriem ir grūti to nozagt, kas padara to drošāku par parolēm.
Marķiera autentifikācija
Marķiera autentifikācijā gan ierīce, gan sistēma ik pēc 30 sekundēm ģenerē jaunu unikālu numuru, ko sauc par laikatkarīgu vienreizējo PIN (time-based one-time PIN — TOTP). Ja numuri atbilst, sistēma verificē, ka lietotājam ir atbilstošā ierīce.
Vienreizēja parole
Vienreizējās paroles (one-time password — OTP) ir kodi, kas tiek ģenerēti konkrētam pierakstīšanās notikumam, kura derīgums beidzas īsi pēc to izdošanas. Tie tiek piegādāti, izmantojot īsziņas, e-pasta ziņojumus vai aparatūras marķierus.
Pašpiegādes paziņojums
Dažas programmas un pakalpojumi izmanto pašpiegādes paziņojumus, lai autentificētu lietotājus. Šādos gadījumos lietotāji savā tālrunī saņem ziņojumu ar lūgumu apstiprināt vai liegt piekļuves pieprasījumu. Tā kā dažkārt lietotāji nejauši apstiprina pašpiegādes paziņojumus, pat tad, ja tie mēģina pierakstīties pakalpojumos, kas nosūta paziņojumu, šī metode dažkārt tiek apvienota ar OTP metodi. Izmantojot OTP, sistēma ģenerē unikālu numuru, kas lietotājam ir jāievada. Tas padara autentifikāciju drošāku pret pikšķerēšanu.
Balss autentifikācija
Balss autentifikācijā persona, kas mēģina piekļūt pakalpojumam, saņem tālruņa zvanu, kur tiek lūgts ievadīt kodu vai identificēt sevi verbāli.
Daudzfaktoru autentifikācija
Viens no vislabākajiem veidiem, kā samazināt konta apdraudējumu, ir pieprasīt izmantot vismaz divas autentifikācijas metodes, kuras var ietvert jebkuru no iepriekš norādītajām metodēm. Efektīva paraugprakse ir pieprasīt jebkuras divas no šīm metodēm:
- Kaut kas, ko lietotājs zina. Parasti tā ir parole.
- Kaut kas, kas tam ir, piemēram, uzticama ierīce, kuru nav viegli dublēt, piemēram, tālrunis vai aparatūras marķieris.
- Kaut kas, kas ir lietotājs, piemēram, pirksta nospiedums vai skenēts sejas attēls.
Piemēram, daudzas organizācijas pieprasa paroli (kaut ko, ko lietotājs zina), kā arī nosūta OTP, izmantojot SMS, uz uzticamu ierīci (kaut kas, kas ir lietotājam), pirms atļauj piekļuvi.
Divfaktoru autentifikācija
Divfaktoru autentifikācija ir daudzfaktoru autentifikācijas veids, kur ir nepieciešami divi autentifikācijas veidi.
Lai gan autentifikācija, kas dažkārt tiek dēvēta par AuthN, un autorizācija, kas dažkārt tiek dēvēta par AuthZ, bieži vien tiek izmantotas līdzvērtīgi, tās ir divas saistītas, bet atsevišķas lietas. Autentifikācija apstiprina, ka lietotājs, kurš pierakstās, ir tas, par ko uzdodas, bet autorizācija apstiprina, ka lietotājam ir pareizās atļaujas, lai piekļūtu nepieciešamajai informācijai. Piemēram, cilvēkresursu nodaļas darbiniekam var būt piekļuve tādām sensitīvām sistēmām kā algu vai darbinieku faili, ko citi nevar skatīt. Gan autentifikācija, gan autorizācija ir kritiski svarīga, lai sekmētu produktivitāti un aizsargātu sensitīvus datus, intelektuālo īpašumu un konfidencialitāti.
