Перед серией уроков по информационной безопасности нам нужно разобраться с базовыми определениями.

Сегодня мы узнаем, что такое идентификация, аутентификация, авторизация и в чем разница между этими понятиями

Что такое идентификация?

Сначала давайте прочитаем определение:

Идентификация — это процедура распознавания субъекта по его идентификатору (проще говоря, это определение имени, логина или номера).

Идентификация выполняется при попытке войти в какую-либо систему (например, в операционную систему или в сервис электронной почты).

Сложно? Давайте перейдём к примерам, заодно разберемся, что такое идентификатор.

Пример идентификатора в социальной сети ВКонтакте

Когда нам звонят с неизвестного номера, что мы делаем? Правильно, спрашиваем “Кто это”, т.е. узнаём имя. Имя в данном случае и есть идентификатор, а ответ вашего собеседника — это будет идентификация.

Идентификатором может быть:

• номер телефона
• номер паспорта
• e-mail
• номер страницы в социальной сети и т.д.

Подробнее об идентификаторах и ID рекомендую прочитать здесь.

Что такое аутентификация?

После идентификации производится аутентификация:

Аутентификация – это процедура проверки подлинности (пользователя проверяют с помощью пароля, письмо проверяют по электронной подписи и т. д.)

Чтобы определить чью-то подлинность, можно воспользоваться тремя факторами:

1. Пароль – то, что мы знаем (слово, PIN-код, код для замка, графический ключ)
2. Устройство – то, что мы имеем (пластиковая карта, ключ от замка, USB-ключ)
3. Биометрика – то, что является частью нас (отпечаток пальца, портрет, сетчатка глаза)

Отпечаток пальца может быть использован в качестве пароля при аутентификации

Получается, что каждый раз, когда вы вставляете ключ в замок, вводите пароль или прикладываете палец к сенсору отпечатков пальцев, вы проходите аутентификацию.

Ну как, понятно, что такое аутентификация? Если остались вопросы, можно задать их в комментариях, но перед этим разберемся еще с одним термином.

Что такое авторизация?

Когда определили ID, проверили подлинность, уже можно предоставить и доступ, то есть, выполнить авторизацию.

Авторизация – это предоставление доступа к какому-либо ресурсу (например, к электронной почте).

Разберемся на примерах, что же это за загадочная авторизация:

• Открытие двери после проворачивания ключа в замке
• Доступ к электронной почте после ввода пароля
• Разблокировка смартфона после сканирования отпечатка пальца
• Выдача средств в банке после проверки паспорта и данных о вашем счете

Дверь открылась? Вы авторизованы!

Взаимосвязь идентификации, аутентификации и авторизации

Наверное, вы уже догадались, что все три процедуры взаимосвязаны:

1. Сначала определяют имя (логин или номер) – идентификация
2. Затем проверяют пароль (ключ или отпечаток пальца) – аутентификация
3. И в конце предоставляют доступ – авторизация

Инфографика: 1 — Идентификация; 2 — Аутентификация; 3 — Авторизация

Проблемы безопасности при авторизации

Помните, как в сказке «Красная Шапочка» бабушка разрешает внучке войти в дом? Сначала бабушка спрашивает, кто за дверью, затем говорит Красной Шапочке, как открыть дверь. Волку же оказалось достаточным узнать имя внучки и расположение дома, чтобы пробраться в дом.

Какой вывод можно сделать из этой истории?

Каждый этап авторизации должен быть тщательно продуман, а идентификатор, пароль и сам принцип авторизации нужно держать в секрете.

Заключение

Итак, сегодня вы узнали, что такое идентификация, аутентификация и авторизация.

Теперь мы можем двигаться дальше: учиться создавать сложные пароли, знакомиться с правилами безопасности в Интернете, настраивать свой компьютер с учетом требований безопасности.

А в заключение, занимательная задачка для проверки знаний: посчитайте, сколько раз проходят идентификацию, аутентификацию и авторизацию персонажи замечательного мультфильма «Петя и Красная Шапочка» (ответы в комментариях).

P.S. Самые внимательные могут посчитать, сколько раз нарушены рассмотренные в данном уроке процедуры.

