Trace Id is missing
Preskoči na glavno vsebino
Microsoftova varnost

Kaj je preverjanje pristnosti?

Spoznajte načine preverjanja identitet ljudi, aplikacij in storitev pred pridobitvijo dostopa do digitalnih sistemov in virov.

Definicija preverjanja pristnosti

Preverjanje pristnosti je postopek, s katerim podjetja potrdijo, da lahko do virov organizacije dostopajo le ustrezni ljudje, storitve in aplikacije z ustreznimi dovoljenji. To je pomemben del kibernetske varnosti, saj je glavna naloga akterja grožnje pridobitev nepooblaščenega dostopa do sistemov. To stori tako, da ukrade uporabniška imena in gesla uporabnikov, ki imajo dostop. Postopek preverjanja pristnosti vključuje tri glavne korake:

  • Identifikacija: Uporabniki običajno določijo svojo identiteto z uporabniškim imenom.
  • Preverjanje pristnosti: Uporabniki običajno dokažejo svojo identiteto z vnosom gesla (ki naj bi ga poznal samo uporabnik), vendar številne organizacije zaradi večje varnosti zahtevajo tudi dokazovanje identitete z nečim, kar imajo (telefon ali žeton) ali kar so (prstni odtis ali optično branje obraza).
  • Pooblastilo: Sistem preveri, ali imajo uporabniki dovoljenje za dostop do želenega sistema.

Zakaj je preverjanje pristnosti pomembno?

Preverjanje pristnosti je pomembno, saj lahko z njim organizacije zaščitijo sisteme, podatke, omrežja, spletna mesta in aplikacije pred napadi. Prav tako omogoča posameznikom, da ohranijo zaupnost svojih osebnih podatkov za manj tvegano poslovanje v spletu, kot je bančništvo ali investiranje. Če so postopki preverjanja pristnosti šibki, lahko napadalec lažje ogrozi račun z ugibanjem posameznih gesel ali s prevaro ljudi v posredovanje njihovih poverilnic. To lahko privede do teh tveganj:

Kako deluje preverjanje pristnosti

Preverjanje pristnosti pri ljudeh vključuje nastavitev uporabniškega imena, gesla in drugih načinov preverjanja pristnosti, kot je optično branje obraza, prstni odtis ali koda PIN. Zaradi zaščite identitete noben od teh načinov preverjanja pristnosti ni shranjen v podatkovno zbirko storitve. Gesla so na voljo v obliki zgoščene vrednosti (ne šifrirana), zgoščene vrednosti pa so shranjene v zbirki podatkov. Ko uporabnik vnese geslo, je vneseno geslo pretvorjeno v zgoščeno vrednost, nato pa je izvedena primerjava zgoščenih vrednosti. Če se zgoščeni vrednosti ujemata, je dostop odobren. Pri prstnih odtisih in optičnem branju obraza so podatki kodirani, šifrirani in shranjeni v napravi.

Načini preverjanja pristnosti

Pri sodobnem preverjanju pristnosti je postopek preverjanja pristnosti dodeljen zaupanja vrednemu, ločenemu sistemu identitet, medtem ko pri tradicionalnem preverjanju pristnosti identitete preverjajo posamezni sistemi. Sprememba pa je bila uvedena tudi na področju vrste uporabljenih načinov preverjanja pristnosti. Večina aplikacij zahteva uporabniško ime in geslo – ker pa je kraja gesel čedalje bolj dovršena s strani akterjev groženj, je varnostna skupnost razvila več novih načinov za zaščito identitete.

Preverjanje pristnosti na osnovi gesla

Preverjanje pristnosti na osnovi gesla je najpogostejša oblika preverjanja pristnosti. Številne aplikacije in storitve od uporabnikov zahtevajo ustvarjanje gesla s kombinacijo številk, črk in simbolov za zmanjšanje tveganja, da bi jih akterji groženj uganili. Vendar pa gesla ustvarjajo tudi izzive glede varnosti in uporabnosti. Ljudje težko ustvarijo in si zapomnijo enolična gesla za posamezne spletne račune, zato gesla pogosto ponovno uporabijo. Napadalci uporabljajo številne taktike za ugibanje in krajo gesel ter zvabljanje ljudi k njihovemu razkritju. Zato organizacije opuščajo gesla in prehajajo na druge varnejše oblike preverjanja pristnosti.

