Co je to ověřování?
Zjistěte, jak se ověřuje identita osob, aplikací a služeb, než získají přístup k digitálním systémům a prostředkům.
Definice ověřování
Ověřování je proces, který společnosti používají k potvrzení, že pouze správné osoby, služby a aplikace se správnými oprávněními můžou získat přístup k prostředkům organizace. Je to důležitá součást kybernetické bezpečnosti, protože prioritou aktérů se zlými úmysly je získat neoprávněný přístup k systémům. Toho dosahují krádežemi uživatelských jmen a hesel těch uživatelů, kteří mají příslušný přístup. Proces ověřování zahrnuje tři primární kroky:
- Identifikace: Uživatelé určují, kdo jsou, obvykle pomocí uživatelského jména.
- Ověřování: Uživatelé obvykle prokazují, že jsou těmi, za koho se vydávají, zadáním hesla (něco, co by měl znát pouze daný uživatel), ale v zájmu posílení zabezpečení mnoho organizací také vyžaduje, aby uživatelé prokazovali svou identitu něčím, co mají (telefon nebo zařízení s tokenem), nebo něčím, čím jsou jedineční (otisk prstu nebo sken obličeje).
- Autorizace: Systém ověřuje, že uživatelé mají oprávnění k systému, ke kterému se pokoušejí získat přístup.
Proč je ověřování důležité?
Ověřování je důležité, protože pomáhá organizacím chránit jejich systémy, data, sítě, weby a aplikace před útoky. Pomáhá také jednotlivcům zachovat důvěrnost jejich osobních údajů a umožňuje jim provádět obchodní transakce, jako je bankovnictví nebo investování, s menším rizikem online. Pokud jsou procesy ověřování slabé, je pro útočníky snazší napadnout účet uhodnutím jednotlivých hesel nebo podvedením lidí tak, aby jim své přihlašovací údaje předali. To může vést k následujícím rizikům:
- Únik nebo exfiltrace dat.
- Instalace malwaru, například ransomwaru.
- Nedodržení regionálních nebo oborových předpisů o ochraně osobních údajů.
Jak funguje ověřování
Ověřování u lidí zahrnuje nastavení uživatelského jména, hesla a dalších metod ověřování, jako je sken obličeje, otisk prstu nebo PIN kód. Z důvodu ochrany identit se žádná z těchto metod ověřování neukládá do databáze dané služby. Hesla jsou hashována (nikoli šifrována) a hodnoty hash se ukládají do databáze. Když uživatel zadá heslo, zadané heslo se také hashuje a poté se hodny hash porovnají. Pokud se hodnoty hash shodují, je udělen přístup. V případě otisků prstů a skenů obličeje jsou informace zakódovány, zašifrovány a uloženy na daném zařízení.
Typy metod ověřování
V moderním ověřování je proces ověřování delegován důvěryhodnému, samostatnému systému pro správu identit, na rozdíl od tradičního ověřování, kdy se každý systém ověřuje sám. Došlo také ke změně typu používaných metod ověřování. Většina aplikací vyžaduje uživatelské jméno a heslo. Protože však aktéři se zlými úmysly jsou při krádežích hesel stále zdatnější, vyvinula komunita zabývající se zabezpečením několik nových metod, které pomáhají chránit identity.
Ověřování pomocí hesel
Ověřování pomocí hesel je nejběžnější formou ověřování. Mnoho aplikací a služeb vyžaduje, aby si uživatelé vytvářeli hesla obsahující kombinaci čísel, písmen a symbolů, čímž se snižuje riziko, že je aktér se zlými úmysly uhodne. Hesla však také představují problém z hlediska zabezpečení a použitelnosti. Pro lidi je obtížné vymyslet a zapamatovat si jedinečné heslo pro každý online účet, a proto často hesla používají opakovaně. Útočníci na druhou stranu používají mnoho taktik, jak hesla uhodnout, ukrást nebo je podvodně z lidí vylákat. Z tohoto důvodu organizace přecházejí od hesel k jiným bezpečnějším formám ověřování.
Ověřování pomocí certifikátů
Ověřování pomocí certifikátů je šifrovaná metoda, která umožňuje zařízením a osobám identifikovat se jiným zařízením a systémům. Mezi dva běžné příklady patří čipová karta nebo odeslání digitálního certifikátu zařízením zaměstnance do sítě nebo na server.