Автор: Сергей Бондаренко http://it-uroki.ru/

Копирование запрещено, но можно делиться ссылками:

Много интересного в соц.сетях:

Что такое аутентификация в информационной безопасности?

Одним из слов, которое мы часто подбрасываем, когда говорим об информационной безопасности, является аутентификация. Что означает аутентификация?

Что такое аутентификация?

В системе безопасности аутентификация — это процесс проверки того, является ли кто-то (или что-то) тем, кем (или чем) оно объявлено.

Аутентификация: проверка личности пользователя, процесса или устройства, часто являющаяся предварительным условием для предоставления доступа к ресурсам в информационной системе.

Определение из CSRC NIST

Независимо от того, входите ли вы в свою компьютерную систему в офисе, проверяете баланс своего счета на веб-сайте своего банка или посещаете свои любимые каналы социальных сетей, процесс аутентификации помогает этим сайтам определить, что вы являетесь правильный человек пытается получить доступ.

Ценность аутентификации

Человек, выросший в маленьком городке, мог зайти в местный банк, и кассир узнал бы его. Это один из методов, который кассиры использовали, чтобы узнать, что человек, который мог вносить и снимать средства с их счета, был правильным человеком.

Сегодня мы заходим на веб-сайт нашего национального банка, и кассир не приветствует нас по имени. Требуются другие методы аутентификации. Когда вы аутентифицируете свою учетную запись, вы устанавливаете свою личность и сообщаете сайту, к которому пытаетесь получить доступ, что вы на самом деле тот человек, за которого себя выдаете.

Этот процесс установления вашей личности для получения доступа к системе обычно состоит из двух шагов: сначала вы должны идентифицировать себя (т. е. указать идентификатор пользователя, номер учетной записи или адрес электронной почты), а затем вы должны доказать, что вы тот, за кого себя выдаете. являются (подтвердить себя).

В конечном итоге это снижает шансы того, что имитатор получит доступ к конфиденциальной информации, которая ему не принадлежит.

Способы аутентификации

Существует три метода аутентификации: что-то, что вы знаете (например, пароли), что-то, что у вас есть (например, токены-ключи), или что-то, чем вы являетесь (отсканированная часть тела, например, отпечаток пальца):

Что-то, чем вы являетесь  

Это, как правило, самое прочное и сложное для взлома — нелегко воспроизвести сканирование радужной оболочки глаза или дублировать отпечаток пальца. Однако технология развертывания этого типа аутентификации является дорогостоящей и не может быть легко адаптирована ко всем способам доступа к ресурсам. Мы начинаем видеть более широкое распространение этого метода аутентификации (вспомните Face ID в iPhone), но нам еще далеко до серьезного прогресса.

То, что у вас есть  

Это становится все более популярным, учитывая наше общее нежелание отключаться от мобильных телефонов. Этот тип контроля доступа обычно принимает форму одноразового ключа-токена, который вы получаете из внешнего источника (ключ, ваша электронная почта, текстовое сообщение или приложение для проверки подлинности). Традиционно предоставление пользователям устройства, которое доставляет токен-ключ, было самым большим сдерживающим фактором для более широкого развертывания, но сегодня, когда у большинства пользователей всегда есть смарт-устройства, метод аутентификации «то, что у вас есть», набирает силу.

Что-то, что вы знаете w

Наиболее распространенным примером этого являются наши пароли — для биосканирования не требуется ни специального оборудования, ни дополнительных инструментов для предоставления секретных кодов. Вот почему так важно создавать пароли, которые трудно угадать. В большинстве случаев ваш пароль — это единственная часть информации, которую другие люди не знают, и единственный способ защитить вашу информацию.

Хранение вашей аутентификационной информации конфиденциальной и надежной

Возвращаясь к сценарию местного банка в маленьком городке, если бы ваш друг подошел к кассиру и попытался предъявить квитанцию ​​о снятии средств с вашего счета, кассир смог бы сказать, что это не вы, и отрицать перевод.

Но если этот же друг попытается войти в ваш текущий банковский счет с моим именем пользователя и паролем, сайт не помешает им это сделать. «Вы имели в виду войти на свой собственный сайт, а не на сайт вашего друга?»

