Идентификация аутентификация авторизация: Аутентификация, авторизация и идентификация — DiPHOST.Ru wiki system

Содержание

Идентификация, аутентификация, авторизация - Protectimus Solutions

Опубликовано Olga Geo Ноя 17, 2015 |

Идентификация, аутентификация, авторизация — с этими тремя понятиями сталкивался каждый, но различают их далеко не все. Между тем, в таком деле как защита данных они играют важнейшую роль и заслуживают того, чтобы узнать о них побольше.

Для начала воспользуемся простым примером из повседневной жизни, который поможет в общих чертах понять, чем авторизация отличается от аутентификации и идентификации.

Когда новый сотрудник впервые приходит на службу, он представляется охраннику на входе и говорит, что теперь будет здесь работать — менеджером, допустим. Таким образом он  идентифицирует себя — сообщает, кто он такой.

Охрана обычно не верит на слово и требует предоставить доказательства того, что он действительно новый менеджер и имеет право входа в служебное помещение. Предъявление пропуска с фотографией и сличение его с имеющимся у охранника списком сотрудников решает проблему. Cлужащий подтвердил свою подлинность — прошел аутентификацию.

Наконец-то открывается заветная дверь, и охранник допускает сотрудника к определенной двери. Допуск получен — состоялась

авторизация.

В виртуальном мире все практически так же, как в реальном. Только имена “персонажей” меняются. Сотрудник охраны — это сервер, контролирующий вход на сайт. А пришедший на работу менеджер — пользователь, который хочет попасть в свой аккаунт.

Следует добавить, что процедура будет повторяться каждый день — даже тогда, когда все охранники будут знать менеджера и в лицо, и по имени. Просто у охраны такая работа. У сервера тоже.

Все три понятия — этапы одного и того же процесса, который управляет доcтупом пользователей к их аккаунтам.

Чтобы выполнить какие-либо действия на сайте, клиент должен “представиться” системе. Идентификация пользователя — предъявление им оснований для входа на сайт или сервис. Обычно в роли идентификаторов выступают логин или адрес электронной почты, указанный при регистрации. Если сервер находит в своей базе данные, совпадающие с указанными, то происходит идентификация клиента.

Логин — это, конечно, прекрасно. Но где гарантия, что ввел его именно тот человек, который зарегистрирован на сайте? Чтобы окончательно убедиться в подлинности пользователя, система обычно проводит аутентификацию.

Чаще всего сегодня используется двухфакторная аутентификация, где в качестве первого фактора выступает обычный многоразовый пароль. А вот второй фактор может быть разным, в зависимости от того, какие способы аутентификации применяются в данном случае:

  • одноразовый пароль или PIN-код;
  • магнитные карты, смарт-карты, сертификаты с цифровой подписью;
  • биометрические параметры: голос, сетчатка глаза, отпечатки пальцев.

Несмотря на бурное развитие биометрических способов аутентификации, все же следует признать, что они не очень надежны при удаленном использовании. Не всегда можно гарантировать корректность работы устройств и приложений, осуществляющих сканирование сетчатки глаз или отпечатков пальцев. Нельзя на 100% быть уверенным в том, что  в ходе проверки не используется слепок руки или фотография истинного владельца. Пока этот способ может считаться достоверным только при возможности непосредственного контроля процедуры прохождения аутентификации. Например, при входе сотрудников на предприятие биометрические методы вполне работоспособны.

В условиях же удаленности проверяющего от проверяемого, как это происходит в интернете, гораздо лучше работает метод двухфакторной аутентификации при помощи  одноразовых паролей. Средства аутентификации бывают самыми разными и всегда можно выбрать наиболее удобное в каждом случае. Это может быть авторизация по СМС, генерация одноразовых паролей посредством аппаратных токенов или с помощью специального приложения на смартфон — выбор за пользователем.

Two factor authentication может быть как односторонней — когда только пользователь доказывает системе свою истинность, так и двусторонней — сервер и клиент взаимно подтверждают свою подлинность по системе “запрос-ответ”. Такой тип 2FA используется в токене Protectimus Ultra и позволяет, среди прочего, устранить риск попадания на фишинговые сайты.

Последний этап входа клиента в аккаунт называется авторизацией. В зависимости от того, успешны ли были идентификация и аутентификация, сервер или допускает, или не допускает пользователя к выполнению определенных действий на сайте.

Между терминами “авторизация” и “аутентификация” разница довольно значительна. Часто можно услышать или прочитать в интернете выражение “двухфакторная авторизация”, но оно, строго говоря, не является корректным. Ведь авторизация пользователя — это предоставление ему полномочий в какой-либо системе, окончательный ответ на вопрос: “Можно ли допустить этого человека к той или иной информации или функциям?”. И в силу своей однозначности авторизация никак не может быть двухфакторной.

Однако, чтобы не вносить лишней путаницы, на этом различии обычно не делается акцент, а оба понятия употребляются как синонимы.

Четкое понимание того, что такое идентификация, аутентификация и авторизация позволит верно использовать функции, которые они обозначают. А от этого безопасность всего интернета и отдельных его пользователей только выиграет.

Summary

Article Name

Идентификация, аутентификация, авторизация - в чем разница?

Description

Идентификация, аутентификация, авторизация - с этими тремя понятиями сталкивался каждый, но различают их далеко не все. Давайте разберемся что есть что.

Author

Olga Geo

Publisher Name

Protectimus.com

Publisher Logo

You have Successfully Subscribed!