Biometrické ověřování
Při biometrickém ověřování lidé prokazují svou identitu pomocí biologických znaků. Mnoho lidí se například do svých telefonů přihlašuje prstem nebo palcem a některé počítače k ověření totožnosti skenují obličej nebo sítnici. Biometrické údaje jsou také spojeny s konkrétním zařízením, takže útočníci je nemůžou použít, aniž by zároveň získali přístup k danému zařízení. Tento typ ověřování je stále oblíbenější, protože je pro lidi snadný – nemusí si nic pamatovat – a pro aktéry se zlými úmysly je obtížné ho ukrást, takže je bezpečnější než hesla.
Ověřování pomocí tokenů
Při ověřování pomocí tokenů generuje zařízení i systém každých 30 sekund nové jedinečné číslo označované jako jednorázový časově založený PIN kód (TOTP – time-based one-time PIN). Pokud se tato čísla shodují, systém ověří, že uživatel má příslušné zařízení.
Jednorázové heslo
Jednorázová hesla (OTP – One-time passwords) jsou kódy generované pro konkrétní událost přihlášení, jejichž platnost vyprší krátce po jejich vydání. Jsou doručovány prostřednictvím zpráv SMS, e-mailu nebo hardwarového tokenu.
Nabízené oznámení
Některé aplikace a služby používají k ověřování uživatelů nabízená oznámení. V těchto případech obdrží lidé na svém telefonu zprávu s žádostí o schválení nebo zamítnutí žádosti o přístup. Protože někdy lidé nechtěně schválí nabízená oznámení, i když se pokouší přihlásit ke službám, která oznámení odeslaly, je tato metoda někdy kombinována s metodou jednorázových hesel (OTP). Při použití metody OTP systém vygeneruje jedinečné číslo, které musí uživatel zadat. Díky tomu je toto ověřování odolnější vůči útokům phishing.
Hlasové ověřování
Při hlasovém ověřování osoba, která se snaží získat přístup k nějaké službě, obdrží telefonní hovor, ve kterém je vyzvána k zadání kódu nebo k verbální identifikaci.
Vícefaktorové ověřování
Jedním z nejlepších způsobů, jak omezit možnost napadení účtu, je vyžadovat dvě nebo více metod ověřování, které můžou zahrnovat kterékoli z výše uvedených metod. Účinným osvědčeným postupem je vyžadovat dvě z následujících možností:
- Něco, co uživatel zná, obvykle heslo.
- Něco, co uživatel má, například důvěryhodné zařízení, které nelze snadno duplikovat, jako je telefon nebo hardwarový token.
- Něco, čím je uživatel jedinečný, například otisk prstu nebo sken obličeje.
Mnoho organizací například před povolením přístupu požaduje heslo (něco, co uživatel zná) a současně také odesílá jednorázové heslo OTP prostřednictvím zprávy SMS na důvěryhodné zařízení (něco, co uživatel má).
Dvojúrovňové ověřování
Dvojúrovňové ověřování je typ vícefaktorového ověřování, které vyžaduje dvě formy ověření.
Ačkoli se pojmy ověřování, někdy označované jako AuthN, a autorizace, někdy označovaná jako AuthZ, často zaměňují, jedná se o dvě související, ale odlišné věci. Ověření potvrzuje, že přihlašující se uživatel je tím, za koho se vydává, zatímco autorizace potvrzuje, že má správná oprávnění pro přístup k požadovaným informacím. Například někdo z oddělení lidských zdrojů může mít přístup k citlivým systémům, jako jsou mzdy nebo informace o zaměstnancích, které ostatní nevidí. Ověřování i autorizace mají zásadní význam pro zajištění produktivity a ochrany citlivých dat, duševního vlastnictví a soukromí.
Osvědčené postupy zabezpečení ověřování
Vzhledem k tomu, že napadení účtu je pro útočníky velmi častým způsobem, jak získat neoprávněný přístup k prostředkům společnosti, je důležité zavést silné zabezpečení ověřování. Tady je několik věcí, které můžete udělat pro ochranu vaší organizace:
-
Implementujte vícefaktorové ověřování
Nejdůležitější věcí, kterou můžete udělat pro snížení rizika napadení účtu, je zapnout vícefaktorové ověřování a vyžadovat alespoň dva ověřovací faktory. Pro útočníky je mnohem obtížnější ukrást více metod ověřování, zejména pokud jednou z nich je biometrický údaj nebo něco, co má uživatel u sebe, například zařízení. Aby to bylo pro zaměstnance, zákazníky a partnery co nejjednodušší, dejte jim na výběr z několika různých faktorů. Je však důležité si uvědomit, že ne všechny metody ověřování jsou stejné bezpečné. Některé jsou bezpečnější než jiné. Například zpráva SMS je sice lepší než nic, ale nabízené oznámení je však bezpečnější.