Платформа не может отличить. Имея правильную комбинацию, он примет имя пользователя и пароль независимо от того, правильный это человек или нет.

Поэтому крайне важно хранить при себе любую потенциально идентифицирующую информацию или устройства аутентификации.

Как насчет двухфакторной аутентификации?

Многофакторная аутентификация (MFA) — это действительно хорошая штука. MFA сочетает в себе два разных метода аутентификации (т. е. пароль и токен) для обеспечения большей безопасности при подтверждении вашей личности.

Продолжая наш пример с нашим банковским счетом в Интернете, если бы друг угадал пароль к вашей учетной записи, но у вас была включена аутентификация MFA, ему было бы отказано в доступе, если бы у нее также не был мой мобильный телефон и не знал PIN-код для доступа к телефону. , и смог получить одноразовый код, необходимый в качестве второго метода проверки.

То же самое относится и к злоумышленникам. Если они смогут взломать ваши учетные данные пользователя и MFA включена, они, скорее всего, будут остановлены в момент отсутствия доступа.

Многим организациям теперь требуется MFA для установления соединения с их сетью и программами — умный шаг, чтобы защитить вас в случае, если ваши учетные данные будут скомпрометированы.

Если какая-либо из ваших защищенных систем предлагает многофакторную проверку подлинности, я рекомендую вам включить эту службу, чтобы повысить безопасность вашей личной информации.

Аутентификация стала полезной практикой защиты информации как для компаний, так и для людей. Надежные пароли, хорошие привычки обмена и инструменты MFA — все это поможет защитить ваши учетные записи и сети от компрометации.

Чтобы получить дополнительные советы и рекомендации по предотвращению атак на вашу сеть или поработать с поставщиком услуг безопасности для улучшения методов безопасности вашего бизнеса, посетите frsecure.com.

Аутентификация: определение, типы, использование и многое другое

Автор

Эндрю Магнуссон
Директор по работе с глобальными клиентами
СильныйDM

Проверено

Джастин Маккарти
Соучредитель / технический директор
StrongDM

Резюме: Хорошая кибербезопасность зависит от предоставления нужным людям доступа к нужной информации в нужное время. Но как убедиться, что пользователи, пытающиеся получить доступ к вашим системам, являются теми, за кого себя выдают? Аутентификация . В этой статье мы всесторонне рассмотрим аутентификацию, включая то, что это такое, как она работает и как выглядит будущее аутентификации. К концу этого обзора вы поймете различные типы аутентификации, три основных фактора аутентификации и то, как аутентификация используется для защиты данных и систем от угроз.

Что такое аутентификация?

Аутентификация — это процесс проверки пользователя или устройства перед предоставлением доступа к системе или ресурсам.

Другими словами, аутентификация означает подтверждение того, что пользователь является тем, кем он себя называет. Это гарантирует, что только те, у кого есть авторизованные учетные данные, получат доступ к безопасным системам. Когда пользователь пытается получить доступ к информации в сети, он должен предоставить секретные учетные данные для подтверждения своей личности. Аутентификация позволяет с уверенностью предоставлять доступ нужному пользователю в нужное время. Но это не происходит изолированно.

Аутентификация является частью трехэтапного процесса получения доступа к цифровым ресурсам:

1. Идентификация — кто вы?
2. Аутентификация — подтвердите это.
3. Авторизация — у вас есть разрешение?

Для идентификации требуется идентификатор пользователя, такой как имя пользователя. Но без аутентификации личности невозможно узнать, действительно ли это имя пользователя принадлежит им. Вот где вступает в действие аутентификация — соединение имени пользователя с паролем или другими подтверждающими учетными данными.

Наиболее распространенным методом аутентификации является уникальный логин и пароль, но поскольку угрозы кибербезопасности в последние годы возросли, большинство организаций используют и рекомендуют дополнительные факторы аутентификации для многоуровневой безопасности.

История аутентификации

Цифровая аутентификация восходит к 1960-м годам, когда современные компьютеры стали доступны в крупных научно-исследовательских институтах и ​​университетах. В то время компьютеры были огромными — часто занимали целые комнаты — и дефицитным ресурсом. В большинстве университетов, где был компьютер, был только один. Это означало, что студенты и исследователи должны были поделиться ею. Но это также означало, что пользователи могли без ограничений получать доступ к файлам других пользователей.