Autentifikācijas drošības paraugprakse
Tā kā konta apdraudējums ir tik izplatīts veids, kā uzbrucēji iegūst nesankcionētu piekļuvi uzņēmuma resursiem, ir svarīgi izveidot spēcīgu autentifikācijas drošību. Lūk, dažas darbības, kuras varat veikt, lai aizsargātu savu organizāciju:
-
Daudzfaktoru autentifikācijas ieviešana
Vissvarīgākais, ko varat paveikt, lai samazinātu konta apdraudējuma risku, ir ieslēgt daudzfaktoru autentifikācija un pieprasīt vismaz divus autentifikācijas faktorus. Uzbrucējiem ir daudz grūtāk nozagt vairākas autentifikācijas metodes, it īpaši, ja viena no tām ir biometriska vai kaut kas, kas ir lietotāja rīcībā, piemēram, kāda ierīce. Lai darbiniekiem, klientiem un partneriem šo procesu padarītu pēc iespējas ērtāku, ļaujiet viņiem izvēlēties kādu no vairākiem atšķirīgiem faktoriem. Tomēr ir svarīgi atzīmēt, ka ne visas autentifikācijas metodes ir vienlīdzīgas. Dažas ir drošākas par citām. Piemēram, lai gan īsziņas saņemšana ir labāka nekā nekas, pašpiegādes paziņojums ir drošāks.
-
Pāreja uz bezparoles autentifikāciju
Pēc daudzfaktoru autentifikācijas iestatīšanas varat pat izvēlēties ierobežot paroļu lietošanu un mudināt lietotājus izmantot divas vai vairākas citas autentifikācijas metodes, piemēram, PIN kodu un biometriskos datus. Paroļu lietošanas samazināšana un pāreja uz bezparoles autentifikāciju racionalizēs pierakstīšanās procesu un samazinās konta apdraudējuma risku.
-
Aizsardzības ar paroli lietošana
Papildus darbinieku izglītošanai ir pieejami rīki, kurus varat lietot, lai samazinātu viegli uzminamu paroļu lietošanu. Aizsardzības ar paroli risinājumi ļauj aizliegt bieži lietotas paroles, piemēram, Parole1. Varat arī izveidot pielāgotu sarakstu, kas ir raksturīgs jūsu uzņēmumam vai reģionam, piemēram, ar vietējo sporta komandu vai orientieru nosaukumiem.
-
Uz riska balstītas daudzfaktoru autentifikācijas iespējošana
Daži autentifikācijas notikumi ir apdraudējuma indikatori, piemēram, ja darbinieks mēģina piekļūt jūsu tīklam no jaunas ierīces vai dīvainas atrašanās vietas. Citi pierakstīšanās notikumi var nebūt netipiski, bet ar augstāku risku, piemēram, ja cilvēkresursu speciālistam ir nepieciešama piekļuve darbinieku personu identificējošai informācijai. Lai samazinātu risku, konfigurējiet savu identitātes un piekļuves pārvaldības (identity and access management — IAM) risinājumu, lai, nosakot šāda veida notikumus, tiktu pieprasīti vismaz divi autentifikācijas faktori.
-
Lietojamības prioritātes noteikšana
Efektīvai drošībai ir nepieciešams darbinieku un citām ieinteresēto pušu atbalsts. Drošības politikas dažkārt var neļaut lietotājiem iesaistīties riskantās tiešsaistes darbībās, bet, ja politikas ir pārāk sarežģītas, lietotāji atradīs, kā tās apiet. Vislabākie risinājumi atbilst reālai cilvēku uzvedībai. Izvietojiet līdzekļus, piemēram, pašapkalpošanās paroles atiestatīšanu, lai novērstu nepieciešamību lietotājiem zvanīt palīdzības dienestam, kad viņi aizmirst paroli. Tas var arī mudināt viņus izvēlēties stipru paroli, jo viņi zina, ka vēlāk to būs viegli atiestatīt, ja viņi paroli aizmirsīs. Ļaujot lietotājiem izvēlēties, kuru autorizācijas metodi viņi vēlas izmantot, ir vēl viens labs veids, kā viņiem atvieglot pierakstīšanos.