-
Přejděte na bezheslové ověřování
Po nastavení vícefaktorového ověřování můžete dokonce omezit používání hesel a vybízet lidi k tomu, aby používali dvě nebo více dalších metod ověřování, například PIN kód a biometrické údaje. Omezení používání hesel a přechod na bezheslové ověřování zefektivní proces přihlašování a sníží riziko napadení účtu.
-
Použijte ochranu hesel
Vedle vzdělávání zaměstnanců existují nástroje, pomocí kterých můžete omezit používání snadno uhodnutelných hesel. Řešení pro ochranu hesel umožňují zakázat běžně používaná hesla, jako je například Heslo1. Můžete si také vytvořit vlastní seznam, který bude specifický pro vaši společnost nebo zeměpisnou oblast, například názvy místních sportovních týmů nebo pamětihodností.
-
Povolte používání vícefaktorového ověřování založeného na rizicích
Některé události ověřování můžou představovat indikátory napadení, například když se zaměstnanec pokusí získat přístup k síti z nového zařízení nebo z neobvyklého místa. Jiné události přihlášení nemusí být neobvyklé, ale jsou rizikovější, například když personalista potřebuje získat přístup k osobním údajům zaměstnance. Riziko můžete snížit nakonfigurováním řešení správy identit a přístupu (IAM) tak, aby při zjištění těchto typů událostí vyžadovalo alespoň dva ověřovací faktory.
-
Upřednostněte použitelnost
Účinné zabezpečení vyžaduje podporu ze strany zaměstnanců a dalších zúčastněných stran. Zásady zabezpečení můžou někdy bránit lidem v rizikových online aktivitách, ale pokud jsou příliš omezující, lidé si najdou způsob, jak je obejít. Nejlepší řešení zohledňují reálné lidské chování. Nasaďte funkce, jako je samoobslužné resetování hesel, aby lidé nemuseli volat na technickou podporu, když zapomenou heslo. To je také může přimět k volbě silného hesla, protože vědí, že pokud takové heslo později zapomenou, bude snadné ho resetovat. Dalším dobrým způsobem, jak lidem usnadnit přihlašování, je umožnit jim zvolit si metodu autorizace, kterou upřednostňují.
-
Nasaďte jednotné přihlašování
Jednou ze skvělých funkcí, která zlepšuje použitelnost a zvyšuje zabezpečení, je jednotné přihlašování (SSO). Nikdo nemá rád, když je při každém přepnutí aplikací nutné zadávat hesla – to může lidi nabádat k používání stejného hesla pro více účtů, aby ušetřili čas. Při používání jednotného přihlašování se zaměstnanci musí přihlásit pouze jednou, aby získali přístup k většině nebo ke všem aplikacím, které potřebují k práci. Snižuje se tak náročnost a u veškerého softwaru, který zaměstnanci používají, lze používat univerzální nebo podmíněné zásady zabezpečení, jako je například vícefaktorové ověřování.
-
Použití principu nejnižší možné úrovně oprávnění
Omezte počet privilegovaných účtů na základě rolí a poskytujte lidem nejnižší možnou úroveň oprávnění, která je potřeba k výkonu jejich práce. Zavedení řízení přístupu pomáhá zajistit, aby se k nejdůležitějším datům a systémům dostalo méně lidí. Pokud někdo potřebuje provést nějaký citlivý úkol, použijte správu privilegovaného přístupu, například aktivaci přístupu podle potřeby s časovým omezením, abyste dále snížili rizika. To pomáhá také vyžadovat, aby se aktivity správy prováděly pouze na velmi zabezpečených zařízeních oddělených od počítačů, které lidé používají ke každodenním úkolům.
-
Předpokládejte porušení zabezpečení a provádějte pravidelné audity
V mnoha organizacích se pravidelně mění role lidí a status zaměstnanců. Zaměstnanci společnost opouštějí nebo přechází do jiných oddělení. K projektům se připojují partneři a pak z nich zase odchází. To může být problém, pokud pravidla přístupu nestíhají tyto změny zohledňovat. Je důležité zajistit, aby si lidé neponechávali přístup k systémům a souborům, které už ke své práci nepotřebují. Pokud chcete snížit riziko, že se útočník dostane k citlivým informacím, použijte nějaké řešení pro řízení identit, které vám pomůže konzistentně auditovat účty a role. Tyto nástroje vám také pomůžou zajistit, aby lidé měli přístup pouze k tomu, co potřebují, a aby účty lidí, kteří organizaci opustili, nebyly už aktivní.