Ответы на вопрос "35. Идентификация, аутентификация, авторизация."

Идентификация призвана каждому пользователю (группе пользователей) сопоставить соответствующую ему разграничительную политику доступа на защищаемом объекте.

Для этого пользователь должен себя идентифицировать – указать своё «имя» (идентификатор). Таким образом ,проверяется, относится ли регистрирующийся пользователь к пользователям, идентифицируемым системой. И в соответствии с введённым идентификатором пользователю будут сопоставлены соответствующие права доступа.

Аутентификация предназначена для контроля процедуры идентификации. Для этого пользователь должен ввести пароль. Правильность вводимого пароля подтверждает однозначное соответствие между регистрирующимся пользователем и идентифицированным пользователем.

В общем случае, идентифицируются и аутентифицируются не только пользователи, но и другие субъекты доступа к ресурсам.

 Совокупность выполнения процедур идентификации и аутентификации принято называть процедурой авторизации. Иногда не требуется идентифицировать пользователя, а достаточно только выполнения процедуры аутентификации. Например, это происходит когда требуется подтвердить текущего (уже зарегистрированного) пользователя при выполнении каких-либо действий, требующих дополнительной защиты. В свою очередь, не всегда требуется осуществлять контроль идентификации, то есть в некоторых случаях аутентификация может не производиться.

 Процедура авторизации имеет ключевое значение при защите компьютерной информации, т.к. вся разграничительная политика доступа к ресурсам реализуется относительно идентификаторов пользователей. То есть, войдя в систему с чужим идентификатором, злоумышленник получает права доступа к ресурсу того пользователя, идентификатор которого был им предъявлен при входе в систему.

 

Чтобы исключить работу с системой незаконных пользователей, необходима процедура распознавания системой каждого законного пользователя (или групп пользователей). Для этого в защищенном месте система обязана хранить информацию, по которой можно опознать пользователя, а пользователь при входе в систему, при выполнении определенных действий, при доступе к ресурсам обязан себя идентифицировать, т. е. указать идентификатор, присвоенный ему в данной системе. Получив идентификатор, система проводит его аутентификацию, т. е. проверяет его содержательность (подлинность) - принадлежность к множеству идентификаторов. Если бы идентификация не дополнялась аутентификацией, то сама идентификация теряла бы всякий смысл. Обычно устанавливается ограничение на число попыток предъявления некорректного идентификатора. Аутентификация пользователя может быть основана на следующих принципах:

  • на предъявлении пользователем пароля;
  • на предъявлении пользователем доказательств, что он обладает секретной ключевой информацией;
  • на ответах на некоторые тестовые вопросы;
  • на предъявлении пользователем некоторых неизменных признаков, неразрывно связанных с ним;
  • на предоставлении доказательств того, что он находится в определенном месте в определенное время;
  • на установлении подлинности пользователя некоторой третьей, доверенной стороной.

Процедуры аутентификации должны быть устойчивы к подлогу, подбору и подделке. После распознавания пользователя система должна выяснить, какие права предоставлены этому пользователю, какую информацию он может использовать и каким образом (читать, записывать, модифицировать или удалять), какие программы может выполнять, какие ресурсы ему доступны, а также другие вопросы

подобного рода. Этот процесс называется авторизацией. Таким образом, вход пользователя в систему состоит из идентификации, аутентификации и авторизации. В процессе дальнейшей работы иногда может появиться необходимость дополнительной авторизации в отношении каких-либо действий.

Существуют различные механизмы реализации разграничения доступа. Например, каждому ресурсу (или компоненту) системы может быть поставлен в соответствие список управления доступом, в котором указаны идентификаторы всех пользователей, которым разрешен доступ к данному ресурсу, а также определено, какой именно доступ разрешен. При обращении пользователя к конкретному ресурсу система проверяет наличие у данного ресурса списка управления доступом и, если он существует, проверяет, разрешено ли этому пользователю работать с данным ресурсом в запрошенном режиме. Другим примером реализации механизма авторизации пользователя является профиль

пользователя - список, ставящий в соответствие всем идентификаторам пользователей перечень объектов, к которым разрешен доступ данному пользователю, с указанием типа доступа. Может быть организована системная структура данных, так называемая матрица доступа, которая представляет собой таблицу, столбцы которой соответствуют идентификаторам всех системных ресурсов, а строки - идентификаторам всех зарегистрированных пользователей. На пересечении i-го столбца j-й строки таблицы администратор системы указывает разрешенный тип доступа владельца i-го идентификатора j-му ресурсу. Доступ к механизмам авторизации должны иметь только специальные системные программы, обеспечивающие безопасность системы, а также строго ограниченный круг пользователей, отвечающих за безопасность системы. Рассматриваемые механизмы должны быть тщательно защищены от случайного или преднамеренного доступа неавторизованных пользователей. Многие атаки на информационные системы нацелены именно на вывод из строя или обход средств разграничения доступа. Аналогичные действия осуществляются в системе и при аутентификации других субъектов взаимодействия (

претендентов), например прикладных процессов или программ, с системой (верификатором). В отличие от аутентификации субъекта взаимодействия, процедура аутентификации объекта, устанавливая подлинность электронной почты, банковского счета и т. п., проверяет факт принадлежности данного объекта владельцу указанного идентификатора.

Идентификация, аутентификация и авторизация — в чем разница? | FinTimez

Объясняем на енотах, в чем разница между идентификацией и авторизацией, а также зачем нужна аутентификация, тем более двухфакторная.

