Какво представлява удостоверяването?
Научете как се проверяват самоличностите на хората, приложенията и услугите, преди да им бъде даден достъп до цифрови системи и ресурси.
Дефиниране на удостоверяването
Удостоверяването е процесът, който фирмите използват, за да потвърдят, че само правилните хора, услуги и приложения с правилните разрешения могат да получават достъп до ресурси на организацията. То е важна част от киберсигурността, тъй като приоритет номер едно на лошите действащи лица е да получат неупълномощен достъп до системите. Те правят това, като открадват потребителското име и паролите на потребителите, които имат достъп. Процесът на удостоверяване включва три основни стъпки:
- Идентифициране: обикновено потребителите показват кои са чрез потребителско име.
- Удостоверяване: обикновено потребителите доказват, че са тези, които казват, като въведат парола (нещо, което само потребителят трябва да знае), но за да подсилят защитата, много организации също така изискват от тях да доказват самоличността си с нещо, което имат (телефон или устройство с маркери) или нещо, което са (скенер на пръстови отпечатъци или лица).
- Упълномощаване: системата проверява дали потребителите имат разрешение за системата, до която се опитват да получат достъп.
Защо е важно удостоверяването?
Удостоверяването е важно, тъй като помага на организациите да защитават своите системи, данни, мрежи, уеб сайтове и приложения от атаки. Също така помага на физическите лица да запазят поверителността на личните си данни, като им дава възможност да извършват бизнес, като например банкиране или инвестиране, онлайн с по-малък риск. Когато процесите за удостоверяване не са добри, е по-лесно атакуващ да компрометира даден акаунт, като отгатне отделни пароли или подмами хората да предадат идентификационните си данни. Това може да доведе до следните рискове:
- Пробив в данните или ексфилтриране.
- Инсталиране на злонамерен софтуер, като например рансъмуер.
- Несъответствие с регионалните или отрасловите разпоредби за поверителност на данните.
Как работи удостоверяването
За хора удостоверяването включва настройване на потребителско име, парола и други методи за удостоверяване, като например лицево сканиране, пръстов отпечатък или ПИН код. За да се защитят самоличностите, никой от тези методи за удостоверяване не се записва в базата данни на услугата. Паролите са хеширани (не шифровани) и хешовете се записват в базата данни. Когато потребител въведе парола, въведената парола също се хешира, а хешовете се сравняват. Ако двата хеша съвпадат, се предоставя достъп. За пръстови отпечатъци и лицеви сканирания информацията се кодира, шифрова и записва на устройството.
Типове методи за удостоверяване
При модерното удостоверяване процесът на удостоверяване се делегира на надеждна, отделна система за самоличност, за разлика от традиционното удостоверяване, при което всяка система сама проверява самоличностите. Също така е настъпила промяна в типа на използваните методи за удостоверяване. Повечето приложения изискват потребителско име и парола, но тъй като лошите действащи лица са станали по-добри в кражбата на пароли, общността за защита е разработила няколко нови метода за защита на самоличностите.
Удостоверяване, базирано на парола
Удостоверяването, базирано на парола, е най-често срещаната форма на удостоверяване. Много приложения и услуги изискват от хората да създават пароли, които използват комбинация от цифри, букви и символи, за да се намали рискът лошо действащо лице да ги отгатне. Въпреки това паролите създават предизвикателства, свързани със защитата и използваемостта. Трудно е хората да измислят и запомнят уникална парола за всеки от своите онлайн акаунти, поради което те често използват повторно пароли. И атакуващите използват много тактики, за да отгатнат или откраднат пароли или да примамят хората да ги споделят против волята си. Поради тази причина организациите преминават от пароли към други по-защитени форми на удостоверяване.
Удостоверяване, базирано на сертификат
Удостоверяването, базирано на сертификат, е шифрован метод, който позволява на устройствата и хората да се идентифицират пред други устройства и системи. Два често срещани примера са смарт карта или когато устройство на служител изпраща цифров сертификат към мрежа или сървър.