Preverjanje pristnosti na osnovi potrdila

Preverjanje pristnosti na osnovi potrdila je šifrirana metoda, s katero lahko naprave in ljudje dokažejo svojo identiteto v drugih napravah in sistemih. Dva pogosta primera sta pametna kartica ali pošiljanje digitalnega potrdila v omrežje ali strežnik s strani naprave zaposlenega.

Biometrično preverjanje pristnosti

Pri biometričnem preverjanju pristnosti ljudje preverijo svojo identiteto z uporabo bioloških značilnosti. Veliko ljudi se na primer vpiše v telefon s prstom ali palcem, nekateri računalniki pa za preverjanje identitete uporabljajo optično branje obraza ali očesne mrežnice osebe. Biometrični podatki so prav tako povezani z določeno napravo, zato jih napadalci ne morejo uporabiti, ne da bi hkrati pridobili tudi dostop do naprave. Ta vrsta preverjanja pristnosti je vse bolj priljubljena, ker je preprosta – ničesar si ni treba zapomniti, akterji groženj pa jo težko ukradejo, zato je varnejša od gesel.

Preverjanje pristnosti na osnovi žetona

Pri preverjanju pristnosti na osnovi žetona naprava in sistem vsakih 30 sekund ustvarita novo enolično številko oziroma časovno omejeno enkratno geslo PIN (TOTP). Če se številki ujemata, sistem preveri, ali uporabnik uporablja napravo.

Enkratno geslo

Enkratna gesla (OTP) so kode, ustvarjene za določen dogodek prijave, ki potečejo kmalu po izdaji. Pridobljene so prek sporočil SMS, e-pošte ali žetona strojne opreme.

Potisno obvestilo

Nekatere aplikacije in storitve uporabljajo potisna obvestila za preverjanje pristnosti uporabnikov. V teh primerih osebe prejmejo sporočilo v svoj telefon, v katerem so pozvane, naj odobrijo ali zavrnejo zahtevo za dostop. Ker ljudje včasih pomotoma odobrijo potisna obvestila, čeprav se poskušajo vpisati v storitve, ki so poslale obvestilo, je ta način včasih kombiniran z načinom OTP. Z načinom OTP sistem ustvari enolično številko, ki jo mora uporabnik vnesti. Zaradi tega je preverjanje pristnosti bolj zaščiteno pred lažnim predstavljanjem.

Glasovno preverjanje pristnosti

Pri glasovnem preverjanju pristnosti oseba, ki želi dostopati do storitve, prejme telefonski klic, kjer je pozvana k vnosu kode ali glasovni identifikaciji.

Večkratno preverjanje pristnosti

Eden od najboljših načinov za zmanjšanje ogrožanja računov je zahteva po dveh ali več načinih preverjanja pristnosti, ki lahko vključujejo katerega koli od zgoraj navedenih načinov. Učinkovita najboljša praksa je, da zahtevate katere koli dve od teh možnosti:

  • Nekaj, kar uporabnik pozna – običajno je to geslo.
  • Nekaj, kar je na voljo uporabniku – na primer zaupanja vredna naprava, ki je ni mogoče zlahka podvojiti, kot je telefon ali žeton strojne opreme.
  • Nekaj, kar je osebna lastnost uporabnika – na primer prstni odtis ali optično branje obraza.

Številne organizacije na primer pred odobritvijo dostopa zahtevajo geslo (ki ga uporabnik pozna) in pošljejo OTP prek sporočila SMS v zaupanja vredno napravo (ki je na voljo uporabniku).

Dvojno preverjanje pristnosti

Dvojno preverjanje pristnosti je vrsta večkratnega preverjanja pristnosti, ki zahteva dve obliki preverjanja pristnosti.