-
Vienotās pierakstīšanās izvietošana
Viens lielisks līdzeklis, kas uzlabo lietojamību un drošību, ir vienotā pierakstīšanās (single sign-on — SSO). Nevienam nepatīk, ka ikreiz, kad viņi pārslēdz programmas, tiek lūgts ievadīt paroli, un tas var mudināt izmantot vienu un to pašu paroli vairākos kontos, lai ietaupītu laiku. Izmantojot vienoto pierakstīšanos, darbiniekiem ir jāpierakstās tikai vienu reizi, lai piekļūtu vairākumam programmu vai pat visām programmām, kas viņiem ir nepieciešamas darbam. Tas samazina neērtības un ļauj lietot universālās vai nosacītās drošības politikas, piemēram, daudzfaktoru autentifikāciju, visai programmatūrai, ko izmanto darbinieki.
-
Minimālo privilēģiju izmantošana
Ierobežojiet privileģēto kontu skaitu, pamatojoties uz lomām, un piešķiriet lietotājiem vismazāko privilēģiju apjomu, kas nepieciešamas, lai viņi varētu paveikt savu darbu. Piekļuves kontroles ieviešana palīdz nodrošināt, ka mazāk lietotāju var piekļūt jūsu viskritiskākajiem datiem un sistēmām. Ja kādam ir jāveic sensitīvs uzdevums, izmantojiet privileģētās piekļuves pārvaldību, piemēram, aktivizēšanu tieši laikā un noteiktā laika periodā, lai vēl vairāk samazinātu risku. Tas arī palīdz pieprasīt, lai administratīvās darbības tiktu veiktas tikai ļoti drošās ierīcēs, kas nav datori, kurus lietotāji izmanto ikdienas uzdevumiem.
-
Pieņemšana, ka noticis pārkāpums, un regulāru auditu veikšana
Daudzās organizācijās lietotāju lomas un nodarbinātības statuss regulāri mainās. Darbinieki pamet uzņēmumu vai maina nodaļas. Partneri iesaistās projektos un pabeidz tos. Tā var būt problēma, ja piekļuves kārtulas netiek visam līdzi. Ir svarīgi nodrošināt, lai lietotāji nesaglabātu piekļuvi sistēmām un failiem, kas viņiem vairs nav nepieciešami darba vajadzībām. Lai samazinātu risku, ka uzbrucējs iegūst sensitīvu informāciju, izmantojiet identitātes pārvaldības risinājumu, kas jums palīdzēs konsekventi auditēt kontus un lomas. Šie rīki arī palīdz nodrošināt, ka lietotājiem ir piekļuve tikai tam, kas viņiem ir nepieciešams, un ka to personu konti, kuri ir pametuši organizāciju, vairs nav aktīvi.
-
Identitāšu aizsardzība pret apdraudējumiem
Identitāšu un piekļuves pārvaldības risinājumi piedāvā daudzus rīkus, kas palīdz samazināt konta apdraudējuma risku, tomēr joprojām ir prātīgi sagatavoties pārkāpuma iespējamībai. Pat labi izglītoti darbinieki dažkārt kļūst par pikšķerēšanas krāpniecības upuriem. Lai savlaicīgi konstatētu konta apdraudējumu, ieguldiet identitātes pretdraudu aizsardzības risinājumos un ieviesiet politikas, kas palīdz atklāt aizdomīgas darbības un reaģēt uz tām. Daudzi moderni risinājumi, piemēram, Microsoft drošības Copilot,izmanto mākslīgo intelektu, lai ne tikai noteiktu apdraudējumus, bet arī automātiski uz tiem reaģētu.
Mākoņa autentifikācijas risinājumi
Autentifikācija ir kritiski svarīga gan spēcīgai kiberdrošības programmai, gan darbinieku produktivitātes iespējošanai. Visaptverošs mākonī izvietots identitātes un piekļuves pārvaldības risinājums, piemēram, Microsoft Entra, nodrošina rīkus, kuri palīdz lietotājiem viegli iegūt to, kas viņiem ir nepieciešams darbam, vienlaikus lietojot jaudīgas vadīklas, kuras samazina risku, ka uzbrucēji apdraudēs kontu un iegūs piekļuvi sensitīviem datiem.
