Trace Id is missing
Ugrás a tartalomtörzsre
Microsoft Biztonság

Mi az a hitelesítés?

Megtudhatja, hogyan történik a személyek, alkalmazások és szolgáltatások identitásának ellenőrzése, mielőtt hozzáférést kapnának a digitális rendszerekhez és erőforrásokhoz.

A Microsoft Entra ID felfedezése

A hitelesítés definíciója

A hitelesítés az a folyamat, amellyel a vállalatok gondoskodnak arról, hogy csak a megfelelő engedélyekkel rendelkező személyek, szolgáltatások és alkalmazások használhassák a szervezeti erőforrásokat. Ez fontos része a További információ a kiberbiztonságrólkiberbiztonságnak, mert a rosszindulatú szereplők első számú prioritása, hogy jogosulatlan hozzáférést szerezzenek a rendszerekhez. Teszik ezt úgy, hogy ellopják a hozzáféréssel rendelkező felhasználók felhasználónevét és jelszavát. A hitelesítési folyamat a következő három elsődleges lépésből áll:

  • Azonosítás: A felhasználók általában egy felhasználónéven keresztül határozzák meg a kilétüket.
  • Hitelesítés: A felhasználók általában egy (jó esetben csak az adott felhasználó által ismert) jelszó megadásával igazolják, hogy valóban azok, akiknek mondják magukat, de a biztonság fokozása érdekében számos szervezet azt is megköveteli, hogy egy általuk birtokolt dologgal (telefonnal vagy tokeneszközzel) vagy valamilyen sajátosságukkal (ujjlenyomattal vagy arcszkenneléssel) is igazolják a személyazonosságukat.
  • Engedélyezés: A rendszer ellenőrzi, hogy a felhasználók rendelkeznek-e engedéllyel ahhoz a rendszerhez, amelyhez hozzá szeretnének férni.

Miért fontos a hitelesítés?

A hitelesítés azért fontos, mert segít a szervezeteknek megvédeni a rendszereiket, adataikat, hálózataikat, webhelyeiket és alkalmazásaikat a támadásoktól. Emellett abban is segítséget nyújt, hogy az egyének bizalmasan kezelhessék a személyes adataikat, és így kisebb kockázattal végezhessenek üzleti műveleteket, például banki vagy befektetési tevékenységet. Ha a hitelesítési folyamatok gyengék, a támadók könnyebben feltörhetik a fiókokat, akár az egyéni jelszavak kitalálásával, akár úgy, hogy megtévesztéssel a hitelesítő adataik átadására veszik rá az embereket. Ez a következő kockázatokhoz vezethet:

A hitelesítés működése

Személyek esetében a hitelesítéshez felhasználónevet, jelszót és más hitelesítési módszereket kell beállítani, például arcszkennelést, ujjlenyomatot vagy PIN-kódot. Az identitások védelme érdekében a rendszer egyik hitelesítési módszert sem menti a szolgáltatás adatbázisába. A jelszavakat a rendszer kivonatolja (nem titkosítja), a kivonatokat pedig az adatbázisba menti. Amikor egy felhasználó megad egy jelszót, a rendszer a megadott jelszót is kivonatolja, majd összehasonlítja a két kivonatot. Ha a kivonatok megegyeznek, engedélyezi a hozzáférést. Ujjlenyomatok és arcszkennelések esetén a rendszer kódolja, titkosítja és az eszközre menti az információkat.

A hitelesítési módszerek típusai

A modern hitelesítés esetében a rendszer a hitelesítési folyamatot egy megbízható, különálló identitásrendszerbe delegálja, szemben a hagyományos hitelesítéssel, amelynek során minden egyes rendszer saját magát azonosítja. Az alkalmazott hitelesítési módszerek típusát illetően is történtek változások. A legtöbb alkalmazás felhasználónév és jelszó megadását követeli meg, de mivel a rosszindulatú szereplők sokat fejlődtek a jelszavak ellopása terén, a biztonsági közösség számos új módszert is kifejlesztett az identitások védelmére.

Jelszóalapú hitelesítés

A hitelesítés leggyakoribb formája a jelszóalapú hitelesítés. Számos alkalmazás és szolgáltatás megköveteli, hogy a felhasználók számok, betűk és szimbólumok kombinációját tartalmazó jelszavakat hozzanak létre, így csökkentve annak kockázatát, hogy egy rosszindulatú szereplő kitalálja őket. A jelszavak azonban biztonsági és használhatósági problémákat is felvetnek. A felhasználóknak nehezükre esik minden egyes online fiókjukhoz egyedi jelszót létrehozni és megjegyezni, ezért gyakran használják fel újra a jelszavakat. A támadók pedig különféle taktikákat használnak arra, hogy kitalálják vagy ellopják a jelszavakat, vagy rávegyék a felhasználókat a jelszavak megosztására. Emiatt a szervezetek a jelszavakról más, biztonságosabb hitelesítési formákra állnak át.

