Hva er godkjenning?
Finn ut hvordan identiteten til personer, apper og tjenester bekreftes før de får tilgang til digitale systemer og ressurser.
Godkjenning er definert
Godkjenning er prosessen som bedrifter bruker for å bekrefte at bare de rette personene, tjenestene og appene med de riktige tillatelsene kan få organisasjonsressurser. Det er en viktig del av cybersikkerhet fordi en dårlig aktørs prioritet nummer én, er å få uautorisert tilgang til systemer. De gjør dette ved å stjele brukernavnet og passordene til brukere som har tilgang. Godkjenningsprosessen inkluderer tre primære steg:
- Identifisering: Brukere bekrefter hvem de er vanligvis ved et brukernavn.
- Godkjenning: Vanligvis beviser brukere at de er den de sier de er ved å skrive inn et passord (noe bare brukeren skal vite), men for å styrke sikkerheten krever mange organisasjoner også at de beviser identiteten sin med noe de har (en telefon eller token-enhet) ) eller hvem de er (fingeravtrykk eller ansiktsskanning).
- Autorisering: Systemet bekrefter at brukerne har tillatelse til systemet de prøver å få tilgang til.
Hvorfor er godkjenning viktig?
Godkjenning er viktig fordi den hjelper organisasjonen å bekytte systemene sine, data, nettverk, nettsteder og applikasjoner mot angrep. Det hjelper også enkeltpersoner å holde sine personlige data konfidensielle, og gir dem mulighet til å drive nettbaserte bedrifter, for eksempel bank eller investering, med mindre risiko. Når godkjenningsprosessene er svake, er det lettere for en angriper å kompromittere en konto enten ved å gjette individuelle passord eller lure folk til å overlate påloggingsinformasjonen sin. Dette kan føre til følgende risikohendelser:
- Datainnbrudd eller eksfiltrering.
- Installasjon av skadelig programvare,slik som løsepengeprogramvare.
- Manglende overholdelse av regionale eller bransjeforskrifter for personvern.
Slik fungerer godkjenning
For personer innebærer godkjenning å sette opp et brukernavn, passord og andre godkjenningsmetoder, for eksempel en ansiktsskanning, fingeravtrykk eller PIN-kode. For å beskytte identiteter lagres ingen av disse godkjenningsmetodene i tjenestens database. Passord er hashmerket (ikke kryptert) og hashmerkene lagres i databasen. Når en bruker skriver inn et passord, hashmerkes også det angitte passordet, deretter sammenlignes hashmerkene. Hvis hashmerkene samsvarer, blir det gitt tilgang. For fingeravtrykk og ansiktsskanning blir informasjonen kodet, kryptert og lagret på enheten.
Ulike godkjenningsmetoder
I moderne godkjenning er godkjenningsprosessen delegert til et klarert, separat identitetssystem, i motsetning til tradisjonell godkjenning der hvert system bekrefter og identifiserer seg selv. Det har også vært en endring i typen godkjenningsmetoder som brukes. De fleste program krever brukernavn og passord, men etter hvert som dårlige aktører har blitt flinkere til å stjele passord, har sikkerhetsfellesskapet utviklet flere nye metoder for å beskytte identiteter.
Passordbasert godkjenning
Passordbasert godkjenning er den vanligste godkjenningformen. Mange program og tjenester krever at folk oppretter passord som bruker en kombinasjon av tall, bokstaver og symboler for å redusere risikoen for at en upålitelig person gjetter dem. Men passord skaper også sikkerhets- og brukervennlighetsutfordringer. Det er vanskelig for folk å finne på og huske et unikt passord for hver av nettkontoene deres, og det er derfor de ofte gjenbruker passord. Og angripere bruker mange taktikker for å gjette eller stjele passord eller lokke personer til å dele dem motvillig. Derfor beveger organisasjoner seg bort fra passord til andre sikrere former for autentisering.
Sertifikatbasert godkjenning
Sertifikatbasert godkjenning er en kryptert metode som gjør det mulig for enheter og personer å identifisere seg for andre enheter og systemer. To vanlige eksempler er et smartkort eller når en ansatts enhet sender et digitalt sertifikat til et nettverk eller en server.