Это происходит с каждым из нас, причем ежедневно: мы постоянно идентифицируемся, аутентифицируемся и авторизуемся в разнообразных системах. И все же многие путают значение этих слов и часто употребляют термин «идентификация» или «авторизация», когда на самом деле речь идет об аутентификации.

Ничего такого уж страшного в этом нет — пока идет бытовое общение и обе стороны диалога по контексту понимают, что в действительности имеется в виду. Но всегда лучше знать и понимать слова, которые употребляешь, а то рано или поздно нарвешься на зануду-специалиста, который вынет всю душу за «авторизацию» вместо «аутентификации», кофе среднего рода и такое душевное, но неуместное в серьезной беседе слово «ихний».

Идентификация, аутентификация и авторизация: серьезные определения

Итак, что же значат термины «идентификация», «аутентификация» и «авторизация» — и чем соответствующие процессы отличаются друг от друга? Для начала проконсультируемся с «Википедией»:

  • Идентификация — процедура, в результате выполнения которой для субъекта идентификации выявляется его идентификатор, однозначно определяющий этого субъекта в информационной системе.
  • Аутентификация — процедура проверки подлинности, например проверка подлинности пользователя путем сравнения введенного им пароля с паролем, сохраненным в базе данных.
  • Авторизация — предоставление определенному лицу или группе лиц прав на выполнение определенных действий.

Объясняем идентификацию, аутентификацию и авторизацию на енотах

Выше было очень много умных слов, теперь давайте упростим до конкретных примеров. Скажем, пользователь хочет войти в свой аккаунт Google. Google подходит лучше всего, потому что там процедура входа явным образом разбита на несколько простейших этапов. Вот что при этом происходит:

  • Для начала система запрашивает логин, пользователь его указывает, система распознает его как существующий — это идентификация.
  • После этого Google просит ввести пароль, пользователь его вводит, и система соглашается, что пользователь, похоже, действительно настоящий, раз пароль совпал, — это аутентификация.
  • Скорее всего, Google дополнительно спросит еще и одноразовый код из SMS или приложения. Если пользователь и его правильно введет, то система окончательно согласится с тем, что он настоящий владелец аккаунта, — это двухфакторная аутентификация.
  • После этого система предоставит пользователю право читать письма в его почтовом ящике и все в таком духе — это авторизация.

Аутентификация без предварительной идентификации лишена смысла — пока система не поймет, подлинность чего же надо проверять, совершенно бессмысленно начинать проверку. Для начала надо представиться.

Идентификация без аутентификации — это просто глупо. Потому что мало ли кто ввел существующий в системе логин! Системе обязательно надо удостовериться, что этот кто-то знает еще и пароль. Но пароль могли подсмотреть или подобрать, поэтому лучше подстраховаться и спросить что-то дополнительное, что может быть известно только данному пользователю: например, одноразовый код для подтверждения входа.

А вот авторизация без идентификации и тем более аутентификации очень даже возможна. Например, в Google Документах можно публиковать документы так, чтобы они были доступны вообще кому угодно. В этом случае вы как владелец файла увидите сверху надпись, гласящую, что его читает неопознанный енот. Несмотря на то, что енот совершенно неопознанный, система его все же авторизовала — то есть выдала право прочитать этот документ.

А вот если бы вы открыли этот документ для чтения только определенным пользователям, то еноту в таком случае сперва пришлось бы идентифицироваться (ввести свой логин), потом аутентифицироваться (ввести пароль и одноразовый код) и только потом получить право на чтение документа — авторизоваться.

А уж если речь идет о содержимом вашего почтового ящика, то Google никогда и ни за что не авторизует неопознанного енота на чтение вашей переписки — если, конечно, он не идентифицируется с вашим логином и не аутентифицируется с вашим паролем. Но тогда это уже не будет неопознанный енот, поскольку Google однозначно определит этого енота как вас.

Теперь вы знаете, чем идентификация отличается от аутентификации и авторизации. Что еще важно понимать: аутентификация — пожалуй, самый важный из этих процессов с точки зрения безопасности вашего аккаунта. Если вы ленитесь и используете для аутентификации только слабенький пароль, то какой-нибудь енот может ваш аккаунт угнать. Поэтому:

  • Придумывайте для всех аккаунтов надежные и уникальные пароли.
  • Если испытываете трудности с их запоминанием — вам всегда придет на помощь менеджер паролей. Он же поможет их сгенерировать.
  • Обязательно включайте двухфакторную аутентификацию — одноразовые коды в SMS или приложении — во всех сервисах, которые это позволяют. Иначе какой-нибудь неопознанный енот, так или иначе заполучивший ваш пароль, сможет прочитать вашу тайную переписку или сделать что-то еще более неприятное.

Источник

Системы идентификации, аутентификации и авторизации

Системы идентификации, аутентификации и авторизации

Для защиты конфиденциальной информации на предприятии также применяются разграничение прав доступа для различных групп пользователей. Для определения прав доступа к определенным ресурсам и управления этим доступам применяются различные схемы авторизации. Идентификация и аутентификация также применяются для защиты информационной безопасности.

Идентификация пользователя производится посредством распознавания его по уникальному присвоенному ему номеру или другому признаку. Например, если человек называет себя по имени и отчеству, то его можно идентифицировать. Аутентификацией называется процесс подтверждения подлинности идентифицированного пользователя. То есть, система должна убедиться, что доступ запрашивает именно тот пользователь, который прошел идентификацию. Этот процесс может проходить посредством ввода пароля, предъявления паспорта и др. При этом система сравнивает введенные данные с той информацией, которая хранится у нее в базе данных и открывает доступ к информации или ресурсу, в случае совпадения данных. 