Когда Фернандо Корбато, студент Массачусетского технологического института, заметил эту слабость, он создал простую программу паролей, которая предлагала пользователю ввести свой пароль и сохраняла его в текстовом файле в файловой системе. Оттуда родилась цифровая аутентификация.

Хронология цифровой аутентификации

1960-е годы: пароли и шифрование
В 1961 году Корбато создал программу паролей для использования в компьютерной системе Массачусетского технологического института. К концу 1960-х годов программисты работали над созданием более надежного решения для паролей, которое не хранилось бы в текстовых файлах. Роберт Моррис, криптограф из Bell Labs, разработал схему шифрования паролей, работая над Unix. В нем использовалась функция получения ключа, которая вычисляет секретное значение и упрощает вычисления в одном направлении, но не в обратном.

1970-е годы: асимметричная криптография
Асимметричная криптография, также известная как криптография с открытым ключом, использует математически связанную пару ключей — один открытый и один частный — для шифрования и расшифровки информации. Асимметричная криптография была разработана в 1970-х годах британскими государственными служащими Джеймсом Эллисом, Клиффордом Коксом и Малкольмом Дж. Уильямсоном. Однако это знание не было обнародовано до 1997 года.

1980-е годы: динамические пароли
Традиционные пароли быстро стали недостаточными по мере развития технологий. Пароли легко угадывались, и многие люди повторно использовали свои пароли, что делало их уязвимыми. Поэтому ученые-компьютерщики разработали динамические пароли. Динамические пароли меняются в зависимости от таких переменных, как местоположение, время или обновление физического пароля. В конце концов, были введены два протокола динамических паролей:

TOTP — одноразовый пароль на основе времени (OTP), где пароль генерируется на основе запрошенного времени.

HOTP — HMAC (код проверки подлинности сообщения на основе хэша) OTP — это OTP на основе событий, в котором пароль создается с помощью хэш-кода, использующего инкрементный счетчик.

Динамические пароли часто используются в сочетании с обычными паролями в качестве одной из форм двухфакторной аутентификации.

1990-е годы: инфраструктура открытых ключей
После того, как асимметричная криптография стала достоянием общественности, ученые-компьютерщики использовали эту работу и стандартизировали ее путем разработки инфраструктуры открытых ключей (PKI). PKI определил, как создавать, хранить и отправлять цифровые сертификаты, добавляя более надежную защиту для онлайн-пользователей и связи.

2000-е: многофакторная аутентификация и единый вход
К началу 2000-х программисты создали более надежные технологии аутентификации с многоуровневой защитой.

Многофакторная проверка подлинности требовала от пользователей предоставления двух форм проверки перед получением доступа. А система единого входа (SSO) упростила процесс проверки, так что пользователям нужно вводить учетные данные только в одной точке доступа, проверенной доверенной третьей стороной.

2010-е: Биометрия
До 2010-х биометрическая аутентификация была зарезервирована для правительственного доступа с высоким уровнем безопасности и шпионских фильмов. Но с развитием новейших технологий биометрия стала обычной формой аутентификации, включая TouchID и FaceID на смарт-устройствах.

Важность аутентификации

В настоящее время кибератаки представляют серьезную угрозу для организаций. По мере того, как все больше людей работают удаленно, а облачные вычисления становятся нормой во всех отраслях, ландшафт угроз в последние годы расширился в геометрической прогрессии. В результате Согласно недавнему исследованию Identity Defined Security Alliance (IDSA), 94 % корпоративных организаций столкнулись с утечкой данных, причем 79 % были взломаны за последние два года .

Кроме того, исследование Cybersecurity Insiders показало, что 90% респондентов подверглись фишинговым атакам в 2020 году, а еще 29% подверглись атакам с подменой учетных данных и подбором пароля, что привело к значительным затратам службы поддержки из-за сброса пароля.