Tanúsítványalapú hitelesítés

A tanúsítványalapú hitelesítés olyan titkosított módszer, amely lehetővé teszi, hogy az eszközök és a személyek azonosítsák magukat más eszközök és rendszerek számára. Két gyakori példa az intelligens kártya, illetve amikor egy alkalmazott eszköze digitális tanúsítványt küld egy hálózatra vagy kiszolgálóra.

Biometrikus hitelesítés

A biometrikus hitelesítés során a felhasználók a személyazonosságukat biometrikus funkciók használatával igazolják. Sokan például az ujjukkal vagy a hüvelykujjukkal jelentkeznek be a telefonjukra, egyes számítógépek pedig arc- vagy retinaszkenneléssel állapítják meg a felhasználók személyazonosságát. A biometrikus adatok ráadásul egy adott eszközhöz kapcsolódnak, így a támadók nem használhatják őket anélkül, hogy hozzáférést szereznének az eszközhöz. A hitelesítésnek ez a típusa egyre népszerűbb, mert a felhasználóknak – mivel nem kell semmit sem megjegyezniük – egyszerű használatot tesz lehetővé, a rosszindulatú szereplőknek pedig megnehezíti a lopást – ez a típus így biztonságosabb a jelszavaknál.

Tokenalapú hitelesítés

A tokenalapú hitelesítés során az eszköz és a rendszer 30 másodpercenként egy új egyedi számot, azaz időalapú egyszeri PIN-kódot (TOTP) hoz létre. Ha a számok egyeznek, a rendszer megállapítja, hogy az eszközt valóban az adott felhasználó használja.

Egyszeri jelszó

Az egyszeri jelszavak (OTP) olyan kódok, amelyek egy adott bejelentkezési eseményhez jönnek létre, és röviddel a kibocsátásuk után lejárnak. A kézbesítésük SMS-ben, e-mailben vagy hardvertokenen keresztül történik.

Leküldéses értesítés

Egyes alkalmazások és szolgáltatások leküldéses értesítéseket használnak a felhasználók hitelesítéséhez. Ezekben az esetekben a felhasználók egy üzenetet kapnak a telefonjukra, amely arra kéri őket, hogy hagyják jóvá vagy utasítsák el a hozzáférési kérelmet. Mivel néha előfordul, hogy a felhasználók véletlenül hagynak jóvá leküldéses értesítéseket, amikor megpróbálnak bejelentkezni az értesítést küldő szolgáltatásokba, ezt a módszert néha egyszeri jelszavas módszerrel kombinálják. Egyszeri jelszó használata esetében a rendszer létrehoz egy egyedi számot, amelyet a felhasználónak meg kell adnia. Ez ellenállóbbá teszi a hitelesítést az adathalászattal szemben.

Hangalapú hitelesítés

A hangalapú hitelesítés során a szolgáltatáshoz hozzáférni próbáló személy telefonhívást kap, amelyben a rendszer arra kéri, hogy írjon be egy kódot, vagy azonosítsa magát szóban.

Többtényezős hitelesítés

A fiókfeltörések megakadályozásának egyik legjobb módja, ha legalább két hitelesítési módszert követel meg, amelyek között a korábban felsorolt módszerek bármelyike szerepelhet. Hatékony ajánlott eljárás a következők közül bármelyik kettő megkövetelése:

  • Valami, amit a felhasználó ismer, általában egy jelszó.
  • Valami, aminek a felhasználó a birtokában van, például egy nem könnyen duplikálható, megbízható eszköz, például telefon vagy hardvertoken.
  • Valami, ami a felhasználó jellemzője, például ujjlenyomat- vagy arcszkennelés.

Sok szervezet például amellett, hogy jelszót (valami, amit a felhasználó ismer) kér, egy egyszeri jelszót is küld SMS-ben egy megbízható eszközre (valami, aminek a felhasználó a birtokában van), mielőtt engedélyezné a hozzáférést.

Kétfaktoros hitelesítés

A kétfaktoros hitelesítés a többtényezős hitelesítésnek az a típusa, amely két hitelesítési formát követel meg.

