Що таке автентифікація?
Дізнайтеся про підтвердження ідентичностей осіб, програм і служб для надання їм доступу до цифрових систем та ресурсів.
Визначення автентифікації
Автентифікація – це процес підтвердження того, що лише користувачі, служби й програми з належними дозволами можуть отримувати доступ до корпоративних ресурсів. Автентифікація – важлива складова кібербезпеки, оскільки основне завдання зловмисників полягає в отриманні несанкціонованого доступу до систем. Для цього вони викрадають імена й паролі тих користувачів, які вже мають доступ. Нижче наведено три основні кроки, які включає автентифікація.
- Ідентифікація. Це процедура розпізнавання осіб у системі (переважно за допомогою імен користувачів).
- Автентифікація. Зазвичай користувачі підтверджують свої ідентичності за допомогою чогось, що знають лише вони, як-от паролів. Однак для посилення захисту багато організацій також вимагають підтверджувати ідентичності за допомогою чогось, що мають користувачі (телефону, апаратного ключа тощо) чи чогось, що належить виключно їм (відбитка пальця або обличчя).
- Авторизація. Система перевіряє, чи мають користувачі дозвіл на доступ до системи.
Чому автентифікація важлива?
Автентифікація важлива, оскільки допомагає організаціям захищати системи, дані, мережі, веб-сайти й програми від атак. Крім того, вона допомагає окремим користувачам забезпечувати конфіденційність персональних даних і вести бізнес, зокрема у сфері банкінгу або інвестицій, онлайн із меншим ризиком. Якщо автентифікація слабка, зловмисникам простіше зламувати облікові записи. Вони або вгадують паролі користувачів, або обманним шляхом змушують жертв передати облікові дані. Це може призвести до таких ризиків:
- порушення безпеки даних або їх ексфільтрації;
- інсталяції шкідливого програмного забезпечення, як-от зловмисних програм із вимогою викупу;
- невідповідності регіональним або галузевим нормам щодо конфіденційності даних.
Принцип роботи автентифікації
Щоб пройти автентифікацію, людям потрібно ввести імена користувачів, паролі або PIN-коди, просканувати обличчя чи відбитки пальців тощо. Захист ідентичностей забезпечується за рахунок того, що жоден із цих способів автентифікації не зберігається в базі даних служби. Паролі гешуються (не шифруються), і геші зберігаються в базі даних. Коли користувач намагається ввійти за допомогою пароля, введений пароль повторно гешується, а потім порівнюється з тим, що зберігається в базі даних. Якщо два геші збігаються, користувач отримує доступ. Якщо використовується сканування відбитків пальців або облич, відповідна інформація кодується, шифрується й зберігається на пристрої.
Способи автентифікації
Сучасні способи автентифікації передбачають делегування відповідних процесів довіреній окремій системі ідентифікації (на відміну від традиційних, під час яких кожна система підтверджує ідентичності самостійно). Крім того, змінилися типи використовуваних способів автентифікації. Щоб отримати доступ до більшості програм, потрібно ввести ім’я користувача й пароль. Однак оскільки зловмисники вдосконалили свої методи викрадення паролів, спільнота фахівців із кібербезпеки розробила кілька нових способів захисту ідентичностей.
Автентифікація за паролем
Автентифікація за паролем – це найпоширеніша форма автентифікації. Правила створення паролів багатьох програм і служб полягають у тому, щоб люди використовували комбінації цифр, літер та символів. Це дає змогу зменшити ризик того, що зловмисники вгадають їх. Однак застосування паролів також призводить до проблем із безпекою та зручністю використання. Людям важко придумувати й запям’ятовувати унікальні паролі для кожного з онлайнових облікових записів, тому вони часто використовують їх повторно. Зловмисники використовують багато тактик, щоб угадувати або викрадати паролі чи обманним шляхом примушувати користувачів ділитися ними. Саме тому організації відмовляються від паролів і переходять до надійніших форм автентифікації.
Автентифікація за сертифікатом
Автентифікація за сертифікатом – це зашифрований метод, який дає пристроям і користувачам змогу ідентифікувати себе для інших пристроїв та систем. Два поширені приклади – смарт-картка або надсилання цифрового сертифіката до мережі чи сервера з пристрою працівника.
