Trace Id is missing
Pereiti prie pagrindinio turinio
„Microsoft“ sauga

Kas yra autentifikavimas?

Sužinokite, kaip tikrinamos žmonių, programų ir paslaugų tapatybės prieš suteikiant prieigą prie skaitmeninių sistemų ir išteklių.

Atraskite „Microsoft Entra ID“

Autentifikavimo apibrėžimas

Autentifikavimas yra procesas, kurį įmonės naudoja siekdamos užtikrinti, kad prieigą prie organizacijos išteklių turėtų tik tinkami žmonės, tarnybos ir programos. Tai svarbi Kibernetinės saugos papildoma informacijakibernetinės saugos dalis, nes pagrindinis kenkėjų tikslas yra gauti neteisėtą prieigą prie sistemų. Jie tai daro vogdami prieigą turinčių vartotojų vardus ir slaptažodžius. Autentifikavimo procesas apima tris pagrindinius veiksmus:

  • Identifikavimas: Paprastai vartotojai nustatomi pagal jų vartotojo vardą.
  • Autentifikavimas: Paprastai vartotojai įrodo savo tapatybę įvesdami slaptažodį (kurį turėtų žinoti tik vartotojas), tačiau siekiant sustiprinti saugą, daugelis organizacijų taip pat reikalauja įrodyti tapatybę naudojant turimą įrenginį (telefoną ar atpažinimo įrenginį) arba kitus požymius (pirštų atspaudus ar veido nuskaitymą).
  • Autorizavimas: Sistema patikrina, ar vartotojai turi teisę pasiekti sistemą, kurią bandoma pasiekti.

Kodėl svarbus autentifikavimas?

Autentifikavimas svarbus todėl, kad padeda organizacijoms apsaugoti sistemas, duomenis, tinklus, svetaines ir programas nuo atakų. Jis taip pat padeda asmenims išlaikyti asmens duomenų konfidencialumą, suteikiant galimybę vykdyti verslą esant mažesnei rizikai, pvz., teikti bankininkystės ar investavimo paslaugas. Jeigu autentifikavimo procesai neefektyvūs, atakuojantiems asmenims lengviau pažeisti paskyrą atspėjus slaptažodžius arba apgaulės būdu išviliojus žmonių kredencialus. Dėl to gali kilti toliau nurodyta rizika:

Kaip veikia autentifikavimas

Žmonėms autentifikavimas apima vartotojo vardo, slaptažodžio ir kitų autentifikavimo būdų, pvz., veido nuskaitymo, piršto atspaudo arba PIN, nustatymą. Siekiant apsaugoti tapatybes, nė vienas iš šių autentifikavimo būdų nėra įrašomas tarnybos duomenų bazėje. Slaptažodžiai koduojami (neužšifruoti) ir išsaugomi duomenų bazėje. Kai vartotojas įveda slaptažodį, jis taip pat koduojamas, tada lyginami užkoduoti slaptažodžiai. Jei užkoduoti slaptažodžiai sutampa, suteikiama prieiga. Pirštų atspaudų ir veido nuskaitymų informacija yra užkoduota, užšifruota ir įrašyta įrenginyje.

Autentifikavimo būdų tipai

Atliekant šiuolaikinį autentifikavimą, autentifikavimo procesas perduodamas patikimai, atskirai tapatybių nustatymo sistemai, o ne įprastai autentifikavimo sistemai, kurios tikrina tapatybes. Taip pat buvo pakeistas naudojamų autentifikavimo būdų tipas. Dauguma programų reikalauja vartotojo vardo ir slaptažodžio, tačiau kenkėjams ištobulinus slaptažodžių vagystes, saugos bendruomenė sukūrė kelis naujus būdus, padedančius apsaugoti tapatybes.

Slaptažodžiu pagrįstas autentifikavimas

Dažniausiai naudojamas slaptažodžiu pagrįstas autentifikavimas. Daugelis programų ir tarnybų reikalauja, kad žmonės sukurtų slaptažodžius, kuriuos sudaro skaičių, raidžių ir simbolių derinys, taip sumažinant galimybę kenkėjams jį atspėti. Tačiau slaptažodžiai taip pat kelia saugos ir naudojimo iššūkių. Žmonėms sudėtinga sugalvoti ir įsiminti unikalų slaptažodį kiekvienai internetinei paskyrai, todėl jie dažnai naudoja slaptažodžius pakartotinai. Įsilaužėliai naudoja daug taktikų norėdami slaptažodžius atspėti, pavogti ar priversti žmones jais atskleisti. Dėl šios priežasties organizacijos pereina nuo slaptažodžių prie kitų saugesnių autentifikavimo formų.