Для обеспечения сохранности конфиденциальных данных разработали следующие технологии:

Ввод пароля. Это самый удобный и распространенный способ. Пользователь системы придумывает самостоятельно, или система придумывает за него, уникальный пароль для доступа. 

Минусом такого подхода является то, что пользователи часто забывают пароли, теряют их или хранят в ненадежном месте. Для повышения надежности применяют двух- или многофакторные технологии.

Технология одноразовых паролей (Secure ID). Актуальное значение части пароля вырабатывается с помощью алгоритма через специальный брелок, карманном компьютере или мобильном телефоне.

Mobile ID – получение одноразовых паролей посредством использования мобильной связи, например, через СМС.

Smart ID – аутентификация проводится с помощью смарткарты или токена. 

Биометрия – аутентификация по уникальным биометрическим характеристикам пользователя, то есть отпечаткам пальца, сетчатки глаза и др.

Выбор определенной технологии или их сочетания необходимо осуществлять исходя из степени конфиденциальности информации и стоимости внедрения технологии. 

Наша компания является системным интегратором широкого профиля, предоставляющий свои услуги на всей территории Российской Федерации. Нам доверяют ключевые министерства и ведомства регионального уровня, а также крупные торговые и производственные холдинги как в регионе, так и за его пределами. Наши компетентные сотрудники помогут Вам подобрать оптимальное решение именно для Вас, окажут всестороннюю пред- и постпродажную поддержку в проекте, а также услуги по интеграции решений в действующую инфраструктуру любой сложности.

Идентификация и аутентификация пользователя БД.

Идентификация и аутентификация пользователя БД. | Шпаргалка к написанию экзаменов

Авторизация пользователя

Авторизация – предоставление прав (или привилегий), позволяющих владельцу иметь законный доступ к системе или к её объектам.
Механизм авторизации часто называют подсистемой управления доступом, которая также требует проектирования.
Процесс авторизации включает в себя идентификацию и аутентификацию (использование) пользователей
Идентификация - это точное установление личности пользователя на основании различных признаков Использование пароля – идентификация пользователя по одному признаку.
Идентификация позволяет системе установить имя пользователя
(Пароли д.б. настолько произвольны и бессмысленны на сколько это возможно.)

Аутентификация -  процедура проверки прав пользователя на доступ к информации или выполнение определенных действий.
Аутентификация не может определить личность пользователя, зато может точно указать, какими правами он обладает

Что необходимо сделать, чтобы решить задачу авторизации пользователя БД
1. В предметной области определяются права (привилегии) пользователя на основе соответствующих документов (положения и инструкции по защите данных на предприятии, должностные инструкции сотрудников, соответствующие приказы и распоряжения  и т.п.).
2. В соответствии с каким-либо распоряжением по предприятию администратор БД создает в БД пользователя и присваивает ему уникальный идентификатор (логин). С идентификатором связывается пароль, известный только пользователю. (Аутентификация)
3. АБД для реализации уровней доступа заданного пользователя создает, в соответствии с проектной документацией, необходимые объекты БД (представления, роли). (Аутентификация)
4. АБД назначает (грантует) пользователю права на выполнение заданных операций над заданным объектом БД заданному пользователю. (Аутентификация)
5. Реализация в АИС процесса идентификации пользователя. Как правило, на уровне приложения: интерфейс ввода имени и пароля пользователя, формирование сообщения об отказе доступа или запуск механизма аутентификации. (Идентификация)
6 Реализация процедуры аутентификации (выполняет СУБД).

Чем отличается идентификация, авторизация и аутентификация?

За несколько лет нашей работы мы не раз замечали, что многие клиенты не совсем различают понятия идентификации, аутентификации и авторизации. Раскроем суть данных определений и обозначим различия между ними.

Wi-Fi Идентификация

Согласно требованиям законодательства (постановление Правительства №758 от 31 июля 2014 г.), «в случае заключения срочного договора об оказании разовых услуг по передаче данных в пунктах коллективного доступа оператор связи осуществляет идентификацию пользователей и используемого ими оконечного оборудования».

Таким образом, идентификация – это единое определение, которое подразумевает предоставление услуг, позволяющих идентифицировать гостей заведения по каким-либо данным каждый раз, когда посетители подключается к общественной сети.

Wi-Fi Аутентификация

В свою очередь аутентификация – этап, на котором гость подтверждает информацию о себе (с помощью паспортных данных либо по номеру телефона). Повторная аутентификация (перезаказ смс с паролем либо звонка с целью подтверждения клиентского номера) происходит не чаще раза в 90 дней (при условии, что клиент на авторизационной странице введет другой телефонный номер). Это положение подкреплено законодательством, пункт 26.1 Постановления Правительства РФ от 23 января 2006 г. N 32 «Об утверждении Правил оказания услуг связи по передаче данных».

В договоре с абонентом — юридическим лицом либо индивидуальным предпринимателем, помимо данных, указанных в пункте 26 настоящих Правил, предусматривается обязанность предоставления оператору связи юридическим лицом либо индивидуальным предпринимателем списка лиц, использующих его пользовательское (оконечное) оборудование, и устанавливается срок предоставления указанного списка, а также устанавливается, что указанный список должен быть заверен уполномоченным представителем юридического лица либо индивидуальным предпринимателем, содержать сведения о лицах, использующих его пользовательское (оконечное) оборудование (фамилия, имя, отчество (при наличии), место жительства, реквизиты документа, удостоверяющего личность), и обновляться не реже одного раза в квартал.