A hitelesítés és engedélyezés közötti különbségek

Habár a hitelesítés (más néven AuthN) és az engedélyezés (más néven AuthZ) kifejezést gyakran egymással felcserélhető módon használják, két egymáshoz kapcsolódó, mégis különálló dologról van szó. A hitelesítés azt erősíti meg, hogy a bejelentkező felhasználó valóban az, akinek mondja magát, míg az engedélyezés azt ellenőrzi, hogy a felhasználó rendelkezik-e a megfelelő engedélyekkel a kívánt információk eléréséhez. Egy, a HR-részlegen dolgozó felhasználó például olyan bizalmas rendszerekhez (például bérszámfejtés vagy alkalmazotti fájlok) férhet hozzá, amelyeket mások nem láthatnak. A hitelesítés és az engedélyezés egyaránt kritikus szerepet játszik a hatékonyság elősegítésében és a bizalmas adatok, a szellemi tulajdon és a személyes adatok védelmében.

Ajánlott eljárások a hitelesítési biztonság eléréséhez

Mivel a fiókfeltöréses módszert a támadók gyakran használják arra, hogy jogosulatlan hozzáférést szerezzenek egy cég erőforrásaihoz, fontos erős hitelesítési biztonságot létesíteni. Íme néhány dolog, amit megtehet a szervezete védelme érdekében:

  • Többtényezős hitelesítés bevezetése

    A fiókfeltörés kockázatának csökkentése érdekében a legfontosabb, hogy bekapcsolja a többtényezős hitelesítést, és követeljen meg legalább két hitelesítési tényezőt. A támadóknak sokkal nehezebb a dolguk, ha egynél több hitelesítési módszert kell ellopniuk, különösen akkor, ha az egyik biometrikus adat vagy egy olyan dolog, amellyel a felhasználó rendelkezik, például egy eszköz. Annak érdekében, hogy a lehető legegyszerűbb dolga legyen az alkalmazottaknak, az ügyfeleknek és a partnereknek, gondoskodjon arról, hogy több különböző tényező közül választhassanak. Ugyanakkor fontos megjegyezni, hogy nem minden hitelesítési módszer egyenértékű. Némelyek biztonságosabbak másoknál. Habár például az SMS-fogadás jobb, mint a semmi, a leküldéses értesítés biztonságosabb.

  • Jelszómentesség bevezetése

    Miután beállította a többtényezős hitelesítést, akár úgy is dönthet, hogy korlátozza a jelszavak használatát, és arra ösztönzi a felhasználókat, hogy két vagy több, attól eltérő hitelesítési módszert használjanak, például PIN-kódot és biometrikus adatokat. A jelszavak használatának csökkentése és a Jelszó nélküli hitelesítési megoldásjelszó nélküliség leegyszerűsíti a bejelentkezési folyamatot, és csökkenti a fiókok feltörésének kockázatát.

  • Jelszavas védelem alkalmazása

    Az alkalmazottak oktatása mellett olyan eszközöket is alkalmazhat, amelyekkel csökkentheti a könnyen kitalálható jelszavak használatát. Jelszóvédelmi megoldásokkal letilthatja a gyakran használt jelszavakat (például Jelszo1). Ezenkívül egy, a cégére vagy régiójára jellemző egyéni listát is készíthet, amely például a helyi sportcsapatok vagy nevezetességek nevét tartalmazza.

  • Kockázatalapú többtényezős hitelesítés engedélyezése

    Bizonyos hitelesítési események támadásra utaló jeleklehetnek, például amikor egy alkalmazott új eszközről vagy szokatlan helyről próbál meg hozzáférni a hálózatához. Előfordulhatnak olyan, nem atipikus bejelentkezési események is, amelyek nagyobb kockázatot jelentenek, például ha egy HR-szakértőnek hozzá kell férnie az alkalmazottak személyazonosításra alkalmas adataihoz. A kockázat csökkentése érdekében konfigurálja az identitás- és hozzáférés-kezelési (IAM-) megoldását úgy, hogy legalább két hitelesítési tényezőt követeljen meg az ilyen típusú események észlelésekor.

  • A használhatóság előnyben részesítése

    A hatékony biztonsághoz az alkalmazottak és más érdekelt felek aktív támogatása és részvétele is szükséges. A biztonsági házirendek néha megakadályozhatják a felhasználókat abban, hogy kockázatos online tevékenységeket folytassanak, de ha a házirendek túl nagy terhet jelentenek, a felhasználók meg fogják találni rájuk a kerülő megoldást. A legjobb megoldások alkalmazkodnak a valóságban tapasztalható emberi viselkedéshez. Az önkiszolgáló jelszóátállításhoz hasonló funkciók üzembe helyezésével megelőzheti, hogy a felhasználóknak fel kelljen hívniuk az ügyfélszolgálatot, ha elfelejtenek egy jelszót. Ezzel továbbá azt is ösztönözheti, hogy erős jelszót válasszanak, mivel tudják, hogy később, ha elfelejtenék, könnyen alaphelyzetbe állíthatják a jelszavukat. Egy másik jó módszer a bejelentkezés megkönnyítésére, ha a felhasználók kiválaszthatják, hogy melyik hitelesítési módszert részesítik előnyben.