Biometrisk autentisering
I biometrisk autentisering bekrefter personer identiteten sin ved hjelp av biologiske trekk. Mange bruker for eksempel fingeren eller tommelen for å logge på telefonene sine, og noen datamaskiner skanner ansiktet eller netthinnen til en person for å bekrefte identiteten deres. De biometriske dataene er også knyttet til en bestemt enhet, slik at angripere ikke kan bruke dem uten også å få tilgang til enheten. Denne typen autentisering blir stadig mer populær fordi det er enkelt for folk – de trenger ikke å huske noe – og det er vanskelig for uærlige personer å stjele, noe som gjør det sikrere enn passord.
Tokenbasert godkjenning
I tokenbasert autentisering genererer både en enhet og systemet et nytt unikt nummer kalt en tidsbasert engangs-PIN (TOTP) hvert 30. sekund. Hvis tallene stemmer, verifiserer systemet at brukeren har enheten.
Engangspassord
Engangspassord (OTP) er koder som genereres for en spesifikk påloggingshendelse som utløper kort tid etter at de er utstedt. De leveres via tekstmeldinger, e-post eller et maskinvaretoken.
Push-varsel
Noen apper og tjenester bruker push-varsler for å godkjenne brukere. I disse tilfellene mottar folk en melding på telefonen som ber dem om å godkjenne eller avslå tilgangsforespørselen. Fordi noen ganger personer ved et uhell godkjenner push-varsler selv om de prøver å logge på tjenestene som sendte varselet, kombineres denne metoden noen ganger med en OTP-metode. Med OTP genererer systemet et unikt nummer som brukeren må angi. Dette gjør godkjenningen mer motstandsdyktig mot phishing.
Stemmegodkjenning
Ved stemmegodkjenning mottar personen som prøver å få tilgang til en tjeneste en telefonsamtale der de blir bedt om å taste inn en kode eller identifisere seg muntlig.
Flerfaktorautentisering
En av de beste måtene å redusere kompromittering av kontoer på er å kreve to eller flere autentiseringsmetoder, som kan inkludere hvilken som helst av de tidligere oppførte metodene. En effektiv beste praksis er å kreve to av følgende:
- Noe brukeren vet, typisk et passord.
- Noe de har, for eksempel en pålitelig enhet som ikke er lett å duplisere, som en telefon eller maskinvaretoken.
- Noe brukeren er, som et fingeravtrykk eller ansiktsskanning.
Mange organisasjoner ber for eksempel om et passord (noe brukeren vet) og sender også en OTP via SMS til en pålitelig enhet (noe brukeren har) før de tillates tilgang.
Godkjenning med to faktorer
Godkjenning med to faktorer er en type godkjenning med flere faktorer som krever to former for godkjenning.
Selv om godkjenning, noen ganger referert til som AuthN, og autorisasjon, eller noen ganger referert til som AuthZ, og ofte brukes om hverandre, er de to relaterte, men separate ting. Godkjenning bekrefter at brukeren som logger på er den de sier de er, mens autorisasjon bekrefter at de har de rette tillatelsene til å få tilgang til informasjonen de ønsker. For eksempel kan noen i personaladministrasjon ha tilgang til sensitive systemer, for eksempel lønns- eller ansattfiler, som andre ikke kan se. Både godkjenning og autorisasjon er avgjørende for å gjøre produktiviteten bedre og beskytte sensitive data, åndsverk og personvern.
Anbefalte fremgangsmåter for godkjenningssikkerhet
Fordi kompromittering av kontoer er en så vanlig måte for angripere å få uautorisert tilgang til et selskaps ressurser, er det viktig å innføre sterk godkjenningssikkerhet. Her er noen forslag til hva du kan gjøre for å beskytte organisasjonen din:
-
Innføre godkjenning med flere faktorer
Det viktigste du kan gjøre for å redusere risikoen din for kompromittering av kontoer, er å slå på godkjenning med flere faktorer og kreve minst to godkjenningsfaktorer. Det er mye vanskeligere for angripere å stjele mer enn én godkjenningsmetode, spesielt hvis en av disse er en biometrisk godkjenning eller noe som en bruker eier eller disponerer som en enhet. For å gjøre det så enkelt som mulig for ansatte, kunder og partnere, gi dem valget mellom flere ulike faktorer. Likevel er det viktig å merke seg at ikke alle godkjenningssmetoder er like. Noen er sikrere enn andre. For eksempel, mens det å motta en SMS er bedre enn ingenting, er en push-varsling sikrere.