Біометрична автентифікація
Біометрична автентифікація – це спосіб підтвердження ідентичностей користувачів на основі їхніх антропометричних характеристик. Наприклад, багато людей використовують відбитки пальців для розблокування телефонів або сканування облич чи сітківок для перевірки ідентичностей на деяких комп’ютерах. Біометричні дані зв’язані з певним пристроєм, тому зловмисники не можуть використовувати їх без доступу до нього. Цей тип автентифікації стає дедалі популярнішим, оскільки він досить простий (користувачам не потрібно нічого запам’ятовувати) і надійніший за паролі (зловмисникам важко викрасти облікові дані).
Автентифікація за маркером
Це спосіб автентифікації, за якого пристрій і система кожні 30 секунд генерують новий унікальний набір цифр – одноразовий пароль на основі часу (TOTP). Якщо цифри збігаються, система підтвердить наявність пристрою в користувача.
Одноразовий пароль
Одноразові паролі – це коди, згенеровані лише для певного сеансу автентифікації й дійсні протягом обмеженого проміжку часу. Користувачі отримують їх текстовим повідомленням, електронною поштою або через апаратний ключ.
Push-сповіщення
Щоб автентифікувати користувачів, деякі програми й служби використовують push-сповіщення. У такому разі на телефони людей надходять повідомлення з проханням затвердити або відхилити запит на доступ. Іноді користувачі випадково приймають push-сповіщення, навіть якщо намагаються ввійти в систему служби, яка їх надіслала. Саме тому цей спосіб автентифікації іноді використовується разом з одноразовими паролями. У такому разі система генерує унікальний код, який користувач має ввести. Це дає змогу краще вбезпечувати автентифікацію від фішингу.
Голосова автентифікація
Принцип дії голосової автентифікації: користувач, який намагається отримати доступ до служби, має відповісти на телефонний виклик і ввести код або ідентифікувати себе усно.
Багатофакторна автентифікація
Один із найкращих способів зменшити ризик порушення безпеки облікових записів – вимагати від користувачів проходити дві або більше автентифікації, які можуть включати будь-який із перелічених вище способів. Для забезпечення ефективного захисту радимо вимагати від користувачів надавати будь-які два наведені нижче фрагменти інформації.
- Щось, що знає лише користувач, як-от пароль.
- Щось, що є лише в користувача, зокрема надійний пристрій, який важко дублювати (наприклад, телефон або апаратний ключ).
- Щось, що належить лише користувачу, зокрема відбиток пальця або обличчя.
Щоб надати доступ до ресурсів, багато організацій запитують пароль (щось, що знає лише користувач), а також надсилають SMS-повідомлення з одноразовим паролем на надійний пристрій (щось, що є лише в користувача).
Двофакторна автентифікація
Двофакторна автентифікація – це тип багатофакторної автентифікації, який полягає у використанні двох форм підтвердження ідентичності.
Автентифікація й авторизація часто використовуються взаємозамінно. Попри те, що ці поняття тісно пов’язані між собою, вони мають відмінності. Автентифікація допомагає підтвердити ідентичність користувача, а авторизація – його право на отримання доступу до бажаної інформації. Наприклад, працівники відділу кадрів можуть мати доступ до делікатних систем, зокрема з відомостями про заробітну плату або файлами співробітників, які інші користувачі не бачать. Автентифікація й авторизація мають вирішальне значення для забезпечення продуктивності, а також захисту делікатних даних, інтелектуальної власності та конфіденційності.
Практичні поради щодо безпеки автентифікації
Порушення безпеки облікових записів – це поширений спосіб отримання зловмисниками несанкціонованого доступу до корпоративних ресурсів. Саме тому важливо гарантувати надійний рівень безпеки автентифікації. Нижче наведено поради щодо того, як захистити свою організацію.
-
Упровадьте багатофакторну автентифікацію
Найважливіше, що можна зробити для зменшення ризику порушення безпеки облікових записів, – увімкнути багатофакторну автентифікацію й вимагати від користувачів надавати щонайменше два фактори автентифікації. Зловмисникам набагато складніше викрадати дані, якщо ви використовуєте більше одного методу автентифікації (особливо ідентифікацію з використанням біометричних даних або чогось такого, що є лише в користувача, наприклад пристрою). Щоб максимально спростити процес підтвердження ідентичностей для працівників, клієнтів і партнерів, запропонуйте їм кілька різних факторів на вибір. Важливо зауважити, що не всі способи автентифікації однаково надійні. Деякі є безпечнішими за інші. Наприклад, push-сповіщення є надійнішим способом автентифікації, як порівняти з SMS-повідомленнями.