Wi-Fi Авторизация

После прохождения первичной аутентификации система запоминает связку номер телефона + mac-адрес устройства, и начинается пользовательская сессия. По умолчанию время авторизации 16 часов (при использовании в роли хотспот-контроллера оборудования Mikrotik этот параметр можно уменьшить либо увеличить, максимальное значение – 24 часа). Это время, на которое пользователь может уйти из сети, вернуться и без повторной авторизации снова выйти в интернет.

Пример 1. Время сессии – 12 часов. Гость 4 часа использовал интернет в отеле. После этого он отключился от гостевого wi-fi и ушел гулять. Вечером, спустя 11 часов после отключения, посетитель вернулся в отель, подключился к той же сети и продолжил пользоваться интернетом без повторной авторизации.

Пример 2. Время сессии – 20 часов. Посетитель кафе использовал гостевой wi-fi 5 минут, после чего покинул заведение. Спустя ровно сутки клиент снова подключился к wi-fi кафе – в таком случае потребуется повторная авторизация.

При повторной авторизации на авторизационной странице у клиента уже будет введен номер телефона. Достаточно нажать «войти», и система пустит клиента в сеть. Каждая новая сессия — это отдельная авторизация.

Аутентификация, авторизация и администрирование действий пользователей

С каждым зарегистрированным в компьютерной системе субъектом (пользователем или процессом, действующим от имени пользователя) связана некоторая информация, однозначно идентифицирующая его. Это может быть число или строка символов, именующие данный субъект. Эту информацию называют идентификатором субъекта. Если пользователь имеет идентификатор, зарегистрированный в сети, он считается легальным (законным) пользователем; остальные пользователи относятся к нелегальным пользователям. Прежде чем получить доступ к ресурсам компьютерной системы, пользователь должен пройти процесс первичного взаимодействия с компьютерной системой, который включает идентификацию и аутентификацию.

Идентификация (Identification) — процедура распознавания пользователя по его идентификатору (имени). Эта функция выполняется, когда пользователь делает попытку войти в сеть. Пользователь сообщает системе по ее запросу свой идентификатор, и система проверяет в своей базе данных его наличие.

Аутентификация (Authentication) — процедура проверки подлинности заявленного пользователя, процесса или устройства. Эта проверка позволяет достоверно убедиться, что пользователь (процесс или устройство) является именно тем, кем себя объявляет. При проведении аутентификации проверяющая сторона убеждается в подлинности проверяемой стороны, при этом проверяемая сторона тоже активно участвует в процессе обмена информацией. Обычно пользователь подтверждает свою идентификацию, вводя в систему уникальную, не известную другим пользователям информацию о себе (например, пароль или сертификат).

Идентификация и аутентификация являются взаимосвязанными процессами распознавания и проверки подлинности субъектов (пользователей). Именно от них зависит последующее решение системы: можно ли разрешить доступ к ресурсам системы конкретному пользователю или процессу. После идентификации и аутентификации субъекта выполняется его авторизация.

Авторизация (Authorization) — процедура предоставления субъекту определенных полномочий и ресурсов в данной системе. Иными словами, авторизация устанавливает сферу его действия и доступные ему ресурсы. Если система не может надежно отличить авторизованное лицо от неавторизованного, то конфиденциальность и целостность информации в этой системе могут быть нарушены. Организации необходимо четко определить свои требования к безопасности, чтобы принимать решения о соответствующих границах авторизации.

С процедурами аутентификации и авторизации тесно связана процедура администрирования действий пользователя.

Администрирование (Accounting) — регистрация действий пользователя в сети, включая его попытки доступа к ресурсам. Хотя эта учетная информация может быть использована для выписывания счета, с позиций безопасности она особенно важна для обнаружения, анализа инцидентов безопасности в сети и соответствующего реагирования на них. Записи в системном журнале, аудиторские проверки и ПО accounting — все это может быть использовано для обеспечения подотчетности пользователей, если что-либо случится при входе в сеть с их идентификатором.

Необходимый уровень аутентификации определяется требованиями безопасности, которые установлены в организации. Общедоступные Web-серверы могут разрешить анонимный или гостевой доступ к информации. Финансовые транзакции могут потребовать строгой аутентификации. Примером слабой формы аутентификации может служить использование IP-адреса для определения пользователя. Подмена (spoofing) IP-адреса может легко разрушить механизм аутентификации. Надежная аутентификация является тем ключевым фактором, который гарантирует, что только авторизованные пользователи получат доступ к контролируемой информации.

При защите каналов передачи данных должна выполняться взаимная аутентификация субъектов, т. е. взаимное подтверждение подлинности субъектов, связывающихся между собой по линиям связи. Процедура подтверждения подлинности выполняется обычно в начале сеанса установления соединения абонентов. Термин «соединение» указывает на логическую связь (потенциально двустороннюю) между двумя субъектами сети. Цель данной процедуры — обеспечить уверенность, что соединение установлено с законным субъектом и вся информация дойдет до места назначения.


Эта статья была опубликована Пятница, 4 сентября, 2009 at 14:42 в рубрике Технологии аутентификации. Вы можете следить за ответами через RSS 2.0 feed.