Sertifikatais pagrįstas autentifikavimas

Sertifikatais pagrįstas autentifikavimas yra užšifruotas būdas, leidžiantis įrenginiams ir žmonėms identifikuoti save su kitais įrenginiais ir sistemomis. Du įprasti pavyzdžiai yra intelektualioji kortelė arba atvejis, kai darbuotojo įrenginys siunčia skaitmeninį sertifikatą tinklui arba serveriui.

Biometrinis autentifikavimas

Atliekant biometrinį autentifikavimą, žmonės patvirtina tapatybę naudodami biometrinius duomenis. Pavyzdžiui, daugelis žmonių naudoja pirštą prisijungdami prie savo telefonų, o kai kurie kompiuteriai nuskaito asmens veidą arba akies rainelę, kad patikrintų tapatybę. Biometriniai duomenys taip pat susieti su konkrečiu įrenginiu, todėl įsilaužėliai negali jų naudoti negavę prieigos prie įrenginio. Šio tipo autentifikavimas vis populiarėja, nes žmonėms nereikia nieko įsiminti, o kenkėjams sudėtinga juos pavogti, todėl šis būdas yra saugesnis nei slaptažodžiai.

Atpažinimo ženklais pagrįstas autentifikavimas

Naudojant atpažinimo ženklais pagrįstą autentifikavimą, įrenginys ir sistema kas 30 sekundžių generuoja naują unikalų numerį, vadinamą vienkartiniu PIN (TOTP). Jei skaičiai sutampa, sistema patvirtina, kad vartotojas turi įrenginį.

Vienkartinis slaptažodis

Vienkartiniai slaptažodžiai (OTP) yra kodai, generuojami konkrečiam prisijungimo įvykiui, kurie netrukus baigia galioti. Jie teikiami SMS žinutėmis, el. paštu arba aparatūros atpažinimo ženklu.

„Push“ pranešimas

Kai kurios programos ir paslaugos vartotojų autentifikavimui naudoja „push“ pranešimus. Tokiais atvejais žmonės telefone gauna pranešimą, kuriame prašoma patvirtinti arba atmesti prieigos užklausą. Kartais žmonės netyčia patvirtina „push“ pranešimus, nors bando prisijungti prie pranešimą siuntusios tarnybos, todėl šis būdas kartais derinamas su OTP metodu. Naudojant OTP, sistema generuoja unikalų skaičių, kurį vartotojas turi įvesti. Dėl to autentifikavimas tampa atsparesnis sukčiavimui apsimetant.

Autentifikavimas balsu

Autentifikuojant balsu, asmuo, bandantis pasiekti tarnybą, sulaukia telefono skambučio, kurio metu jo prašoma įvesti kodą arba identifikuoti save žodžiu.

Kelių dalių autentifikavimas

Vienas iš efektyviausių būdų sumažinti paskyros pavojus yra reikalauti dviejų ar daugiau autentifikavimo būdų, kurie gali apimti bet kurį iš anksčiau išvardytų metodų. Efektyvi geriausia praktika yra reikalauti dviejų iš toliau nurodytų būdų:

  • Kažkas, ką žino vartotojas, paprastai tai yra slaptažodis.
  • Turimas patikimas įrenginys, kuris nėra lengvai dubliuojamas, pvz., telefonas ar aparatūros atpažinimo ženklas.
  • Biometriniai duomenys, pvz., pirštų atspaudai ar veido nuskaitymas.

Daugelis organizacijų, prieš leisdamos prieigą, prašo slaptažodžio (to, ką žino vartotojas), o taip pat siunčia OTP SMS žinute į patikimą įrenginį (ką vartotojas turi).

Dviejų dalių autentifikavimas

Papildoma dviejų dalių autentifikavimo informacijaDviejų dalių autentifikavimas yra kelių dalių autentifikavimo tipas, kuriam reikia dviejų autentifikavimo formų.

