Что такое проверка подлинности?
Узнайте, как проверяются удостоверения пользователей, приложений и служб, прежде чем им будет предоставлен доступ к цифровым системам и ресурсам.
Проверка подлинности: определение
Проверка подлинности — это процесс, позволяющий компании убедиться, что доступ к ее ресурсам получают только уполномоченные пользователи, службы и приложения с надлежащими разрешениями. Это важный компонент кибербезопасности, поскольку злоумышленники в первую очередь стремятся получить несанкционированный доступ к системам. Для этого они крадут имена и пароли пользователей, имеющих желаемые права доступа. Процесс проверки подлинности включает три основных этапа:
- Идентификация. Чтобы указать, кто запрашивает доступ, обычно используется имя пользователя.
- Проверка подлинности. Как правило, пользователь вводит пароль (который, по идее, должен знать только он), чтобы подтвердить, что он тот, за кого себя выдает. Но для усиления защиты многие организации требуют, чтобы пользователь прошел еще одну проверку с помощью предмета, которым он обладает (телефон или аппаратный ключ), или индивидуальных особенностей (распознавание отпечатка пальца или лица).
- Авторизация. Система убеждается, что у пользователя есть права на доступ к системе, которая ему нужна.
Почему важна проверка подлинности?
Важность проверки подлинности заключается в том, что она помогает организациям защищать свои системы, данные, сети, веб-сайты и приложения от вредоносных атак. Она также помогает соблюсти конфиденциальность персональных данных пользователей и снижает риск при выполнении бизнес-операций (например, банковских или инвестиционных) в Интернете. Если процессы проверки подлинности ненадежны, злоумышленнику проще скомпрометировать учетную запись, подобрав пароль или обманом выманив у пользователя сведения о его учетных данных. В результате могут возникнуть следующие риски:
- Нарушение безопасности или кража данных.
- Установка вредоносных программ, например программ-шантажистов.
- Несоблюдение региональных или отраслевых требований в отношении конфиденциальности данных.
Принцип работы проверки подлинности
При проверке подлинности человек указывает свое имя пользователя и пароль и выполняет другие действия, необходимые для идентификации, такие как распознавание лица либо отпечатка пальцев или ввод PIN-кода. В целях защиты удостоверений эти методы проверки подлинности ничего не сохраняют в базе данных службы. Пароли хэшируются, а не шифруются, и в базе данных сохраняются только хэши. Когда пользователь вводит пароль, он тоже хэшируется, после чего полученный хэш сравнивается с тем, который хранится в базе данных. Если они совпадают, доступ предоставляется. Данные об отпечатках пальцев и сканированные изображения лиц кодируются, шифруются и сохраняются на устройстве.
Типы методов проверки подлинности
При использовании современных технологий процесс проверки подлинности выполняет надежная, автономная система идентификации в отличие от традиционных методов, где каждая система самостоятельно проверяет удостоверения. Кроме того, изменились типы применяемых методов проверки подлинности. Большинство приложений по-прежнему требуют вводить имя пользователя и пароль при входе, но поскольку злоумышленники стали применять более искусные методы кражи паролей, сообщество по вопросам безопасности разработало несколько новых методов защиты удостоверений.
Проверка подлинности с использованием паролей
Пароли чаще всего применяются для проверки подлинности. Большинство приложений и служб предписывают пользователям создавать пароли, состоящие из цифр, букв и символов. Считается, что такие пароли труднее разгадать. Однако использование паролей небезопасно и не слишком удобно. Человеку сложно запомнить уникальные пароли для всех своих учетных записей в Интернете, поэтому он часто начинает использовать везде один и тот же пароль. У злоумышленников много тактик, позволяющих разгадать или украсть пароли либо сделать так, чтобы жертва против воли раскрыла эти сведения. По этой причине организации отказываются от паролей, переходя на более безопасные формы проверки подлинности.
Проверка подлинности на базе сертификатов
Проверка подлинности на базе сертификатов — это метод шифрования, позволяющий устройствам и пользователям проходить идентификацию и получать доступ к другим устройствам и системам. Для этого, в частности, используется смарт-карта или отправка цифрового сертификата с устройства сотрудника в сеть или на сервер.