Удостоверяване с биометрични данни
При удостоверяването с биометрични данни хората потвърждават самоличността си с помощта на биологични характеристики. Например много хора използват пръст или палец, за да влязат в телефоните си, а някои компютри сканират лицето или ретината на човек, за да потвърдят самоличността им. Биометричните данни също са свързани с конкретно устройство, така че атакуващите не могат да ги използват, без да получат достъп и до устройството. Този тип удостоверяване е все по-популярен, защото е лесен за хората – не е необходимо те да запомнят нещо – и е трудно лошите действащи лица да ги откраднат, което го прави по-защитен от паролите.
Удостоверяване, базирано на маркер
При удостоверяване, базирано на маркер, както устройство, така и системата генерират нов уникален номер, наречен „базиран на време еднократен ПИН код“ (TOTP) на всеки 30 секунди. Ако числата съвпадат, системата проверява дали устройството е на потребителя.
Еднократна парола
Еднократните пароли (OTP) са кодове, генерирани за конкретно събитие за влизане, и срокът им изтича скоро след издаването им. Те се доставят чрез SMS съобщения, имейл или хардуерен маркер.
Насочено известие
Някои приложения и услуги използват насочени известия за удостоверяване на потребителите. В тези случаи хората получават съобщение на телефона си с молба да одобрят или отхвърлят искането за достъп. Тъй като понякога хората случайно одобряват насочени известия, въпреки че не се опитват да влязат в услугите, които са изпратили известието, този метод понякога се комбинира с OTP метод. С OTP системата генерира уникален номер, който потребителят трябва да въведе. Това прави удостоверяването по-устойчиво на фишинг.
Гласово удостоверяване
При гласово удостоверяване лицето, което се опитва да получи достъп до услуга, получава телефонно обаждане, в което е помолено да въведе код или да се идентифицира с думи.
Многофакторно удостоверяване
Един от най-добрите начини за намаляване на компрометирането на акаунти е да се изискват два или повече метода за удостоверяване, които може да включват някой от изброените по-рано методи. Ефективна най-добра практика е да изисквате две от следните неща:
- Нещо, което потребителят знае, обикновено парола.
- Нещо, което има, като например надеждно устройство, което не се дублира лесно, като телефон или хардуерен маркер.
- Нещо, което е, например пръстов отпечатък или сканиране на лице.
Например много организации искат парола (нещо, което потребителят знае) и също така изпращат OTP чрез SMS до надеждно устройство (нещо, което потребителят има), преди да разрешат достъпа.
Двустепенно удостоверяване
Допълнителна информация за двустепенното удостоверяванеДвустепенното удостоверяване е тип многофакторно удостоверяване, което изисква две форми на удостоверяване.
Въпреки че удостоверяването, понякога наричано AuthN, и упълномощаването, понякога наричано AuthZ, често се използват взаимозаменяемо, те са две свързани, но отделни неща. Удостоверяването потвърждава, че потребителят, който влиза, е този, който казва, че е, докато упълномощаването потвърждава, че има правилните разрешения за достъп до информацията, която иска. Например някой в човешките ресурси може да има достъп до чувствителни системи, като заплати или файлове на служители, които другите не могат да виждат. Както удостоверяването, така и упълномощаването са от решаващо значение за продуктивността и защитата на чувствителните данни, интелектуалната собственост и поверителността.
Най-добри практики за защита при удостоверяване
Тъй като компрометираният акаунт е толкова често срещан начин атакуващите да получат неупълномощен достъп до ресурсите на фирмата, е важно да се въведе сигурна защита на удостоверяването. Ето няколко неща, които можете да направите, за да защитите вашата организация:
-
Внедряване на многофакторно удостоверяване
Най-важното нещо, което можете да направите, за да намалите риска от компрометиране на акаунта, е да включите многофакторно удостоверяване и да изисквате поне два фактора за удостоверяване. Много по-трудно е атакуващите да откраднат повече от един метод за удостоверяване, особено ако един от тях е биометрични данни или нещо, което потребителят притежава, например устройство. За да опростите максимално нещата за служители, клиентите и партньори, дайте им избор от няколко различни фактора. Въпреки че е важно да се отбележи, че не всички методи за удостоверяване са равностойни. Някои са по-защитени от други. Например въпреки че получаването на SMS е по-добре от нищо, насоченото известие е по-защитено.