Autentifikavimas ir autorizavimas

Nors autentifikavimas ir autorizavimas dažnai naudojami pakaitomis, tai yra du susiję, bet atskiri dalykai. Autentifikavimas patvirtina, kad prisijungęs vartotojas yra tas, kas sakosi esąs, o autorizavimas patvirtina, kad turi reikiamas teises pasiekti norimą informaciją. Pavyzdžiui žmogiškųjų išteklių darbuotojas gali turėti prieigą prie svarbių sistemų, pvz., atlyginimų ar darbuotojų failų, kurių kiti negali matyti. Autentifikavimas ir autorizavimas yra labai svarbūs siekiant įgalinti produktyvumą ir apsaugoti slaptus duomenis, intelektinę nuosavybę ir privatumą.

Geriausios autentifikavimo saugos praktikos

Pažeidėjai dažnai gauna neįgaliotąją prieigą prie įmonės išteklių, todėl labai svarbu užtikrinti patikimą autentifikavimo saugą. Štai keletas dalykų, kuriuos galite padaryti, kad apsaugotumėte organizaciją:

  • Kelių dalių autentifikavimo taikymas

    Svarbiausias dalykas, kurį galite padaryti, kad sumažintumėte paskyros pažeidimo riziką, yra įjungti kelių dalių autentifikavimą ir reikalauti bent dviejų autentifikavimo būdų. Kenkėjams daug sunkiau pavogti daugiau nei vieną autentifikavimo būdą, ypač jei vienas iš jų yra biometrinis arba kažkas, ką turi vartotojas, pvz., įrenginys. Kad darbuotojams, klientams ir partneriams būtų kuo paprasčiau, suteikite jiems galimybę pasirinkti kelis skirtingus būdus. Nors svarbu atkreipti dėmesį, kad ne visi autentifikavimo būdai yra vienodai efektyvūs. Kai kurie iš jų yra saugesni už kitu. Pvz., SMS naudojimas yra geriau negu nieko, tačiau „push“ pranešimas yra saugesnis.

  • Veikimas be slaptažodžių

    Nustačius kelių dalių autentifikavimą, netgi galima pasirinkti apriboti slaptažodžių naudojimą ir skatinti žmones naudoti du ar daugiau kitų autentifikavimo būdų, pvz., PIN ir biometrinius duomenis. Sumažinus slaptažodžių naudojimą ir pasirinkus prisijungimą Autentifikavimo be slaptažodžio sprendimasbe slaptažodžių bus racionalizuotas prisijungimo procesas ir sumažinta paskyros pažeidimo rizika.

  • Apsaugos slaptažodžiu taikymas

    Be darbuotojų švietimo, yra įrankių, kuriuos galite naudoti norėdami sumažinti lengvai atspėjamų slaptažodžių naudojimą. Apsaugos slaptažodžiu sprendimai leidžia uždrausti dažniausiai naudojamus, pvz., „Slaptažodis1“. Taip pat galima sukurti įmonei ar regionui būdingą pasirinktinį sąrašą, pvz., vietos sporto komandų ar lankytinų vietų pavadinimus.

  • Rizika pagrįsto kelių dalių autentifikavimo įjungimas

    Kai kurie autentifikavimo įvykiai yra pažeidimo indikatoriai, pvz., kai darbuotojas bando pasiekti jūsų tinklą iš naujo įrenginio ar keistos vietos. Kiti prisijungimo įvykiai gali būti netipiniai, bet kelia didesnę riziką, pvz., jeigu žmogiškųjų išteklių specialistas privalo pasiekti darbuotojo asmens identifikavimo informaciją. Norėdami sumažinti riziką, konfigūruokite tapatybės ir prieigos valdymo (IAM) sprendimą, kad aptikus šių tipų įvykius būtų reikalaujama bent dviejų autentifikavimo būdų.

  • Prioritetizuokite naudojimo galimybes

    Norint užtikrinti efektyvią saugą, būtina įtikinti darbuotojus ir kitas suinteresuotąsias šalis. Saugos strategijos kartais gali neleisti žmonėms užsiimti rizikinga veikla internete, tačiau jei strategijos yra per daug ribojančios, žmonės ras sprendimą. Efektyviausi sprendimai atitinka realią žmogaus elgseną. Įdiekite tokias funkcijas kaip savarankiškas slaptažodžio nustatymas iš naujo, kad pamiršus slaptažodį žmonėms nebereikėtų skambinti pagalbos tarnybai. Tai taip pat gali skatinti pasirinkti sudėtingą slaptažodį, nes žmonės žinos, kad jį bus lengva nustatyti iš naujo, jei vėliau jį pamirš. Leidimas žmonėms pasirinkti, kurį autorizavimo būdą jie nori naudoti, yra dar vienas geras būdas supaprastinti prisijungimą.