  • Egyszeri bejelentkezés bevezetése

    Az egyik nagyszerű funkció, amely javítja a használhatóságot és a biztonságot, az egyszeri bejelentkezés (SSO). Senki sem szereti, ha minden alkalommal jelszót kell megadnia, amikor vált az alkalmazások között, ami arra ösztönözheti a felhasználókat, hogy több fiókban is ugyanazt a jelszót használják, hogy ezzel időt takarítsanak meg. Az egyszeri bejelentkezéssel az alkalmazottaknak csak egyszer kell bejelentkezniük a munkához szükséges alkalmazások többségének vagy mindegyikének eléréséhez. Ez csökkenti a feszültséget, és lehetővé teszi, hogy az alkalmazottak által használt összes szoftverre univerzális vagy feltételes biztonsági házirendeket, például többtényezős hitelesítést alkalmazzon.

  • A minimális jogosultság elvének alkalmazása

    Korlátozhatja a szerepkörök alapján a jogosultságot igénylő fiókok számát, és minimális jogosultságot biztosíthat a felhasználóknak a feladataik elvégzéséhez. A További információ a hozzáférés-vezérlésrőlhozzáférés-vezérlés segítségével gondoskodhat arról, hogy kevesebben férhessenek hozzá a legfontosabb adatokhoz és rendszerekhez. Ha valakinek bizalmas feladatot kell végrehajtania, a kockázat további csökkentése érdekében használjon emelt szintű hozzáférés-kezelést, például igény szerinti aktiválást. Ha így tesz, azzal azt is megkövetelheti, hogy a rendszergazdai tevékenységeket csak azokon a nagyon biztonságos eszközökön lehessen végrehajtani, amelyek elkülönülnek a felhasználók által a mindennapi feladatokhoz használt számítógépektől.

  • Incidens feltételezése és rendszeres auditálások végrehajtása

    Számos szervezetnél rendszeresen változik az emberek szerepköre és foglalkoztatási státusza. Az alkalmazottak elhagyják a céget, vagy részlegeket váltanak. Az is gyakran előfordul, hogy a partnerek abbahagyják a munkát az egyik projekten, és egy másikon kezdenek el dolgozni. Problémát jelenthet, ha a hozzáférési szabályok nem igazodnak ezekhez a változásokhoz. Fontos gondoskodni arról, hogy az emberek ne férhessenek hozzá azokhoz a rendszerekhez és fájlokhoz, amelyekre már nincs szükségük a munkájukhoz. Ha csökkenteni szeretné annak a kockázatát, hogy a támadók bizalmas információkhoz juthassanak hozzá, használjon Identitásszabályozási megoldásidentitásszabályozási megoldást, amellyel következetesen naplózhatja a fiókjait és a szerepköreit. Ezek az eszközök arról is segítenek gondoskodni, hogy a felhasználók csak a szükséges elemekhez férhessenek hozzá, és a szervezetből kilépett személyek fiókjainak megszűnjön az aktív állapota.

  • Az identitások veszélyforrásokkal szembeni védelme

    Azidentitás- és hozzáférés-kezelési megoldások számos olyan eszközt kínálnak, amellyel csökkenthető a fiókok feltörésének kockázata, de még ezek használata esetén is érdemes felkészülni a biztonsági incidensekre. Néha még a jól képzett alkalmazottak is áldozatául esnek az adathalászati csalásoknak. A fiókfeltörések korai észleléséhez használjon az identitásokat fenyegető veszélyforrások ellen védelmet nyújtó megoldásokat, és vezessen be olyan házirendeket, amelyek segítenek a gyanús tevékenységek felderítésében és elhárításában. Számos modern megoldás (például a Copilot a biztonságért) a mesterséges intelligenciával nemcsak hogy észleli a fenyegetéseket, de automatikusan reagál is rájuk.

Felhőalapú hitelesítési megoldások

A hitelesítés az erős kiberbiztonsági program és a dolgozók hatékonyságának növelése szempontjából egyaránt alapvető fontosságú. Egy átfogó felhőalapú identitás- és hozzáférés-kezelési megoldás (például a Microsoft Entra) olyan eszközöket biztosít, amelyekkel a felhasználók egyszerűen megkaphatják a munkájukhoz szükséges erőforrásokat, miközben olyan hatékony vezérlőket alkalmazhatnak, amelyek csökkentik annak a kockázatát, hogy a támadók feltörjenek egy fiókot, és bizalmas adatokhoz férjenek hozzá.