В связи с тем, что глобальные расходы на киберпреступность, как ожидается, будут расти на 15% в год в течение следующих пяти лет и к 2025 году достигнут 10,5 триллионов долларов США в год, организациям как никогда важно защищать себя.

В результате аутентификация становится все более важной стратегией снижения риска для снижения риска и защиты конфиденциальных данных. Аутентификация помогает организациям и пользователям защитить свои данные и системы от злоумышленников, стремящихся получить доступ и украсть (или использовать) личную информацию. Эти системы могут включать компьютерные системы, сети, устройства, веб-сайты, базы данных и другие приложения и службы.

Организации, инвестирующие в аутентификацию в рамках стратегии инфраструктуры управления идентификацией и доступом (IAM), получают многочисленные преимущества, в том числе:

• Ограничение утечки данных
• Сокращение и управление организационными затратами
• Достижение соответствия нормативным требованиям

Развитие многофакторной аутентификации

Одним из наиболее важных способов защиты данных является многофакторная аутентификация (MFA). Отчет DBIR за 2021 год показал, что учетные данные являются наиболее часто скомпрометированными данными при взломе, особенно при фишинговой атаке, которая обычно использует учетные данные жертвы для получения дальнейшего доступа к целевой организации.

Но многофакторная аутентификация добавляет еще один уровень проверки, который может помочь предотвратить подобные атаки. Другими словами, даже если хакеры украдут ваши учетные данные, этого будет недостаточно для проникновения в систему.

Microsoft и Google недавно расхваливали преимущества включения многофакторной аутентификации в свои передовые методы обеспечения безопасности:

«Наше исследование показывает, что простое добавление резервного номера телефона в вашу учетную запись Google может заблокировать до 100% автоматические боты, 99% массовых фишинговых атак и 66% целевых атак , которые произошли во время нашего расследования», — поделился Google. текущий пароль . Это особенно важно, поскольку одних только паролей уже недостаточно для защиты учетных записей, — объясняет Алекс Вейнерт, руководитель групповой программы по безопасности и защите личных данных в Microsoft. снижает риск несанкционированного доступа и атак методом грубой силы, поэтому организации и пользователи могут надежно защитить свои учетные записи и другие важные данные9. 0003

Варианты использования аутентификации

Сегодня аутентификация является обычной практикой не только среди ИТ-специалистов и ученых, но и среди нетехнических пользователей. Будь то вход в Facebook с именем пользователя и паролем или открытие телефона с помощью TouchID или уникального PIN-кода, большинство людей использовали аутентификацию для доступа к своей личной информации и устройствам дома и на работе.

Конечно, по мере того, как технологии развиваются, а хакеры становятся все более искусными и широко распространенными, новые методы аутентификации набирают обороты для лучшей защиты личных, деловых и государственных ресурсов от несанкционированного доступа. Подробнее об этих методах мы поговорим ниже.

Как работает аутентификация?

Базовая аутентификация включает подтверждение того, что пользователь является тем, кем он себя называет, с помощью таких методов аутентификации, как имя пользователя и пароль, биометрическая информация, такая как распознавание лиц или сканирование отпечатков пальцев, а также телефонные или текстовые подтверждения (которые чаще всего используются как часть двух- методы факторной аутентификации).

Но как работает аутентификация на сервере?

Для аутентификации личности с помощью логина и пароля (наиболее распространенная форма аутентификации) процесс довольно прост:

1. Пользователь создает имя пользователя и пароль для входа в учетную запись, к которой он хочет получить доступ. Эти логины затем сохраняются на сервере.
2. Когда этот пользователь входит в систему, он вводит свое уникальное имя пользователя и пароль, и сервер сверяет эти учетные данные с теми, которые сохранены в его базе данных. Если они совпадают, пользователю предоставляется доступ.

Имейте в виду, что многие приложения используют файлы cookie для аутентификации пользователей после первоначального входа в систему, чтобы им не приходилось каждый раз входить в свою учетную запись. Каждый период, в течение которого пользователь может войти в систему без повторной аутентификации, называется сеансом. Чтобы сеанс оставался открытым, приложение делает две вещи, когда пользователь входит в систему в первый раз:

1. Создайте токен (строку уникальных символов), привязанный к учетной записи.
2. Назначить браузеру файл cookie с прикрепленным токеном.