  • Bendrosios autentifikacijos diegimas

    Viena puiki funkcija, kuri pagerina naudojimo galimybes ir saugą, yra bendroji autentifikacija (SSO). Niekam nepatinka, kai prašoma slaptažodžio kiekvieną kartą įjungiant programą, todėl šis būdas gali skatinti naudoti tą patį slaptažodį keliose paskyrose, kad būtų taupomas laikas. Naudojant bendrąją autentifikaciją, darbuotojai privalo prisijungti tik vieną kartą, kad galėtų pasiekti daugumą arba visas darbui būtinas programas. Tai sumažina trintį ir leidžia taikyti universaliąsias arba sąlygines saugos strategijas, pvz., kelių dalių autentifikavimą, visai darbuotojų naudojamai programinei įrangai.

  • Mažiausių būtinų prieigos teisių principo naudojimas

    Apribokite privilegijuotų paskyrų skaičių, atsižvelgdami į vaidmenis, ir suteikite žmonėms mažiausiai teisių, būtinų jų užduotims atlikti. Nustačius prieigos valdymą užtikrinama, kad mažiau žmonių galės pasiekti svarbiausius duomenis ir sistemas. Jeigu kas nors turi atlikti svarbią užduotį, naudokite privilegijuotos prieigos valdymą, pvz., aktyvinimą reikiamu laiku su laiko trukme, kad dar labiau sumažintumėte riziką. Taip pat padeda reikalavimas, kad administravimo veikla būtų vykdoma tik labai saugiuose įrenginiuose, kurie yra atskirti nuo kompiuterių, kuriuos žmonės naudoja kasdienių užduočių metu.

  • Vertinkite saugos pažeidimus ir atlikite reguliarius auditus

    Daugelyje organizacijų žmonių vaidmenys ir įdarbinimo būsena nuolat kinta. Darbuotojai išeina iš įmonės arba keičia skyrius. Partneriai prisijungia ir atsijungia nuo projektų. Jeigu taisyklės nėra atnaujinamos, tai gali kelti problemų. Svarbu užtikrinti, kad žmonės neturėtų prieigos prie sistemų ir failų, kurių jiems nebereikia darbui atlikti. Norėdami sumažinti riziką, kad kenkėjas gaus slaptos informacijos, naudokite tapatybės valdymo sprendimą, kad galėtumėte nuosekliai tikrinti paskyras ir vaidmenis. Šie įrankiai taip pat padeda užtikrinti, kad žmonės turėtų prieigą tik prie to, ko jiems reikia, o žmonių, kurie išėjo iš organizacijos, paskyros būtų neaktyvios.

  • Tapatybių apsauga nuo grėsmių

    Tapatybės ir prieigos valdymo sprendimai teikia daug įrankių, padedančių sumažinti paskyros pažeidimo riziką, tačiau vis tiek reikėtų numatyti pažeidimus. Net gerai išmokytus darbuotojus kartais paveikia sukčiavimas apsimetant. Norėdami greitai reaguoti į paskyrų įsilaužimo pavojus, investuokite į tapatybės apsaugos nuo grėsmių sprendimus ir įgyvendinkite strategijas, padedančias aptikti įtartiną veiklą ir į ją reaguoti. Daugelis šiuolaikinių sprendimų, pvz., „Microsoft Security“ saugai, naudoja DI, kad ne tik aptiktų grėsmes, bet ir automatiškai į jas reaguotų.

Debesies autentifikavimo sprendimai

Autentifikavimas labai svarbus tiek stipriai kibernetinės saugos programai, tiek darbuotojų produktyvumui užtikrinti. Išsamus debesų technologijos pagrindu veikiantis tapatybės ir prieigos valdymo sprendimas, pvz., „Microsoft Entra“, teikia įrankių, padedančių žmonėms lengvai pasiekti tai, ko reikia, kad galėtų atlikti darbus, taikant efektyvius valdiklius, kurie sumažina kenkėjų paskyrų pažeidimo riziką ir galimybes gauti prieigą prie svarbių duomenų.