-
Passordløst
Når du har satt opp godkjenning med flere faktorer, kan du til og med velge å begrense bruken av passord, og du kan oppmuntre folk til å bruke to eller flere andre autentiseringsmetoder, for eksempel PIN-kode og biometri. Å redusere bruken av passord og bli passordutløs vil strømlinjeforme påloggingsprosessen og redusere risikoen for kompromittering av kontoer.
-
Bruk passordbeskyttelse
I tillegg til ansattes utdanning finnes det verktøy som du kan bruke for å redusere bruken av passord som er lett å gjette. Løsninger for passordbeskyttelse lar deg forby ofte brukte som Passord1. Og du kan lage en egendefinert liste som er spesifikk for din bedrift eller region, for eksempel navnene på lokale idrettslag eller landemerker.
-
Aktiver risikobasert godkjenning med flere faktorer
Noen godkjenningshendelser er indikasjoner på kompromittering, for eksempel når en ansatt prøver å få tilgang til nettverket ditt fra en ny enhet eller et merkelig sted. Andre påloggingshendelser er kanskje ikke atypiske, men har høyere risiko, for eksempel når en ansatt i personaladministrasjonen trenger tilgang til en ansatts personlig identifiserbar informasjon. For å redusere risikoen, konfigurer løsningen for identitets- og tilgangsstyring (IAM) til å kreve minst to godkjenningsfaktorer når den oppdager denne typen hendelser.
-
Prioriter brukervennlighet
Effektiv sikkerhet krever innkjøp fra ansatte og andre interessenter. Sikkerhetsretningslinjer kan noen ganger hindre folk i å delta i risikofylte nettaktiviteter, men hvis retningslinjene er for tyngende, vil folk finne nye løsninger. De beste løsningene gir plass til vanlig menneskelig atferd. Implementer funksjoner som tilbakestilling av selvbetjent passord for å unngå behovet for at folk skal ringe kundehjelp når de glemmer et passord. Dette kan også oppmuntre dem til å velge et sterkt passord siden de vet at det vil være enkelt å tilbakestille hvis de glemmer det senere. En annen god måte å gjøre det enklere for personer å logge på, er å la dem velge hvilken godkjenningsmetode de foretrekker.
-
Distribuer enkel pålogging
En flott funksjon som forbedrer brukervennligheten og forbedrer sikkerheten din er enkel pålogging (SSO). Ingen liker å bli bedt om et passord hver gang de bytter app, og de kan bli oppfordret til å bruke det samme passordet på tvers av flere kontoer for å spare tid. Med enkel pålogging trenger ansatte bare å logge på én gang for å få tilgang til de fleste eller alle appene de trenger for arbeidet. Dette reduserer friksjon, og det lar deg bruke universelle eller betingede sikkerhetsretningslinjer, som godkjenning med flere faktorer, på all programvaren ansatte bruker.
-
Bruk prinsippet om minimal tilgang
Begrens antall privilegerte kontoer basert på roller og gi personer det minst nødvendige mengde privilegium som er nødvendig for å utføre jobben sin. Etablering av tilgangskontroll bidrar til å sikre at færre personer kan finne fram til de mest kritiske dataene og systemene dine. Når noen trenger å utføre en sensitiv oppgave, bruk privilegert tilgangsadministrasjon, for eksempel akkurat-i-tideaktivering med varighet, for å redusere risikoen ytterligere. Det hjelper også å kreve at administrative aktiviteter bare utføres på svært sikre enheter som er atskilt fra datamaskinene folk bruker til daglige oppgaver.
-
Anta brudd og gjennomfør regelmessige revisjoner
I mange organisasjoner endres personers roller og ansettelsesstatus regelmessig. Ansatte forlater firmaet eller bytter avdeling. Partnere rullerer mellom prosjekter. Dette kan være et problem når tilgangsreglene ikke holder tritt. Det er viktig å sikre at folk ikke beholder tilgang til systemer og filer som de ikke lenger trenger for jobben sin. For å redusere risikoen for at en angriper får tak i sensitiv informasjon, bruk en løsning for identitetsstyring for å hjelpe deg følge med på og revidere kontoene og rollene dine. Disse verktøyene hjelper deg også med å sikre at personer bare har tilgang til det de trenger, og at kontoer for personer som har forlatt organisasjonen ikke lenger er aktive.