Preverjanje pristnosti in pooblastilo

Čeprav sta preverjanje pristnosti, včasih imenovano AuthN, in pooblastilo, včasih imenovano AuthZ, pogosto uporabljena izmenljivo, pa sta to povezana, vendar ločena pojma. Preverjanje pristnosti potrjuje pravo identiteto uporabnika, ki se vpisuje, pooblastilo pa, da ima na voljo ustrezna dovoljenja za dostop do želenih informacij. Oseba v kadrovski službi lahko na primer dostopa do občutljivih sistemov, kot so plačilni listi ali datoteke zaposlenih, ki si jih drugi ne morejo ogledati. Tako preverjanje pristnosti kot pooblastilo sta ključna za zagotavljanje storilnosti ter zaščito občutljivih podatkov, intelektualne lastnine in zasebnosti.

Najboljše prakse za varnost preverjanja pristnosti

Ker je ogrožanje računa zelo način, s katerim napadalci pridobijo nepooblaščen dostop do virov podjetja, je pomembno, da uvedete zmogljivo varnost preverjanja pristnosti. Tukaj so navedeni nekateri dejavniki, s katerimi lahko zaščitite organizacijo:

  • Uvedite večkratno preverjanje pristnosti

    Najpomembnejša stvar, ki jo lahko izvedete za zmanjšanje tveganja ogrožanja računa, je, da vklopite večkratno preverjanje pristnosti in zahtevate najmanj dva dejavnika preverjanja pristnosti. Napadalci težje ukradejo več kot en način preverjanja pristnosti, zlasti če je eden od teh načinov biometričen oziroma stvar, ki je v uporabnikovi lasti, kot je naprava. Če želite zaposlenim, strankam in partnerjem zagotoviti čim bolj preprosto zaščito, jim dajte na izbiro več različnih dejavnikov. Pri tem pa morate zagotoviti, da niso vsi načini preverjanja pristnosti enaki. Nekateri so varnejši od drugih. Čeprav je na primer prejem sporočila SMS varen način, pa je potisno obvestilo varnejše. 

  • Odpravite gesla

    Ko nastavite večkratno preverjanje pristnosti, lahko celo omejite uporabo gesel in spodbudite ljudi k uporabi dveh ali več drugih načinov preverjanja pristnosti, kot sta koda PIN in biometrični podatki. Z zmanjšanjem uporabe gesel in uporabo brez gesla izboljšate učinkovitost postopka vpisa ter zmanjšate tveganje ogrožanja računa.

  • Uporabite zaščito z geslom

    Poleg izobraževanja zaposlenih so na voljo tudi orodja, s katerimi lahko zmanjšate uporabo gesel, ki jih je mogoče preprosto uganiti. Rešitve zazaščito z geslom omogočajo prepoved pogosto uporabljenih gesel, kot je Geslo1. Ustvarite lahko tudi seznam po meri, ki je specifičen za vaše podjetje ali regijo, na primer imena lokalnih športnih ekip ali znamenitosti.

  • Omogočite večkratno preverjanje pristnosti, ki temelji na tveganju

    Nekateri dogodki preverjanja pristnosti so kazalniki ogroženosti, na primer ko zaposleni poskuša dostopati do omrežja iz nove naprave ali neznane lokacije. Drugi dogodki vpisa morda niso neobičajni, vendar so bolj tvegani – ko mora na primer strokovnjak za kadrovske vire dostopati do osebnih podatkov zaposlenih. Če želite zmanjšati tveganje, konfigurirajte rešitev za upravljanje identitet in dostopa (IAM) tako, da sta ob zaznavi tovrstnih dogodkov zahtevana najmanj dva dejavnika preverjanja pristnosti.