Проверка подлинности с помощью биометрических данных
Этот метод основан на проверке биологических свойств человека. Например, многие пользователи разблокируют свои телефоны с помощью отпечатка пальца, а некоторые компьютеры для проверки личности сканируют лицо или сетчатку глаза. Кроме того, биометрические данные связываются с конкретным устройством, поэтому злоумышленники не могут использовать только биометрию без доступа к требуемому устройству. Этот тип проверки подлинности становится все более популярным, поскольку он очень прост. Людям не нужно ничего запоминать, тогда как злоумышленникам чрезвычайно сложно получить все, что требуется для такой идентификации, а значит, этот способ гораздо безопаснее, чем пароли.
Проверка подлинности с использованием маркеров
При такой проверке подлинности устройство и система каждые 30 секунд создают новый уникальный номер — так называемый TOTP (одноразовый PIN-код с ограниченным сроком действия). Если номера соответствуют, система убеждается, что пользователь применяет надлежащее устройство.
Одноразовый пароль
Одноразовые пароли (OTP) — это коды, создаваемые для конкретного события входа. Срок их действия прекращается вскоре после выпуска. Для их передачи используются SMS-сообщения, электронная почта или аппаратный ключ.
Push-уведомление
Некоторые приложения и службы используют push-уведомления для проверки подлинности пользователей. В этом случае на телефон пользователю приходит сообщение, предлагающее подтвердить или отклонить запрос доступа. Иногда люди случайно подтверждают push-уведомления, даже если сами в этот момент пытаются войти в службу, отправившую уведомление, поэтому такой способ иногда сочетают с OTP. При использовании OTP система генерирует уникальное число, которое пользователь должен ввести. Это позволяет лучше защитить систему проверки подлинности от фишинга.
Проверка подлинности с использованием голоса
При такой проверке человек, который пытается получить доступ к службе, получает телефонный звонок с просьбой ввести код или подтвердить свою личность с помощью голоса.
Многофакторная проверка подлинности
Чтобы сократить риск компрометации учетных записей, лучше всего использовать не менее двух методов проверки подлинности. Для этого пригодятся любые способы из ранее приведенного списка. Как показывает практика, эффективно работает сочетание любых двух нижеперечисленных методов.
- Запрос сведений, которые знает пользователь, например пароля.
- Использование предмета, который есть у пользователя, в частности, доверенного устройства, копию которого сложно создать (например, телефона или аппаратного ключа).
- Использование биометрических данных пользователя (например, распознавание отпечатка пальца или лица).
В частности, многие организации, прежде чем предоставить доступ, запрашивают пароль (данные, известные пользователю), после чего отправляют SMS-сообщение с OTP на доверенное устройство (предмет, принадлежащий пользователю).
Двухфакторная проверка подлинности
Двухфакторная проверка подлинности — это вид многофакторной проверки, при котором используются два способа подтверждения личности.
Авторизацию (AuthZ) нередко используют вместо проверки подлинности (AuthN) и наоборот. Но хотя эти процессы действительно связаны, они не зависят друг от друга. Проверка подлинности позволяет убедиться, что пользователь, выполняющий вход, действительно тот, за кого себя выдает, тогда как авторизация подтверждает, что у него есть необходимые права на доступ к требуемой ему информации. Например, специалист по кадрам может иметь доступ к системам, содержащим конфиденциальные данные, которые не могут просматривать другие сотрудники, такие как сведения о зарплате или личные дела. И проверка подлинности, и авторизация критически важны для продуктивной работы, защиты конфиденциальности и охраны неразглашаемых данных и интеллектуальной собственности.
Рекомендации по безопасной проверке подлинности
Поскольку злоумышленники часто прибегают к компрометации учетных записей для получения несанкционированного доступа к корпоративным ресурсам, важно обеспечить надежную и безопасную проверку подлинности. Вот несколько механизмов, которые помогут защитить вашу организацию.
-
Многофакторная проверка подлинности
Чтобы снизить риск компрометации учетных записей, чрезвычайно важно включить многофакторную проверку подлинности с использованием не менее двух способов идентификации. Злоумышленникам намного сложнее достать все необходимое, если методов идентификации несколько, особенно когда применяется биометрия или предмет, принадлежащий пользователю, например устройство. Чтобы максимально облегчить процесс проверки подлинности для сотрудников, клиентов и партнеров, позвольте им выбрать из нескольких вариантов идентификации. Однако важно заметить, что не все методы проверки подлинности равноценны. Одни из них более надежны, другие — менее. SMS-оповещения — это лучше, чем ничего, однако push-уведомления безопасней.