-
Відмовтеся від паролів
Налаштувавши багатофакторну автентифікацію, ви зможете частково або повністю відмовитися від паролів і запропонувати працівникам використовувати два (або більше) інші способи автентифікації, як-от PIN-коди й біометрію. Якщо частково або повністю відмовитися від паролів, ви зможете спростити вхід і зменшити ризик порушення безпеки облікових записів.
-
Застосуйте захист паролем
Щоб зменшити використання простих паролів, можна не лише навчати цьому працівників, а й застосовувати деякі спеціальні інструменти. Рішення для захисту паролем дають змогу забороняти використовувати поширені паролі, як-от Password1. Крім того, ви можете створити налаштовуваний список паролів, які складатимуться зі слів, пов’язаних із вашою компанією або регіоном, як-от назв місцевих спортивних команд чи визначних пам’яток.
-
Увімкніть багатофакторну автентифікацію на основі оцінювання ризиків
Деякі способи автентифікації допомагають розпізнавати порушення безпеки, зокрема інциденти, коли користувачі намагаються отримати доступ до мережі з нового пристрою або підозрілого розташування. Інші події входу можуть бути типовими, але мати вищий ризик. Зокрема, ідеться про ситуації, коли спеціалісту відділу управління персоналом потрібен доступ до персональних даних працівників. Щоб зменшити ризик, налаштуйте рішення для керування ідентичностями й доступом (IAM) так, щоб воно вимагало принаймні два фактори автентифікації в разі виявлення відповідних інцидентів.
-
Пріоритезуйте зручність використання
Щоб забезпечити ефективний захист, потрібно залучити до цього процесу працівників та інших зацікавлених сторін. Політики безпеки іноді можуть допомагати користувачам уникати ризикованих дій в Інтернеті. Однак якщо вони занадто обтяжливі, існує інший спосіб вирішення проблеми. Він полягає у використанні рішень на основі реалістичної поведінки користувачів. Розгортайте такі функції, як самостійне скидання паролів, щоб користувачам не потрібно було телефонувати до служби підтримки в разі, якщо вони забудуть їх. Крім того, це спонукатиме їх вибирати надійні паролі, оскільки вони знатимуть, що зможуть легко скинути їх у разі, якщо забудуть. Дозволити користувачам вибирати способи авторизації – ще один чудовий спосіб спростити процес входу.
-
Розгорніть систему єдиного входу
Чудовою функцією для оптимізації зручності використання й захисту є єдиний вхід. Користувачам не подобається вводити пароль щоразу, коли вони переходять між програмами. Це спонукає їх використовувати однакові паролі для кількох облікових записів і в такий спосіб заощаджувати час. Завдяки цій функції працівникам потрібно ввійти в систему лише один раз, щоб отримувати доступ до більшості або всіх робочих програм. Це спрощує роботу та дає змогу застосовувати універсальні або умовні політики безпеки, як-от багатофакторну автентифікацію, до всього програмного забезпечення, яке використовують працівники.
-
Використовуйте принцип надання доступу з мінімальними правами
Обмежте кількість привілейованих облікових записів на основі ролей і надайте користувачам рівень доступу з мінімальними правами, необхідний для виконання робочих завдань. Упровадження керування доступом – запорука того, що менше користувачів зможуть отримати доступ до ваших найважливіших даних і систем. Якщо користувачу для роботи потрібні делікатні дані, скористайтеся засобом керування привілейованим доступом, як-от тимчасовою активацією, щоб максимально зменшити ризик порушення безпеки даних. Крім того, так ви зможете гарантувати, що адміністративні дії виконуються виключно на захищених пристроях, а не тих, які використовуються для повсякденних завдань.
-
Розглядайте кожен запит як порушення безпеки й регулярно проводьте перевірки
У багатьох організаціях ролі й статус зайнятості працівників постійно змінюються. Вони звільняються або переходять в інші відділи. Партнери запускають і завершують проекти. Якщо вчасно не міняти правила доступу, це може спричинити проблеми. Важливо впевнитися, що користувачі не мають доступу до систем і файлів, які більше не потрібні їм для виконання роботи. Щоб зменшити ризик заволодіння зловмисниками делікатною інформацією та послідовно перевіряти облікові записи й ролі, використовуйте рішення для керування ідентичностями. Ці інструменти гарантуватимуть, що користувачі матимуть доступ лише до потрібних їм даних, а також що облікові записи працівників, які звільнилися з організації, більше неактивні.