  • Določite prioriteto uporabnosti

    Učinkovita varnost zahteva sodelovanje zaposlenih in drugih zainteresiranih skupin. Varnostni pravilniki lahko včasih preprečijo ljudem izvajanje tveganih spletnih dejavnosti – če pa so pravilniki preveč zapleteni, ljudje običajno najdejo način, kako jih zaobiti. Najboljše rešitve upoštevajo resnično človeško vedenje. Uvedite funkcije, kot je samopostrežna ponastavitev gesla, da ljudem ni treba stopiti v stik s skupino za pomoč uporabnikom, ko pozabijo geslo. To je lahko tudi spodbuda k izbiri zapletenega gesla, saj so ljudje seznanjeni, da lahko geslo preprosto ponastavijo, če ga pozabijo. Dodaten učinkovit način za zagotovitev preprostejšega vpisa je, da ljudem omogočite izbiro želenega načina pooblastila.

  • Uvedite enotno prijavo

    Odlična funkcija za izboljšanje uporabnosti in varnosti je enotna prijava (SSO). Nihče ne želi prejeti zahteve za vnos gesla vsakič, ko preklopi med aplikacijami, zato lahko uporabi ista gesla za več računov, da prihrani čas. Z enotno prijavo se morajo zaposleni za dostop do večine ali vseh aplikacij, ki jih potrebujejo za delo, prijaviti le enkrat. S tem je zmanjšana možnost morebitnih težav in omogočena uporaba univerzalnih ali pogojnih varnostnih pravilnikov, kot je večkratno preverjanje pristnosti, za vso programsko opremo, ki jo uporabljajo zaposleni.

  • Uporabite načelo najmanjšega privilegija

    Omejite število prednostnih računov glede na vloge in dodelite ljudem najmanjši privilegij, ki ga potrebujejo za izvajanje svojih opravil. Z uvedbo nadzora dostopa lažje zagotovite, da do najpomembnejših podatkov in sistemov dostopa manj ljudi. Ko mora oseba izvesti občutljivo opravilo, uporabite upravljanje prednostnega dostopa, kot je aktivacija ravno ob pravem času, da dodatno zmanjšate tveganje. Zahtevajte, da se skrbniške dejavnosti izvajajo le v zelo varnih napravah, ločenih od računalnikov, ki jih ljudje uporabljajo za vsakdanja opravila.

  • Predvidevajte kršitev in izvajajte redne revizije

    V številnih organizacijah se vloge in zaposlitveni status ljudi redno spreminjajo. Zaposleni zapustijo podjetje ali pa zamenjajo oddelek. Partnerji se vključujejo v projekte in izstopajo iz njih. To je lahko privede do težav, če pravila za dostop niso posodobljena. Pomembno je zagotoviti, da ljudje ne obdržijo dostopa do sistemov in datotek, ki jih ne potrebujejo več za svoje delo. Če želite zmanjšati tveganje, da napadalec pridobi dostop do občutljivih podatkov, uporabite rešitev za upravljanje identitet, s katero lahko izvajate dosledne revizije računov in vlog. S temi orodji lahko tudi zagotovite, da lahko ljudje dostopajo le do tistega, kar potrebujejo, in da računi ljudi, ki so zapustili organizacijo, niso več aktivni.

  • Zaščitite identitete pred grožnjami

    Rešitve zaupravljanje identitet in dostopa ponujajo številna orodja, s katerimi lahko zmanjšate tveganje ogrožanja računa, vendar je kljub temu še vedno priporočljivo predvideti kršitev. Včasih pa so tudi dobro usposobljeni zaposleni žrtve prevar z lažnim predstavljanjem. Če želite odkriti ogrožanje računov v začetni fazi, vlagajte v rešitve za zaščito identitet pred grožnjami in uvedite pravilnike, s katerimi lahko odkrijete sumljive dejavnosti in se odzovete nanje. Številne sodobne rešitve, kot je Copilot za Microsoftovo varnost, uporabljajo umetno inteligenco ne le za zaznavanje groženj, temveč tudi za samodejno odzivanje nanje.