-
Преминаване към удостоверяване без парола
След като настроите многофакторно удостоверяване, можете дори да изберете да ограничите използването на пароли и да насърчите хората да използват два или повече от другите методи за удостоверяване, като например ПИН код и биометрични данни. Намаляването на използването на пароли и преминаването към Решение за удостоверяване без паролаудостоверяване без парола ще опрости процеса на влизане и ще намали риска от компрометиране на акаунти.
-
Прилагане на защита с парола
В допълнение към образоването на служителите има инструменти, които можете да използвате, за да намалите използването на лесни за отгатване пароли. Решенията за защита с парола ви позволяват да забраните често използвани такива, като например Password1. И можете да създадете потребителски списък, който е специфичен за вашата фирма или регион, като например с имената на местни спортни отбори или ориентири.
-
Разрешаване на многофакторното удостоверяване, базирано на риска
Някои събития за удостоверяване са iиндикатори за компрометиране, например когато служител се опитва да получи достъп до вашата мрежа от ново устройство или странно местоположение. Други събития за влизане може да не са нетипични, но са с по-висок риск, например когато специалист по човешки ресурси се нуждае от достъп до лични данни на служител. За да намалите риска, конфигурирайте решение за управление на самоличности и достъп (IAM) , което да изисква поне два фактора за удостоверяване, когато открие тези типове събития.
-
Приоритизиране на използваемостта
Ефективната защита изисква съгласие от служителите и другите заинтересовани лица. Правилата за защита понякога могат да попречат на хората да извършват рискови онлайн дейности, но ако правилата са твърде трудни за използване, хората ще намерят заобиколно решение. Най-добрите решения се съобразяват с реалистичното човешко поведение. Разположете функции като самостоятелно нулиране на пароли, за да се избегне необходимостта хората да се обаждат на помощния център, когато забравят парола. Това също така може да ги насърчи да изберат сигурна парола, тъй като знаят, че ще бъде лесно да я нулират, ако я забравят по-късно. Позволяването на хората да избират кой метод за удостоверяване предпочитат, е друг добър начин да се улесни влизането им.
-
Разполагане на еднократна идентификация
Една чудесна функция, която подобрява използваемостта и защитата, е еднократната идентификация (SSO). Никой не обича да бъде питан за парола всеки път, когато сменя приложения, и може да бъде насърчен да използва една и съща парола в няколко акаунта, за да спести време. С еднократната идентификация служителите трябва да влязат само веднъж, за да имат достъп до повечето или всички приложения, от които се нуждаят за работа. Това намалява конфликтите и ви позволява да прилагате универсални или условни правила за защита, като многофакторно удостоверяване, към всички софтуерни програми, използвани от служителите.
-
Използвайте принципа за най-малко привилегии
Ограничете броя на привилегированите акаунти въз основа на ролите и дайте на хората най-малкото привилегии, необходими за изпълнение на техните задачи. Установяването управление на достъпа помага да се гарантира, че по-малко хора могат да стигнат до вашите най-важни данни и системи. Когато някой трябва да изпълни чувствителна задача, използвайте управление на привилегирования достъп, като например активиране „точно навреме“ с определена продължителност, за да намалите допълнително риска. Това също така помага да се изисква административните дейности да се извършват само на много защитени устройства, които са различни от компютрите, които хората използват за ежедневни задачи.
-
Не изключвайте вероятността от пробиви и извършвайте редовни проверки
В много организации ролите и състоянието на заетост на хората се променят редовно. Служители напускат фирмата или сменят отделите. Партньорите се включват и напускат проекти. Може да е проблем, когато правилата за достъп не са в крак с промените. Важно е да се гарантира, че хората не запазват достъпа до системи и файлове, от които вече не се нуждаят за работата си. За да намалите риска атакуващият да получи чувствителна информация, използвайте решение за управление на самоличности, което да ви помогне да проверявате непрекъснато вашите акаунти и роли. Тези инструменти също така ви помагат да гарантирате, че хората имат достъп само до това, което им трябва, и че акаунтите за хората, които са напуснали организацията, вече не са активни.