Контроль доступа: идентификация, аутентификация и авторизация

Безопасность

Несанкционированный доступ к данным и ресурсам - один из самых значительных и опасных рисков цифрового мира. Фонд OWASP Foundation в своем проекте «10 основных рисков безопасности приложений - 2017» поместил «Сломанная аутентификация» на второе место, «Нарушенный контроль доступа» - на пятое.

Несанкционированный доступ к данным и ресурсам - один из самых значительных и опасных рисков цифрового мира.Фонд OWASP Foundation в своем проекте «10 основных рисков безопасности приложений - 2017» поместил «Сломанная аутентификация» на второе место, «Нарушенный контроль доступа» - на пятое.

В последнее время мы много слышали о утечках данных (которые приводят к несанкционированному доступу), некоторые из них происходят с крупными компаниями, такими как Facebook, у которых третьи стороны раскрыли 540 миллионов пользовательских записей. И не будем говорить об утечках паролей, «непреднамеренной» загрузке пользовательских данных без их согласия или скандале с Cambridge Analytica.

Как инженеры-программисты, мы всегда должны контролировать, кто или что имеет доступ к ресурсам. Мы несем ответственность за создание надежных продуктов с высокой степенью безопасности, включая надежные механизмы контроля доступа .

Контроль доступа гарантирует, что только аутентифицированные и авторизованные пользователи могут получить доступ к ресурсам. Иногда возникает некоторая путаница между контролем доступа и авторизацией или между аутентификацией и идентификацией. Разберем их все и приведем несколько примеров.

Идентификация

Идентификация происходит, когда пользователь заявляет идентификатор . В физическом мире мы можем назвать свое имя. Когда я встречаю кого-то в первый раз, я представляюсь, говоря: «Я Томас»: это я идентифицирую себя.

В цифровом мире вместо этого я бы предоставил свое имя пользователя или адрес электронной почты, например, подтвердив личность своей учетной записи.

Идентификация - это первый шаг контроля доступа.

Аутентификация

Если бы я пошел в аэропорт, чтобы успеть на рейс, и сказал бы персоналу аэропорта: «Я Томас», они наверняка попросили бы меня предоставить какое-то подтверждение моей личности.Это процесс аутентификации: проверка заявленной идентичности .

В аэропорту удостоверяю личность по паспорту. Когда я пытаюсь войти в свою учетную запись электронной почты, я предоставляю свой пароль, чтобы доказать, что я тот, кем я себя называю, и что это действительно моя учетная запись. Если бы я включил двухфакторную аутентификацию (а я должен это сделать), я бы также предоставил второе подтверждение моей личности, например, код, сгенерированный USB-токеном или специальным приложением на моем смартфоне.

Проверка личности пользователя, то есть его аутентификация, является вторым этапом контроля доступа.

Разрешение

После того, как персонал аэропорта подтвердил мою личность с помощью моего паспорта, это означает, что они подтвердили мою личность, но это не значит, что я могу отправиться куда угодно через аэропорт или успеть на какой бы рейс. Неа. Я могу делать только то, что у меня есть разрешения для , то есть то, что мне разрешено делать. Покупка билета в Рейкьявик дает мне право вылететь в Исландию при условии, что я идентифицирую себя как владелец билета и подтверждаю свою личность.(Я знаю, что я сильно упростил процедуры безопасности в аэропорту, но это было сделано для примера.)

Если мы снова рассмотрим пример учетной записи электронной почты, после фазы аутентификации поставщик электронной почты проверит мои разрешения, чтобы вычислить из того, что я могу или не могу делать, получив доступ к моей учетной записи электронной почты. Необходимое разрешение - это разрешение, предоставляющее мне доступ к моим и только моим электронным письмам, а не к тем, которые получены из других учетных записей электронной почты. В приложении CMS у меня могут быть разрешения на добавление нового контента, но не на его удаление.У администратора были бы разрешения на выполнение большего количества операций, чем у меня.

Авторизация - третий этап контроля доступа.

Заключение

Системы контроля доступа предоставляют доступ к ресурсам только тем пользователям, личность которых подтверждена и которые имеют необходимые разрешения. Для этого нам нужно выполнить три шага:

  • Идентификация
  • Аутентификация
  • Авторизация.

Контроль доступа имеет первостепенное значение для безопасности и фатален для компаний, которые не могут его правильно спроектировать и реализовать.

А как насчет вас? Какой процесс вы выполняете, чтобы обеспечить правильный и безопасный контроль доступа к вашим ресурсам и службам?


Если вы заинтересованы в облачной разработке с помощью Spring Boot и Kubernetes, ознакомьтесь с моей книгой Cloud Native Spring в действии.

Идентификация, аутентификация, авторизация: три ключевых шага в обеспечении безопасности доступа

Инженер начинает свой первый день в фирме по кибербезопасности. Какова вероятность того, что она войдет прямо в офис, ни с кем не разговаривая, а затем начнет получать доступ к информации с ближайшей рабочей станции?

В гораздо более вероятной цепочке событий инженер представится и будет идентифицирован службой безопасности.Затем она аутентифицируется с помощью удостоверения личности с фотографией или положительного визуального распознавания от доверенного сотрудника. Затем охранник разрешал ей войти в офис.

Трехэтапный процесс безопасности : идентификация, аутентификация, авторизация. - обычное дело в нашей повседневной жизни, от посадки на рейс до входа в офис делового партнера. То же самое необходимо применить к ИТ-инфраструктуре, чтобы гарантировать, что лица, получающие доступ к корпоративным активам, являются теми, кем они являются, и имеют надлежащие полномочия для доступа к ним.В рамках эффективной структуры безопасности доступа эти три этапа работают в тандеме, чтобы обеспечить безопасность конфиденциальных данных в ИТ-инфраструктурах.