Когда пользователь загружает безопасную страницу, приложение проверяет маркер в файле cookie браузера и сравнивает его с маркером в своей базе данных. Если они совпадают, пользователь сохраняет доступ без повторного ввода своих учетных данных.

В конце концов, приложение уничтожает токен на сервере, что приводит к тайм-ауту сеанса пользователя. Преимущество этого типа аутентификации заключается в том, что он упрощает взаимодействие с пользователем и экономит время пользователя. Однако это также означает, что устройство или браузер, в который вошел пользователь, уязвимы, если попадут в чужие руки.

Факторы аутентификации

Фактор аутентификации — это категория учетных данных, используемых для аутентификации или подтверждения личности пользователя. Факторы аутентификации могут включать пароли, токены безопасности (такие как ключи или смарт-карты) и биометрическую проверку, такую ​​как сканирование отпечатков пальцев.

Существует три основных фактора аутентификации:

• То, что вы знаете (факторы знаний): Это наиболее распространенный фактор аутентификации. Он проверяет личность, подтверждая пользователей с помощью имеющейся у них конфиденциальной информации, такой как логин и пароль.
• То, что у вас есть (также известные как факторы владения): Пользователи подтверждают свою личность с помощью уникального объекта, такого как карта доступа или брелок. Эта аутентификация устраняет риск забывания паролей; однако это означает, что пользователь должен иметь объект при себе всякий раз, когда ему нужно получить доступ к системе, и они рискуют потерять его в результате несчастного случая или кражи.
• Что-то, чем вы являетесь (также известные как факторы наследственности): Фактор наследственности подтверждает личность с помощью неотъемлемых биометрических характеристик пользователя, таких как отпечаток пальца, голос или структура радужной оболочки глаза. Преимущество биометрической аутентификации в том, что ее труднее потерять или воспроизвести. Но они могут быть дорогими и менее точными, чем традиционные факторы аутентификации.

Существуют ли дополнительные факторы аутентификации?

Некоторые указывают на такие меры, как местоположение (где-то вы находитесь) и время (сколько сейчас времени) в качестве дополнительных факторов аутентификации. Но их лучше классифицировать как элементы управления безопасностью или дополнительную аутентификацию.

Как поясняет Национальный институт стандартов и технологий (NIST), федеральное агентство, которое публикует официальные руководства по кибербезопасности:

«Другие типы информации, такие как данные о местоположении или идентификационные данные устройства, могут использоваться проверяющей стороной (RP) или верификатор для оценки риска заявленной личности, но они не считаются факторами аутентификации ».

Это связано с тем, что вы не можете подтвердить чью-либо личность, основываясь только на том, где они находятся или когда они получают доступ к системе. Например, два человека могут находиться в одном и том же месте, но это явно не один и тот же человек. Само по себе их расположение не может быть определяющим фактором. Точно так же время само по себе не может быть использовано для идентификации кого-либо.

Но их можно применять в качестве дополнительных уровней безопасного управления доступом в дополнение к основным факторам аутентификации. Например, вы можете запланировать доступ в определенные часы дня или недели. Пользователям, пытающимся получить доступ к системе за пределами этих временных окон, будет отказано. Кроме того, вы можете использовать местоположение, например местоположение GPS или IP-адрес, чтобы обнаруживать аномальные действия.

Типы проверки подлинности

Однофакторная проверка подлинности

Однофакторная проверка подлинности (SFA) или однофакторная проверка подлинности предполагает сопоставление одних учетных данных для получения доступа к системе (т. е. имени пользователя и пароля). Хотя это наиболее распространенная и известная форма аутентификации, она считается небезопасной, и Агентство по кибербезопасности и безопасности инфраструктуры (CISA) недавно добавило ее в свой список недобросовестных методов.

Основным недостатком является то, что однофакторная аутентификация обеспечивает только один барьер. Хакерам нужно только украсть учетные данные, чтобы получить доступ к системе. А такие методы, как повторное использование пароля, совместное использование пароля администратора и использование стандартных или иных слабых паролей, значительно облегчают хакерам их угадывание или получение.