-
Защита на самоличностите от заплахи
Решенията за управление на самоличности и достъп предлагат много инструменти, които да ви помогнат да намалите риска от компрометиране на акаунти, но все пак е разумно да не изключвате вероятността за пробив в защитата. Дори добре образованите служители понякога се попадат в капана на фишинг измамите. За да откривате на ранен етап компрометиране на акаунти, инвестирайте в решения за защита от заплахи за самоличностите и внедрявайте правила, които ви помагат да откривате и отговаряте на подозрителна дейност. Много съвременни решения, като например Microsoft Security Copilot, използват ИИ не само за откриване на заплахи, но и за автоматична реакция на тях.
Решения за удостоверяване в облака
Удостоверяването е от решаващо значение както за силната програма за киберсигурност, така и за осигуряването на възможности за продуктивност на работниците. Едно цялостно, базирано в облака решение за управление на самоличности и достъп, като напримерMicrosoft Entra, ви предоставя инструменти, които да помогнат на хората лесно да получат това, което им е необходимо, за да вършат работата си, като същевременно прилага мощни контроли, които намаляват риска атакуващите да компрометират даден акаунт и да получат достъп до чувствителни данни.
Научете повече за Microsoft Security
Microsoft Entra ID
Защитете своята организация с управление на самоличности и достъп.
Управление на ИД на Microsoft Entra
Автоматично се уверявайте, че правилните хора имат правилния достъп до правилните приложени в правилния момент.
Управление на разрешения на Microsoft Entra
Получете едно унифицирано решение за управление на разрешения за всяка самоличност в цялата ви инфраструктура в множество облаци.
Проверен ИД на Microsoft Entra
Децентрализирайте самоличностите си с услуга за управлявани удостоверими идентификационни данни, базирана на отворени стандарти.
ИД на работното натоварване на Microsoft Entra
Управлявайте и защитавайте самоличностите, предоставени на приложения и услуги.
Често задавани въпроси
-
Има много различни типове удостоверяване. Някои примери са:
- Много хора влизат в телефоните си с помощта на лицево разпознаване или пръстов отпечатък.
- Банки и други услуги често изискват от хората да влизат с парола, както и код, който се изпраща автоматично чрез SMS.
- Някои акаунти изискват само потребителско име и парола, въпреки че много организации преминават към многофакторно удостоверяване, за да увеличат защитата.
- Служителите често влизат в компютъра си и получават достъп до няколко различни приложения едновременно, което е известно като еднократна идентификация.
- Има и акаунти, които позволяват на потребителите да влизат с акаунт за Facebook или Google. В този случай Facebook, Google или Microsoft носи отговорност за удостоверяването на потребителя и подаването на упълномощаването към услугата, до която потребителят иска да получи достъп.
-
Удостоверяването в облака е услуга, която потвърждава, че само правилните хора и приложения с правилните разрешения могат да получат достъп до мрежи и ресурси в облака. Много приложения в облака имат вградено удостоверяване, което е базирано в облака, но има и по-широкомащабни решения, като например Microsoft Entra ID, които са предназначени да обработват удостоверяването в множество приложения и услуги в облака. Тези решения обикновено използват протокола SAML, за да разрешат една услуга за удостоверяване да работи в няколко акаунта.
-
Въпреки че удостоверяването и упълномощаването често се използват взаимозаменяемо, те са две свързани, но отделни неща. Удостоверяването потвърждава, че потребителят, който влиза, е този, който казва, че е, докато упълномощаването потвърждава, че има правилните разрешения за достъп до информацията, която иска. Използвани заедно, удостоверяването и упълномощаването спомагат за намаляване на риска атакуващият да получи достъп до чувствителни данни.
-
Удостоверяването се използва, за да се провери дали хората и обектите са тези, които казват, че са, преди да им се предостави достъп до цифрови ресурси и мрежи. Въпреки че основната цел е защитата, съвременните решения за удостоверяване също така са предназначени да подобрят използваемостта. Например много организации реализират решения за еднократна идентификация, за да улеснят служителите в намирането на това, което им е необходимо, за да вършат работата си. Потребителските услуги често позволяват на хората да влизат със своя акаунт за Facebook, Google или Microsoft, за да ускорят процеса на удостоверяване.
Следвайте Microsoft Security