További információ a Microsoft Biztonságról

Microsoft Entra ID

A szervezete védelméről identitás- és hozzáférés-kezeléssel (korábbi nevén Azure Active Directory) gondoskodhat.

További információ

Microsoft Entra ID-kezelés

Automatikusan gondoskodhat arról, hogy a megfelelő személyek a megfelelő időben férhessenek hozzá a megfelelő alkalmazásokhoz.

További információ

Microsoft Entra Engedélykezelés

Egyetlen egységes megoldást használhat a többfelhős infrastruktúrában található identitások engedélyeinek kezelésére.

További információ

Microsoft Entra Ellenőrzött azonosító

A nyílt szabványokon alapuló, felügyelt, ellenőrizhető hitelesítőadat-szolgáltatással decentralizálhatja az identitásait.

További információ

Microsoft Entra Számítási feladat ID

Kezelheti és biztonságossá teheti az alkalmazásoknak és szolgáltatásoknak biztosított identitásokat.

További információ

Gyakori kérdések

  • A hitelesítésnek számos különböző típusa létezik. Néhány példa:

    • Sokan arcfelismeréssel vagy ujjlenyomattal jelentkeznek be a telefonjukra. 
    • A bankok és más szolgáltatások gyakran megkövetelik, hogy a felhasználók jelszóval és egy SMS-ben automatikusan elküldött kóddal jelentkezzenek be. 
    • Egyes fiókok csak felhasználónevet és jelszót követelnek meg, bár számos szervezet egyre több esetben használ többtényezős hitelesítést a biztonság növelése érdekében.
    • Gyakran megesik, hogy az alkalmazottak a számítógépükre bejelentkezve egyszerre több különböző alkalmazáshoz is hozzáférést kapnak. Ezt egyszeri bejelentkezésnek nevezik.
    • Vannak olyan fiókok is, amelyek lehetővé teszik a felhasználók számára, hogy a Facebook- vagy a Google-fiókjukkal jelentkezzenek be. Ebben az esetben a Facebook, a Google vagy a Microsoft felelős a felhasználó hitelesítéséért és az engedélynek a felhasználó által elérni kívánt szolgáltatásnak való átadásáért.

  • A felhőalapú hitelesítés olyan szolgáltatás, amely gondoskodik arról, hogy mindig csak a megfelelő, megfelelő engedélyekkel rendelkező személyek és alkalmazások férhessenek hozzá a felhőbeli hálózatokhoz és erőforrásokhoz. Számos felhőalkalmazás felhőalapú beépített hitelesítést használ, de olyan szélesebb körű megoldások is léteznek (például Azure Active Directory), amelyek úgy lettek kialakítva, hogy több felhőalkalmazásban és szolgáltatásban is tudják kezelni a hitelesítést. Ezek a megoldások általában a SAML protokollt használják, amely lehetővé teszi, hogy egy hitelesítési szolgáltatás több fiókon is működjön.

  • Habár a hitelesítés és az engedélyezés kifejezést gyakran egymással felcserélhető módon használják, két egymáshoz kapcsolódó, mégis különálló dologról van szó. A hitelesítés azt erősíti meg, hogy a bejelentkező felhasználó valóban az, akinek mondja magát, míg az engedélyezés azt ellenőrzi, hogy a felhasználó rendelkezik-e a megfelelő engedélyekkel a kívánt információk eléréséhez. A hitelesítés és engedélyezés együttes használatával csökkenthető annak a kockázata, hogy a támadók bizalmas adatokhoz szerezzenek hozzáférést.

  • A hitelesítéssel a digitális erőforrásokhoz és hálózatokhoz való hozzáférés megadása előtt ellenőrizhető, hogy a személyek és az entitások valóban azok-e, akiknek mondják magukat. Bár az elsődleges cél a biztonság, a modern hitelesítési megoldásokkal a használhatóság is javítható. Sok szervezet például olyan egyszeri bejelentkezési megoldásokat alkalmaz, amelyekkel az alkalmazottak könnyen megtalálhatják a munkájuk elvégzéséhez szükséges erőforrásokat. A hitelesítési folyamat felgyorsítása érdekében a fogyasztói szolgáltatások gyakran lehetővé teszik, hogy a felhasználók a Facebook-, a Google- vagy a Microsoft-fiókjukkal jelentkezzenek be.

A Microsoft követése