-
Отказ от паролей
Если вы настроили многофакторную проверку подлинности, то можете ограничить использование паролей и предложить пользователям пройти две и более идентификационные процедуры, например с применением PIN-кода и биометрии. Минимальное использование или полный отказ от паролей поможет оптимизировать процесс входа и снизить риск компрометации учетных записей.
-
Защита паролем
Помимо обучения сотрудников, можно использовать инструменты, не позволяющие применять простые пароли, которые легко разгадать. Решения длязащиты паролем позволяют избавиться от распространенных паролей, таких как Password1. Вы можете создать для компании или региона собственный список и включить в него распространенные словосочетания, такие как названия достопримечательностей или местных спортивных клубов.
-
Многофакторная проверка подлинности на базе оценки риска
Некоторые события проверки подлинности принадлежат к числу индикаторов компрометации, например попытка доступа к сети с нового устройства или непривычного места. Иногда даже типичные события входа могут нести дополнительный риск, например когда специалисту по кадрам требуется доступ к личным сведениям сотрудника. Чтобы снизить риск, настройте решение для управления идентификацией и доступом (IAM) таким образом, чтобы при обнаружении событий такого типа оно запрашивало не менее двух способов подтверждения личности.
-
Акцент на удобство использования
Эффективность системы безопасности во многом зависит от содействия со стороны сотрудников и других заинтересованных лиц. Политики безопасности могут помешать пользователям выполнить рискованное действие в сети, но если они слишком обременительны, люди найдут возможность их обойти. Лучше всего, если пользователям не придется совершать непривычные или раздражающие действия. Предоставьте им возможности самостоятельного сброса паролей, чтобы им не приходилось обращаться в службу поддержки, если они забыли пароль. Возможно, тогда они более охотно будут выбирать сложные пароли, зная, что легко могут их сбросить в случае необходимости. Чтобы облегчить процесс входа, позвольте людям выбирать предпочтительный способ проверки подлинности.
-
Развертывание единого входа
Единый входпозволяет существенно повысить безопасность и сделать процесс входа комфортным для пользователя. Никому не нравится то и дело вводить пароль при переходе от одного приложения к другому, поэтому для экономии времени пользователю гораздо удобнее использовать один и тот же пароль для нескольких учетных записей. Благодаря функции единого входа сотруднику достаточно один раз выполнить вход, чтобы получить доступ ко всем приложениям, которые требуются ему для работы, или большей их части. Такой процесс входа гораздо удобнее, к тому же вы можете настроить универсальные или условные политики безопасности, такие как многофакторная проверка подлинности, для всего программного обеспечения, которым пользуются сотрудники.
-
Принцип предоставления минимальных прав
Ограничьте количество привилегированных учетных записей в зависимости от ролей и предоставляйте лишь минимальное число привилегий, необходимых сотрудникам для работы. Используйте управление доступом, чтобы сократить число сотрудников, способных получить доступ к самым важным данным и системам. Если кому-то для работы нужны конфиденциальные данные, задействуйте управление привилегированным доступом, например ограниченную по времени JIT-активацию, чтобы еще больше снизить риск. Вы также можете потребовать, чтобы административные действия выполнялись только на хорошо защищенных устройствах, а не на компьютерах, которыми сотрудники пользуются для рутинных задач.
-
Активный поиск уязвимостей и регулярный аудит
Во многих организациях роли сотрудников и статус их занятости регулярно меняются. Люди увольняются или переходят в другие отделы. Партнеры присоединяются к проектам и покидают их. Если это не будет учтено в правилах доступа, возможны проблемы. Важно, чтобы у людей не сохранялся доступ к системам и файлам, которые им больше не требуются для работы. Чтобы снизить риск, связанный с несанкционированным доступом к конфиденциальной информации, используйте решение для управления удостоверениями, позволяющее постоянно проводить аудит учетных записей и ролей. Эти средства помогут вам убедиться, что люди получают доступ лишь к тем ресурсам, которые им действительно нужны, и что учетные записи уволенных сотрудников отключены.