-
Beskytt identiteter mot trusler
Løsninger for identitets- og tilgangsadministrasjon tilbyr mange verktøy for å hjelpe deg med å redusere risikoen for kompromittering av konto, men det er fortsatt smart å forutse et brudd. Selv velutdannede ansatte faller noen ganger for nettfiskingssvindel. For å fange kompromittering av konto tidlig, invester i løsninger for trusselbeskyttelse for identitet og implementer retningslinjer som hjelper deg med å avdekke og svare på mistenkelig aktivitet. Mange moderne løsninger, som Microsoft Sikkerhet Copilot, bruker kunstig intelligens for ikke bare å oppdage trusler, men automatisk svare på dem.
Løsninger for skygodkjenning
Godkjenning er avgjørende både for et sterkt program for cybersikkerhet og for å muliggjøre arbeidernes produktivitet. En omfattende løsning for skybasert identitets- og tilgangsadministrasjon, som Microsoft Entra, gir deg verktøy for å hjelpe folk enkelt å få det de trenger for å gjøre jobben sin, mens de bruker kraftige kontroller som reduserer risikoen for at angripere vil kompromittere en konto og få tilgang til sensitive data.
Finn ut mer om Microsoft Sikkerhet
Microsoft Entra ID
Beskytt organisasjonen med identitets- og tilgangsstyring (tidligere kjent som Azure Active Directory).
Microsoft Entra ID-styring
Sørg automatisk for at de rette personene har rett tilgang til de rette appene til rett tid.
Microsoft Entra tillatelsesstyring
Få en enhetlig løsning for administrasjon av tillatelser for alle identiteter på tvers av din flersky-infrastruktur.
Microsoft Entra bekreftet ID
Desentraliser identitetene dine med en tjeneste for legitimasjon som kan bekreftes basert på åpne standarder.
Microsoft Entra arbeidsbelastnings-ID
Administrer og sikre identitetene dine som gis til apper og tjenester.
Vanlige spørsmål
-
Det finnes mange forskjellige typer godkjenning. Noen få eksempler er:
- Mange logger på telefonene sine med ansiktsgjenkjenning eller et tommelavtrykk.
- Banker og andre tjenester krever ofte at folk logger på med et passord pluss en kode som sendes automatisk via tekstmelding.
- Noen kontoer krever bare et brukernavn og et passord, selv om mange organisasjoner går mot godkjenning med flere faktorer for å øke sikkerheten.
- Ansatte logger ofte på datamaskinen sin og får tilgang til flere forskjellige apper samtidig, som er kjent som enkel pålogging.
- Det finnes også kontoer som lar brukere logge på med en Facebook- eller Google-konto. I dette tilfellet er Facebook, Google eller Microsoft ansvarlig for å godkjenne brukeren og gi autorisasjon til tjenesten brukeren ønsker å få tilgang til.
-
Skygodkjenning er en tjeneste som bekrefter at bare de rette personene og appene med de rette tillatelsene kan få tilgang til skynettverk og -ressurser. Mange skyapper har innebygd godkjenning som er skybasert, men det finnes også bredere løsninger, som Azure Active Directory, som er designet for å håndtere godkjenning på tvers av flere skyapper og -tjenester. Disse løsningene bruker vanligvis SAML -protokollen for å aktivere én godkjenningstjeneste på tvers av flere kontoer.
-
Selv om godkjenning, og autorisasjon ofte brukes om hverandre, er de to relaterte, men separate ting. Godkjenning bekrefter at brukeren som logger på er den de sier de er, mens autorisasjon bekrefter at de har de rette tillatelsene til å få tilgang til informasjonen de ønsker. Brukt sammen bidrar godkjenning og autorisasjon til å redusere risikoen for at en angriper får tilgang til sensitive data.
-
Godkjenning brukes til å bekrefte at personer og enheter er den de sier er før de gir dem tilgang til digitale ressurser og nettverk. Selv om hovedmålet er sikkerhet, er moderne godkjenningsløsninger også utviklet for å forbedre brukervennligheten. Mange organisasjoner implementerer for eksempel enkel påloggingsløsninger for å gjøre det enkelt for ansatte å finne det de trenger for å gjøre jobben sin. Forbrukertjenester lar ofte personer logge på med Facebook-, Google- eller Microsoft-kontoen sin for å øke hastigheten på godkjenningsprosessen.
Følg Microsoft