-
Захищайте ідентичності від загроз
Рішення для керування ідентичностями й доступом пропонують багато інструментів, які допомагають знизити ризик порушень безпеки облікових записів, однак ви завжди маєте бути готовими до того, що порушення все ж може відбутися. Навіть дуже грамотні працівники іноді стають жертвами фішингу. Щоб виявляти порушення безпеки облікових записів на ранніх етапах, інвестуйте в рішення для захисту ідентичностей від загроз і впроваджуйте політики, які допомагають ідентифікувати підозрілі дії та реагувати на них. Багато сучасних рішень, як-от Захисний комплекс Microsoft Copilot, використовують штучний інтелект, щоб не лише виявляти загрози, а й автоматично реагувати на них.
Рішення для хмарної автентифікації
Автентифікація має важливе значення як для гарантування надійності стратегії кібербезпеки, так і для забезпечення продуктивності працівників. Комплексне хмарне рішення для керування ідентичностями та доступом, як-от Microsoft Entra, забезпечує інструменти, які допоможуть користувачам легко отримувати доступ до ресурсів, які потрібні їм для виконання робочих завдань. Крім того, воно використовує потужні елементи керування, які зменшують ризик порушення безпеки облікових записів і отримання зловмисниками доступу до делікатних даних.
Дізнайтеся більше про Захисний комплекс Microsoft
Ідентифікатор Microsoft Entra
Захистіть свою організацію за допомогою рішень для керування ідентичностями й доступом.
Керування ідентифікатором Microsoft Entra
Забезпечуйте відповідним користувачам належний рівень доступу до необхідних програм у потрібний час, використовуючи засоби автоматизації.
Керування дозволами Microsoft Entra
Отримайте єдине комплексне рішення, яке дає змогу керувати дозволами будь-яких ідентичностей у багатохмарній інфраструктурі.
Підтверджувані ID Microsoft Entra
Децентралізуйте ідентичності за допомогою керованої служби офіційних посвідчень, заснованої на відкритих стандартах.
ID робочих навантажень Microsoft Entra
Контролюйте й убезпечуйте ідентичності, які використовуються для отримання доступу до програм і служб.
Запитання й відповіді
-
Існує багато різних способів автентифікації. Нижче наведено кілька прикладів.
- Сканування облич або відбитків пальців для розблокування телефонів.
- Використання паролів і кодів, автоматично відправлених через SMS, для входу в системи банків та інших служб.
- Використання лише імен користувачів і паролів для входу в деякі облікові записи (однак варто зазначити, що багато організацій, прагнучи посилити свій захист, переходять до багатофакторної автентифікації).
- Вхід у систему на комп’ютері й отримання доступу одночасно до кількох різних програм (єдиний вхід).
- Використання облікових записів Facebook або Google для входу в системи. У такому разі Facebook, Google або корпорація Майкрософт несуть відповідальність за автентифікацію й авторизацію користувачів у службі, до якої вони хочуть отримати доступ.
-
Хмарна автентифікація – це служба, яка допомагає забезпечувати належний рівень доступу до хмарних мереж і ресурсів для відповідних користувачів і програм. Багато хмарних програм мають вбудовану автентифікацію. Проте для керування автентифікацією в кількох хмарних програмах і службах використовуються розширені рішення, як-от Microsoft Entra ID. Вони зазвичай працюють на базі протоколу SAML, що дає змогу використовувати одну службу автентифікації для кількох облікових записів.
-
Автентифікація й авторизація часто використовуються взаємозамінно. Попри те, що ці поняття тісно пов’язані між собою, вони мають відмінності. Автентифікація допомагає підтвердити ідентичність користувача, а авторизація – його право на отримання доступу до бажаної інформації. Спільне використання автентифікації й авторизації допомагає зменшити ризик того, що зловмисник отримає доступ до делікатних даних.
-
Автентифікація використовується для того, щоб переконатися, що користувачі й сутності є тими, за кого себе видають, перш ніж надавати їм доступ до цифрових ресурсів і мереж. Її основна мета – забезпечити захист. Однак сучасні рішення для автентифікації також призначені для покращення зручності використання. Наприклад, багато організацій упроваджують рішення для єдиного входу, щоб працівникам було простіше знаходити ресурси, необхідні для виконання робочих завдань. Для входу в служби для споживачів користувачі часто використовують облікові записи Facebook, Google або Microsoft і в такий спосіб прискорюють процес автентифікації.
Підпишіться на новини про Захисний комплекс Microsoft