Papildinformācija par komplektu Microsoft drošība
Microsoft Entra ID
Aizsargājiet savu organizāciju, izmantojot identitāšu un piekļuves pārvaldību.
Microsoft Entra identitāšu pārvaldība
Automātiski nodrošiniet, lai pareizajām personām būtu pareizā piekļuve pareizajām programmām pareizajā laikā.
Microsoft Entra atļauju pārvaldība
Iegūstiet vienu vienotu risinājumu, lai pārvaldītu jebkuras identitātes atļaujas jūsu vairākmākoņu infrastruktūrā.
Microsoft Entra verificēts ID
Decentralizējiet savas identitātes ir pārvaldītu verificējamu akreditācijas datu pakalpojumu, kura pamatā ir atvērtie standarti.
Microsoft Entra darba slodžu identitātes
Pārvaldiet un drošiniet identitātes, kas piešķirtas programmām un pakalpojumiem.
Bieži uzdotie jautājumi
-
Pastāv daudz dažādu autentifikācijas veidu. Daži piemēri ir šādi:
- Daudzi lietotāji pierakstās savos tālruņos, izmantojot sejas atpazīšanu vai pirksta nospiedumu.
- Bankas un citi pakalpojumu sniedzēji bieži vien pieprasa lietotājiem pierakstīties, izmantojot paroli, kā arī kodu, kas tiek automātiski nosūtīts īsziņā.
- Dažiem kontiem ir nepieciešams tikai lietotājvārds un parole, tomēr daudzas organizācijas pāriet uz daudzfaktoru autentifikāciju, lai uzlabotu drošību.
- Darbinieki bieži vien pierakstās savā datorā un vienlaikus iegūst piekļuvi vairākām dažādām programmām, kas tiek dēvēts par vienoto pierakstīšanos.
- Pastāv arī konti, kas ļauj lietotājiem pierakstīties, izmantojot Facebook vai Google kontu. Šajā gadījumā Facebook, Google vai Microsoft ir atbildīgs par lietotāja autentificēšanu un autorizācijas nodošanu pakalpojumam, kuram lietotājs vēlas piekļūt.
-
Mākoņa autentifikācija ir pakalpojums, kas apstiprina, ka tikai pareizās personas un programmas ar atbilstošajām atļaujām var iegūt piekļuvi mākoņa tīkliem un resursiem. Daudzās mākoņprogrammās ir iebūvēta autentifikācija, kuras pamatā ir mākoņpakalpojums, bet ir pieejami arī plašāki risinājumi, piemēram, Microsoft Entra ID, kas paredzēti autentifikācijas apstrādei vairākās mākoņprogrammās un pakalpojumos. Šie risinājumi parasti izmanto SAML protokolu, lai iespējotu viena autentifikācijas pakalpojuma darbību vairākos kontos.
-
Lai gan autentifikācija un autorizācija bieži vien tiek izmantotas līdzvērtīgi, tās ir divas saistītas, bet atsevišķas lietas. Autentifikācija apstiprina, ka lietotājs, kurš pierakstās, ir tas, par ko uzdodas, bet autorizācija apstiprina, ka lietotājam ir pareizās atļaujas, lai piekļūtu nepieciešamajai informācijai. Izmantojot tās vienkopus, autentifikācija un autorizācija palīdz samazināt risku, ka kāds uzbrucējs iegūs piekļuvi sensitīviem datiem.
-
Autentifikācija tiek izmantota, lai pirms piekļuves digitālajiem resursiem un tīkliem pārliecinātos, vai personas un entītijas ir tās, par kurām uzdodas. Lai gan primārais mērķis ir drošība, modernās autentifikācijas risinājumi ir izstrādāti arī tā, lai uzlabotu lietojamību. Piemēram, daudzas organizācijas ievieš vienotās pierakstīšanās risinājumus, lai darbinieki varētu ērti atrast to, kas viņiem ir nepieciešams sava darba paveikšanai. Patērētāju pakalpojumi bieži vien ļauj lietotājiem pierakstīties, izmantojot Facebook, Google vai Microsoft kontu, lai paātrinātu autentifikācijas procesu.
Sekot Microsoft drošībai