-
Защита удостоверений от угроз
Решения дляуправления идентификацией и доступом предоставляют ряд инструментов, помогающих снизить риск компрометации учетных записей, однако стоит быть настороже в ожидании попыток взлома. Даже хорошо обученные сотрудники могут стать жертвами фишинга. Чтобы быстро выявлять скомпрометированные учетные записи, вооружитесь решениями для защиты от угроз, направленных на удостоверения, и настройте политики, позволяющие обнаруживать и блокировать подозрительную активность. Многие современные решения, такие как Microsoft Copilot для безопасности, используют ИИ не только для обнаружения угроз, но и для их автоматической нейтрализации.
Облачные решения для проверки подлинности
Проверка подлинности важна не только для уверенного выполнения программы кибербезопасности, но и для обеспечения продуктивной работы сотрудников. Комплексное облачное решение для управления идентификацией и доступом, такое как Microsoft Entra, предоставит вам средства, с помощью которых пользователи легко получат доступ к ресурсам, необходимым им для работы, а мощные средства контроля помогут защитить учетные данные от компрометации и снизить риск несанкционированного доступа к конфиденциальным данным.
Подробнее о Microsoft Security
Microsoft Entra ID
Защитите свою организацию с помощью системы управления идентификацией и доступом (прежнее название — Azure Active Directory).
Управление идентификацией Microsoft Entra
Автоматизируйте доступ, который должен предоставляться нужным людям к требуемым приложениям и только тогда, когда это необходимо.
Управление разрешениями Microsoft Entra
Пользуйтесь единым решением для управления разрешениями любых удостоверений, присутствующих в многооблачной инфраструктуре.
Проверенные учетные данные Microsoft Entra
Децентрализуйте удостоверения с помощью службы управляемых проверяемых учетных данных, созданной на основе открытых стандартов.
Идентификация рабочей нагрузки Microsoft Entra
Обеспечьте защиту удостоверений, предоставленных приложениям и службам, и управление ими.
Вопросы и ответы
-
Существует много разных типов проверки подлинности. Вот несколько примеров.
- Многие люди используют функцию распознавания лиц или отпечаток пальца для разблокировки своих телефонов.
- Банки и другие службы часто требуют, чтобы пользователь при входе вводил пароль и код, который автоматически отправляется в SMS-сообщении.
- Для некоторых учетных записей достаточно указать имя пользователя и пароль, но многие организации переходят на многофакторную проверку подлинности, чтобы повысить уровень безопасности.
- Часто сотрудники, выполнив вход на свои компьютеры, одновременно получают доступ к некоторым другим приложениям. Это называется единым входом.
- Кроме того, есть учетные записи, позволяющие использовать для входа учетную запись Facebook или Google. В этом случае ответственность за проверку подлинности пользователя и авторизацию в службе, к которой запрашивается доступ, несет Facebook, Google, или корпорация Майкрософт.
-
Облачная проверка подлинности — это служба, которая гарантирует, что доступ к облачным сетям и ресурсам получат только пользователи и приложения с надлежащими правами. Многие облачные приложения располагают встроенной системой проверки подлинности, которая выполняется в облаке, однако есть решения с расширенными возможностями, например Azure Active Directory, которые проводят проверку подлинности в различных облачных приложениях и службах. Эти решения обычно применяют протокол SAML, чтобы обеспечить работу единой службы проверки подлинности в различных учетных записях.
-
Авторизацию нередко используют вместо проверки подлинности и наоборот. Но хотя эти процессы действительно связаны, они не зависят друг от друга. Проверка подлинности позволяет убедиться, что пользователь, выполняющий вход, действительно тот, за кого себя выдает, тогда как авторизация подтверждает, что у него есть необходимые права на доступ к требуемой ему информации. Совместное использование этих процессов помогает снизить риск несанкционированного доступа к конфиденциальным данным.
-
Проверка подлинности позволяет убедиться, что пользователи и сущности действительно являются теми, за кого себя выдают, прежде чем предоставить им доступ к цифровым ресурсам и сетям. И хотя основной целью по-прежнему является безопасность, современные решения для проверки подлинности рассчитаны и на удобство пользователей. Например, многие организации внедряют решения единого входа, чтобы сотрудникам было проще получить доступ к ресурсам, которые им требуются для работы. Потребительские службы часто предлагают использовать для входа учетную запись Facebook, Google или Майкрософт, чтобы ускорить процесс проверки подлинности.
Следите за новостями Майкрософт