Идентификационный номер

Идентификация - это отправная точка безопасности доступа. В виртуальной среде инженер по нашей аналогии будет пользователем, пытающимся получить доступ к ИТ-сети. Точно так же, как охранник требовал доказательства того, что инженер действительно был тем, кем она утверждала, виртуальная система требует подтверждения личности. Поскольку в ИТ-инфраструктуре организации хранится так много конфиденциальных данных, критически важно иметь возможность различать цифровых пользователей с той же степенью точности, что и с помощью физических удостоверений.

Когда организации развертывают систему управления идентификацией, их основная цель - правильно и с максимальной степенью уверенности идентифицировать каждого пользователя, желающего подключиться к корпоративной ИТ-системе. Пользователям присваиваются уникальные идентификаторы, и они известны по этим личным данным - имени пользователя и паролю, а не по лицу или именам в бумажном списке.

Простых учетных данных самих по себе недостаточно для обеспечения безопасности сети, поскольку это оставляет систему уязвимой для недобросовестных пользователей, претендующих на чужую личность.Утерянные или украденные учетные данные - слишком распространенное явление. Точная и надежная идентификация пользователей является ключом к обеспечению соблюдения политик безопасности и защиты данных, и именно поэтому нам необходима аутентификация.

Аутентификация

Аутентификация - это этап процесса безопасности, на котором пользователю необходимо подтвердить свою заявленную личность. В нашем физическом примере здесь инженер представил свое удостоверение личности с фотографией, чтобы подтвердить личность, которую она указала. Аутентификация перед предоставлением доступа к ресурсам соответствует модели нулевого доверия кибербезопасности.Нулевое доверие означает, что личность и привилегии никогда не предполагаются - они всегда должны проверяться с помощью строгих протоколов безопасности.

Существует три типа факторов аутентификации, которые можно использовать для проверки виртуальной личности:

  • Что-то, что вы знаете: Самым распространенным примером такого типа информации может быть пароль. Пароль - это самая основная форма защиты доступа, которая подвержена таким рискам, как совместное использование пароля или визуальный взлом.
  • Что-то, что у вас есть: Это может быть уникальный физический предмет, например смартфон или карта доступа, или токен брелока / RSA, который получает или генерирует временный код доступа.
  • Something you are: Факторы биометрической аутентификации можно использовать для подтверждения личности пользователя с помощью внутреннего физического идентификатора, такого как радужная оболочка глаза или отпечаток пальца. Также можно использовать поведенческую биометрию - например, набор текста, распознавание голоса или подписи.

Хакеру сложнее украсть два фрагментов конфиденциальной информации, чем один. Добавление дополнительных факторов к базовой комбинации имени пользователя и пароля, известной как многофакторная аутентификация (MFA) , может предоставить организации высокий уровень уверенности в том, что человек, пытающийся получить доступ, действительно является тем, кем он себя называет.И эта уверенность важна при доступе к конфиденциальным данным.

Решения

для управления идентификацией и доступом, такие как WALLIX Trustelem, предлагают организациям способ интеллектуальной аутентификации и управления идентификационными данными. Идентичность пользователей может быть гарантирована через MFA, а затем контролироваться с централизованной информационной панели в процессе, который прост для администраторов.

После того, как пользователи в сети могут быть надежно идентифицированы и аутентифицированы, им не менее важно иметь соответствующие авторизации.

Авторизация

Могу я зайти сюда? Авторизация отвечает на этот последний вопрос в процессе защиты доступа. Охранник, возможно, подтвердил личность инженера, но по-прежнему разрешал ей работать только в фирме по кибербезопасности, а не в соседнем офисе. Даже если цифровая личность пользователя может быть аутентифицирована с помощью MFA, принцип минимальных привилегий означает, что им никогда не должен предоставляться неограниченный доступ в ИТ-сети. Слабая авторизация может привести к чрезмерным привилегиям пользователей и риску случайного или преднамеренного злоупотребления привилегиями root.Это, в свою очередь, может подвергнуть бизнес риску мошенничества, кражи данных и репутационного ущерба.

Организации, использующие надежное решение Privileged Access Management (PAM) , гарантируют, что только авторизованные пользователи могут получить доступ к конфиденциальным ресурсам в нужное время. ИТ-администраторы могут централизованно управлять пользователями и целевыми системами, а затем настраивать правила и условия авторизации для автоматического предоставления или запрета доступа к критически важным ресурсам. Они также могут отслеживать и записывать действия привилегированных пользователей в рамках сеанса для целей аудита или прекращения любой подозрительной активности в режиме реального времени.

Решение PAM, такое как WALLIX Bastion, предлагает безопасный, оптимизированный способ авторизации и мониторинга всех привилегированных пользователей в ИТ-сети предприятия. Помимо управления уровнями привилегированного доступа пользователей, он позволяет организации:

  • Устранение необходимости для привилегированных пользователей иметь или требовать пароли локальной системы
  • Создание неизменяемого контрольного журнала для любой привилегированной операции
  • Соблюдайте правила контроля доступа, мониторинга и аудита, такие как GDPR, NIS, ISO 27001, HIPAA и PCI DSS.
  • Интегрируйте решение Endpoint Privilege Management (EPM) , такое как WALLIX BestSafe, чтобы обеспечить соблюдение принципа наименьших привилегий на конечных устройствах организации.