Rešitve za preverjanje pristnosti v oblaku

Preverjanje pristnosti je ključnega pomena za dober program kibernetske varnosti in omogočanje storilnosti delavcev. Celovita rešitev za upravljanje identitet in dostopa v oblaku, kot je Microsoft Entra, zagotavlja orodja, s katerimi lahko ljudje preprosto pridobijo vse, kar potrebujejo za izvajanje opravil, ter uporabijo zmogljive kontrolnike za zmanjšanje tveganja ogrožanja računa in pridobivanja dostopa do občutljivih podatkov s strani napadalcev.

Več informacij o Microsoftovi varnosti

Microsoft Entra ID

Zaščitite svojo organizacijo z upravljanjem identitet in dostopa.

Upravljanje identitete Microsoft Entra

Samodejno zagotovite, da imajo pravi ljudje pravi dostop do pravih aplikacij ob pravem času.

Upravljanje dovoljenj Microsoft Entra

Pridobite enotno rešitev za upravljanje dovoljenj za katero koli identiteto v infrastrukturi z več oblaki.

Preverjeni ID Microsoft Entra

Decentralizirajte svoje identitete z upravljano storitvijo preverljivih poverilnic, ki temelji na odprtih standardih.

Identiteta delovne preobremenitve Microsoft Entra

Upravljajte in zaščitite identitete, dodeljene aplikacijam in storitvam.

Pogosta vprašanja

  • Na voljo je veliko različnih vrsta preverjanja pristnosti. Nekateri primeri:

    • Veliko ljudi se v svoje telefone vpisuje s funkcijo prepoznavanja obraza ali prstnega odtisa. 
    • Banke in druge storitve pogosto zahtevajo vpis z geslom in kodo, ki je samodejno poslana prek sporočila SMS. 
    • Nekateri računi zahtevajo le uporabniško ime in geslo, čeprav številne organizacije uvajajo večkratno preverjanje pristnosti za zagotovitev večje varnosti.
    • Zaposleni se pogosto vpišejo v računalnik in pridobijo dostop do več različnih aplikacij hkrati, kar se imenuje enotna prijava.
    • Na voljo so tudi računi, ki uporabnikom omogočajo vpis z računom storitve Facebook ali Google. V tem primeru je Facebook, Google ali Microsoft odgovoren za preverjanje pristnosti uporabnika in posredovanje pooblastila storitvi, do katere želi uporabnik dostopati.
  • Preverjanje pristnosti v oblaku je storitev, ki potrjuje, da lahko do omrežij in virov v oblaku dostopajo le ustrezne osebe in aplikacije z ustreznimi dovoljenji. Številne aplikacije v oblaku imajo vgrajeno preverjanje pristnosti, ki temelji na oblaku, na voljo pa so tudi zmogljivejše rešitve, kot je Microsoft Entra ID, ki so zasnovane za preverjanje pristnosti v več aplikacijah in storitvah v oblaku. Te rešitve običajno uporabljajo protokol SAML, ki omogoča delovanje ene storitve preverjanja pristnosti v več računih.

  • Čeprav sta preverjanje pristnosti in pooblastilo pogosto uporabljena izmenljivo, pa sta to povezana, vendar ločena pojma. Preverjanje pristnosti potrjuje pravo identiteto uporabnika, ki se vpisuje, pooblastilo pa, da ima na voljo ustrezna dovoljenja za dostop do želenih informacij. Preverjanje pristnosti in pooblastilo skupaj zmanjšata tveganje, da napadalec pridobi dostop do občutljivih podatkov.

  • Preverjanje pristnosti je uporabljeno za preverjanje ustrezne identitete ljudi in entitet, preden je zanje omogočen dostop do digitalnih virov in omrežij. Čeprav je glavni cilj varnost, pa so sodobne rešitve preverjanja pristnosti zasnovane tudi za izboljšanje uporabnosti. Veliko organizacij na primer uvede rešitve za enotno prijavo, s čimer lahko zaposleni preprosteje najdejo vse potrebne elemente za izvajanje svojih opravil. Potrošniške storitve pogosto omogočajo vpis z računom storitev Facebook in Google ali Microsoftovim računom za pospešitev postopka preverjanja pristnosti.

Spremljajte Microsoftovo varnost