Двухфакторная аутентификация

Двухфакторная аутентификация (2FA) добавляет второй уровень защиты к вашим точкам доступа. Вместо одного фактора аутентификации для двухфакторной аутентификации требуется два фактора аутентификации из трех категорий:

• То, что вы знаете (например, имя пользователя и пароль)
• Что-то, что у вас есть (например, токен безопасности или смарт-карта)
• Что-то, чем вы являетесь (например, TouchID или другие биометрические учетные данные)

Имейте в виду, что хотя имя пользователя и пароль представляют собой две части информации, они оба являются факторами знаний, поэтому считаются одним фактором. Чтобы считаться двухфакторной аутентификацией, другой метод аутентификации должен относиться к одной из двух других категорий.

2FA более безопасна, потому что даже если пароль пользователя будет украден, хакеру придется предоставить вторую форму аутентификации для получения доступа, что гораздо менее вероятно.

Трехфакторная аутентификация

Трехфакторная аутентификация (3FA) требует учетных данных, подтверждающих личность, от трех отдельных факторов аутентификации (т. е. одного от того, что вы знаете, одного от того, что у вас есть, и одного от того, кем вы являетесь). Как и 2FA, трехфакторная аутентификация является более безопасным процессом аутентификации и добавляет третий уровень защиты доступа к вашим учетным записям.

Многофакторная проверка подлинности

Многофакторная проверка подлинности (MFA) относится к любому процессу, требующему двух или более факторов проверки подлинности. Двухфакторная и трехфакторная аутентификация считаются многофакторной аутентификацией.

Аутентификация единого входа

Аутентификация единого входа (SSO) позволяет пользователям входить в систему и получать доступ к нескольким учетным записям и приложениям, используя только один набор учетных данных. Чаще всего мы видим это на практике в таких компаниях, как Facebook или Google, которые позволяют пользователям создавать и входить в другие приложения, используя свои учетные данные Google или Facebook. По сути, приложения передают процесс аутентификации на аутсорсинг доверенной третьей стороне (например, Google), которая уже подтвердила личность пользователя.

Система единого входа может повысить безопасность за счет упрощения управления именами пользователей и паролями для пользователей, а также ускорить и упростить вход в систему. Это также может сократить время, затрачиваемое службой поддержки на сброс забытых паролей. Кроме того, администраторы по-прежнему могут централизованно контролировать такие требования, как многофакторная аутентификация и сложность пароля, и может быть проще удалить учетные данные после того, как пользователь покинет организацию.

Одноразовый пароль

Одноразовый пароль (OTP) или одноразовый PIN-код (иногда называемый динамическим паролем) — это автоматически сгенерированный пароль, действительный для одного сеанса входа или транзакции. OTP часто используется для MFA. Например, пользователь начнет входить в систему со своим именем пользователя и паролем, что затем запускает приложение для отправки одноразового пароля на его зарегистрированный телефон или адрес электронной почты. Затем пользователь может ввести этот код для завершения аутентификации и входа в свою учетную запись.

Аутентификация без пароля

Аутентификация без пароля, как следует из названия, не требует пароля или другого фактора аутентификации, основанного на знаниях. Как правило, пользователь вводит свой идентификатор, а затем ему предлагается пройти аутентификацию с помощью зарегистрированного устройства или токена. Аутентификация без пароля часто используется в сочетании с единым входом и многофакторной аутентификацией для улучшения взаимодействия с пользователем, упрощения и сложности администрирования ИТ и повышения безопасности.

Аутентификация на основе сертификатов

Проверка подлинности на основе сертификатов (CBA) использует цифровой сертификат для идентификации и проверки подлинности пользователя, устройства или компьютера. Цифровой сертификат, также известный как сертификат открытого ключа, представляет собой электронный документ, в котором хранятся данные открытого ключа, включая информацию о ключе, его владельце и цифровую подпись, подтверждающую личность. CBA часто используется как часть процесса двухфакторной или многофакторной аутентификации.

Биометрия

Биометрическая аутентификация опирается на биометрические данные, такие как отпечатки пальцев, сканирование сетчатки глаза и сканирование лица, для подтверждения личности пользователя. Для этого система должна сначала собрать и сохранить биометрические данные. А затем, когда пользователь входит в систему, он представляет свои биометрические данные, и система сравнивает их с биометрическими данными в своей базе данных. Если они совпадают, они в игре.