Sužinokite daugiau apie „Microsoft“ saugą

Microsoft Entra ID

Apsaugokite organizaciją naudodami tapatybės ir prieigos valdymą (anksčiau vadintą „Azure Active Directory“).

Sužinokite daugiau

„Microsoft Entra“ ID valdymas

Automatiškai užtikrinkite, kad tinkami žmonės turėtų tinkamą prieigą prie tinkamų programų reikiamu laiku.

Sužinokite daugiau

„Microsoft Entra“ teisių valdymas

Gaukite vieną vieningą sprendimą, skirtą valdyti bet kurios tapatybės keliuose debesies infrastruktūros objektuose teises.

Sužinokite daugiau

„Microsoft Entra“ patvirtintas ID

Decentralizuokite tapatybes naudodami valdomą įrodomų kredencialų tarnybą, pagrįstą atviraisiais standartais.

Sužinokite daugiau

„Microsoft Entra“ darbo krūvio ID

Valdykite ir apsaugokite programoms ir tarnyboms suteiktas tapatybes.

Sužinokite daugiau

Dažnai užduodami klausimai

  • Yra daug skirtingų autentifikavimo tipų. Toliau pateikti keli pavyzdžiai:

    • Daugelis žmonių prisijungia prie telefonų naudodami veido atpažinimo funkciją arba nykščio atspaudą. 
    • Bankai ir kitos tarnybos dažnai reikalauja, kad žmonės prisijungtų naudodami slaptažodį ir kodą, kuris automatiškai siunčiamas SMS žinute. 
    • Kai kurioms paskyroms reikia tik vartotojo vardo ir slaptažodžio, nors daugelis organizacijų pereina prie kelių dalių autentifikavimo, kad padidintų saugą.
    • Darbuotojai dažnai prisijungia prie kompiuterių ir gauna prieigą prie kelių skirtingų programų vienu metu, tai vadinama bendrąja autentifikacija.
    • Taip pat yra paskyrų, leidžiančių vartotojams prisijungti naudojant „Facebook“ arba „Google“ paskyrą. Tokiu atveju „Facebook“, „Google“ ar „Microsoft“ yra atsakingos už vartotojo autentifikavimą ir įgaliojimų suteikimą tarnybai, kurią vartotojas nori pasiekti.

  • Debesies autentifikavimas yra tarnyba, kuri patvirtina, kad tik tinkami žmonės ir programos, turinčios reikiamas teises, gali gauti prieigą prie debesies tinklų ir išteklių. Daugelyje debesies programų yra įtaisytasis autentifikavimas, kuris pagrįstas debesimi, tačiau yra ir išsamesnių sprendimų, pvz., „Azure Active Directory“, kurie skirti valdyti autentifikavimą keliose debesies programose ir tarnybose. Šie sprendimai paprastai naudoja SAML protokolą, kad viena autentifikavimo tarnyba veiktų keliose paskyrose.

  • Nors autentifikavimas ir autorizavimas dažnai naudojami pakaitomis, tai yra du susiję, tačiau atskiri dalykai. Autentifikavimas patvirtina, kad prisijungęs vartotojas yra tas, kas sakosi esąs, o autorizavimas patvirtina, kad turi reikiamas teises pasiekti norimą informaciją. Naudojama kartu, autentifikavimas ir autorizavimas padeda sumažinti riziką, kad užpuolikas gaus prieigą prie svarbių duomenų.

  • Autentifikavimas naudojamas siekiant patikrinti, ar žmonės ir subjektai, yra tinkami, prieš jiems suteikiant prieigą prie skaitmeninių išteklių ir tinklų. Nors pagrindinis tikslas yra sauga, moderniojo autentifikavimo sprendimai taip pat skirti pagerinti naudojimo galimybes. Pavyzdžiui, daugelis organizacijų taiko bendrosios autentifikacijos sprendimus, kad darbuotojams būtų paprasta rasti tai, ko reikia užduotims atlikti. Vartotojams skirtos tarnybos dažnai leidžia žmonėms prisijungti naudojant „Facebook“, „Google“ ar „Microsoft“ paskyrą, kad autentifikavimo procesas būtų greitesnis.

Sekite „Microsoft“