-
Chraňte identity před hrozbami
Řešení pro správu identit a přístupu nabízejí mnoho nástrojů, které vám pomůžou snížit riziko napadení účtu, přesto je však dobré s narušením zabezpečení počítat. Dokonce i dobře poučení zaměstnanci někdy naletí phishingovým podvodům. Pokud chcete napadení účtu zjistit včas, investujte do řešení ochrany identit před hrozbami a implementujte zásady, které vám pomůžou odhalovat podezřelé aktivity a reagovat na ně. Mnoho moderních řešení, jako je například Microsoft Copilot pro Security, využívá umělou inteligenci nejen k detekci hrozeb, ale také k automatické reakci na tyto hrozby.
Řešení pro ověřování v cloudu
Ověřování má zásadní význam jak pro silný program zajištění kybernetické bezpečnosti, tak pro produktivitu pracovníků. Komplexní cloudové řešení správy identit a přístupu, jako je Microsoft Entra, vám poskytne nástroje, které pomůžou lidem snadno získat to, co potřebují k výkonu své práce, a zároveň zajistí výkonné kontrolní mechanismy, které snižují riziko, že útočníci napadnou nějaký účet a získají přístup k citlivým datům.
Další informace o zabezpečení od Microsoftu
Microsoft Entra ID
Chraňte svou organizaci pomocí správy identit a přístupu (dříve označováno jako Azure Active Directory).
Microsoft Entra ID Governance
Automaticky zajišťuje, aby správné osoby měly správný přístup ke správným aplikacím ve správný čas.
Správa oprávnění Microsoft Entra
Získejte jedno sjednocené řešení pro správu oprávnění u všech identit v celé vaší multicloudové infrastruktuře.
Ověřené ID Microsoft Entra
Decentralizujte své identity pomocí spravované služby pro ověřitelné přihlašovací údaje založené na otevřených standardech.
ID úloh Microsoft Entra
Spravujte a zabezpečte identity udělované aplikacím a službám.
Časté otázky
-
Existuje mnoho různých typů ověřování. Tady je několik příkladů:
- Mnoho lidí se ke svým telefonům přihlašuje pomocí rozpoznávání obličeje nebo otisku palce.
- Banky a další služby často vyžadují, aby se lidé přihlašovali pomocí hesla a dalšího kódu, který je automaticky zasílán prostřednictvím zprávy SMS.
- Některé účty vyžadují pouze uživatelské jméno a heslo, ačkoli mnoho organizací přechází na vícefaktorové ověřování s cílem zlepšit zabezpečení.
- Zaměstnanci se často přihlašují ke svému počítači a získávají přístup k několika různým aplikacím najednou, což se označuje jako jednotné přihlašování.
- Existují také účty, které uživatelům umožňují přihlásit se pomocí účtu služeb Facebook nebo Google. V tomto případě jsou společnosti Facebook, Google nebo Microsoft zodpovědné za ověření uživatele a předání autorizace službě, ke které chce uživatel získat přístup.
-
Ověřování v cloudu je služba, která potvrzuje, že přístup ke cloudovým sítím a prostředkům můžou získat pouze ti správní lidé a aplikace se správnými oprávněními. Mnoho cloudových aplikací má integrované ověřování založené na cloudu, ale existují i širší řešení, jako je například Azure Active Directory, která jsou navržená tak, aby zajišťovala ověřování napříč různými cloudovými aplikacemi a službami. Tato řešení obvykle používají protokol SAML, který umožňuje, aby jedna ověřovací služba fungovala pro více účtů.
-
Ačkoli se pojmy ověřování a autorizace často zaměňují, jedná se o dvě související, ale odlišné věci. Ověření potvrzuje, že přihlašující se uživatel je tím, za koho se vydává, zatímco autorizace potvrzuje, že má správná oprávnění pro přístup k požadovaným informacím. Ověřování a autorizace společně snižují riziko, že útočník získá přístup k citlivým údajům.
-
Ověřování se používá k potvrzení, že osoby a subjekty jsou těmi, za které se vydávají, a teprve pak jim je umožněn přístup k digitálním prostředkům a sítím. Přestože primárním cílem je zabezpečení, moderní řešení ověřování jsou navržena také s cílem zlepšit použitelnost. Mnoho organizací například zavádí řešení jednotného přihlašování, aby zaměstnanci snadno našli to, co potřebují ke své práci. Služby pro spotřebitele často umožňují přihlášení pomocí účtu Facebook, Google nebo Microsoft, aby se proces ověřování urychlil.
Sledujte zabezpečení od Microsoftu