Аутентификация и авторизация

Так в чем же разница между аутентификацией и авторизацией?

Проще говоря, аутентификация — это процесс подтверждения личности пользователя, а авторизация — это процесс проверки того, к каким файлам, данным и приложениям разрешен доступ этому пользователю. После аутентификации пользователя авторизация предоставляет ему доступ к разным уровням информации и к выполнению определенных функций на основе заранее определенных правил, установленных для определенных типов пользователей.

Например, сотрудники отдела продаж могут иметь доступ к определенным приложениям и базам данных, которые позволяют им выполнять свою работу и эффективно сотрудничать. Но у них не будет доступа к внутренним серверам и программному обеспечению, которое ИТ-отдел использует для управления информационной инфраструктурой компании. Эта стратегия безопасности называется доступом с наименьшими привилегиями (или, формально, принципом наименьших привилегий [POLP]), и она гарантирует, что пользователям предоставляется доступ только к той информации и системам, которые им необходимы для выполнения их работы — ни больше, ни меньше. Это защищает данные организации, ограничивая количество пользователей, которые могут получить доступ к конфиденциальной информации, уменьшая площадь поверхности для угроз.

Организации могут использовать аутентификацию и авторизацию как часть стратегической структуры для интеллектуального управления доступом в своих системах.

Новые тенденции аутентификации

Методы аутентификации постоянно развиваются. По мере того как угрозы безопасности становятся все более сложными, мы будем видеть все больше и больше передовых протоколов аутентификации для обеспечения безопасного доступа в различных отраслях. Одна из главных тенденций будет заключаться в улучшении и расширении возможностей биометрической аутентификации.

Statista сообщает, что мировой рынок биометрических систем, по прогнозам, достигнет почти 43 миллиардов долларов в 2022 году. Ожидается, что в ближайшие годы рынок резко вырастет, достигнув размера 83 миллиардов долларов к 2027 году.

Еще одной ключевой областью роста будет в адаптивной аутентификации. Это следующее поколение MFA основано на искусственном интеллекте и машинном обучении для определения дополнительной информации о пользователе, такой как местоположение, время и устройство, для контекстуализации попытки входа в систему и выявления подозрительного поведения при доступе.

По мере того, как угрозы безопасности становятся все более сложными, адаптивные меры MFA будут необходимы для блокировки злоумышленников.

Обеспечение светлого будущего

Надежные методы аутентификации имеют решающее значение для защиты вашей организации и снижения рисков, которые угрожают вашей будущей жизнеспособности. Тем не менее, слабая аутентификация остается распространенной уязвимостью для информационных систем.

Как показано в Руководстве по расширению емкости CISA: «Актив с самым слабым методом аутентификации становится потенциальным путем для обхода более строгой аутентификации для системы, к которой он подключен. Злоумышленники могут легко проникнуть в здание из бетона и стали с усиленными дверями и сложными замками, если есть большие открытые окна».

Аутентификация в StrongDM

Платформа доступа к инфраструктуре StrongDM предоставляет комплексные решения по управлению доступом для всей вашей организации. Управляйте и проверяйте доступ к вашим базам данных, серверам, кластерам и веб-приложениям — все с помощью одного простого решения.

StrongDM обеспечивает защиту доступа на каждом этапе от аутентификации до авторизации, обеспечивая полное наблюдение, чтобы вы знали, что защищены в каждой точке доступа.

Защитите свою инфраструктуру, включая все ваши конфиденциальные данные, с помощью StrongDM. Закажите демоверсию без BS сегодня.

об авторе

Эндрю Магнуссон (Andrew Magnusson), директор по глобальному обслуживанию клиентов , 20 лет проработал в сфере информационной безопасности, выполняя самые разные задачи: от администрирования брандмауэров до мониторинга сетевой безопасности. Его навязчивая идея дать людям доступ к ответам привела его к публикации
Практическое управление уязвимостями с помощью No Starch Press в 2020 году.

This entry was posted in Популярное