Идентификация, аутентификация и авторизация - все это ключевые аспекты надежной структуры безопасности доступа. Они используются вместе для защиты доступа к корпоративной сети и защиты конфиденциальной информации с помощью комплексного сквозного подхода к безопасности доступа.

Откройте для себя более подробный обзор решений безопасности доступа и ключевых концепций, лежащих в их основе, загрузив наш технический документ « Руководство для начинающих по безопасности доступа ».

Идентификация, аутентификация, авторизация и подотчетность

Четыре шага для завершения управления доступом - это идентификация, аутентификация, авторизация и подотчетность. Многие путают или считают, что идентификация и аутентификация - это одно и то же, в то время как некоторые забывают или придают наименьшее значение аудиту.Это четыре различные концепции, и их следует понимать как таковые. Каждый раз, когда вы входите на большинство веб-сайтов, вы указываете имя пользователя. Если вы создаете учетную запись, вас попросят выбрать имя пользователя, которое идентифицирует вас. Это имя пользователя, которое вы указываете при входе в систему, называется «Идентификация». Это просто способ заявить о своей личности. С точки зрения информационной безопасности идентификация описывает метод, при помощи которого вы заявляете, кем являетесь. Если вы заметили, вы поделитесь своим именем пользователя с кем угодно.Ваш электронный идентификатор является формой идентификации, и вы делитесь этим идентификатором со всеми, чтобы получать электронные письма. Это означает, что идентификация - это общедоступная форма информации. Итак, теперь вы ввели свое имя пользователя, что вы вводите дальше? Пароль. Вот в чем суть аутентификации. Здесь вы подтверждаете подлинность или доказываете, что являетесь тем человеком, которым вы себя называете. Аутентификация может выполняться с помощью различных механизмов. Давайте разберемся с этими типами. Обычно существует 3 способа аутентификации: то, что вы знаете, что у вас есть, и то, чем вы являетесь. Something You Know: Здесь аутентификация происходит с вашего ведома или того, что вы знаете. Это может быть PIN-код, пароль, ключ, имя питомца и т. Д. Это наиболее распространенная аутентификация, применяемая сегодня. Это также один из самых дешевых механизмов аутентификации. Something You Have : Здесь аутентификация происходит с владельцем, то есть чем-то, что у вас есть или принадлежит. Идентификационная карта доступа, кредитная карта, токен RSA, значок безопасности - все это примеры вещей, которыми вы можете владеть и с помощью которых вы можете аутентифицироваться.Если этот значок украден или утерян, это может быть проблемой в тех случаях. Something You Are: Здесь аутентификация происходит с ВАМИ (характеристика). Ваш физический атрибут используется для вашей аутентификации. Такие характеристики, как отпечатки пальцев, голосовой отпечаток, сканирование радужной оболочки глаза, отпечаток ладони и т. Д., Являются примерами характеристик или биометрических данных. Проблема с этим может заключаться в том, что вы никогда не сможете изменить свои характеристики, если кто-то овладеет вашими биометрическими данными, в отличие от пароля, который можно изменить. Двухфакторная аутентификация / многофакторная аутентификация - Если используется более одного фактора аутентификации, это называется многофакторной аутентификацией.Двойное означает 2, следовательно, будут использоваться 2 множителя. Пример - PIN-код + идентификационная карта доступа (что-то, что вы знаете + что-то, что у вас есть) является примером двухфакторной аутентификации. Рассмотрим сверхсекретную исследовательскую организацию, где человек должен продемонстрировать свою идентификационную карту доступа, затем ввести ПИН-код, а затем сканировать IRIS для получения доступа. Это означает, что организация развернула многофакторную аутентификацию. Часто люди путаются с аутентификацией и авторизацией. Многим это кажется простым: если я аутентифицирован, я могу делать что угодно.После того, как субъект предоставит свои учетные данные и будет правильно идентифицирован, система, к которой он пытается получить доступ, должна определить, предоставлены ли этому субъекту необходимые права и привилегии для выполнения запрошенных действий. Считайте свою почту, куда вы авторизуетесь и указываете свои учетные данные. Вы сможете составить письмо, удалить письмо и внести определенные изменения, на которые у вас есть полномочия. Можете ли вы внести изменения в сервер обмена сообщениями? Нет, поскольку у вас нет на это полномочий. Следовательно, успешная аутентификация не гарантирует авторизацию.Успешная аутентификация только доказывает, что ваши учетные данные существуют в системе и вы успешно подтвердили идентичность, на которую претендовали. Однако для внесения изменений вам потребуется авторизация. Система может проверять эти привилегии через матрицу контроля доступа или решение на основе правил, через которое вы будете авторизованы для внесения изменений. Последний кусок головоломки касается ответственности. Представьте себе, где пользователю предоставлены определенные привилегии для работы. Что происходит, когда он / она решает злоупотребить этими привилегиями? Если журналы аудита доступны, вы сможете провести расследование и привлечь к ответственности субъекта, злоупотребившего этими правами, на основе этих журналов.Субъект должен нести ответственность за действия, предпринятые в системе или домене. Единственный способ обеспечить подотчетность - это однозначно идентифицировать субъект и регистрировать его действия. Возможности аудита гарантируют, что пользователи несут ответственность за свои действия, проверяют соблюдение политик безопасности и могут использоваться в качестве инструментов расследования.
Если все 4 штуки работают, то управление доступом завершено. Хотя существует множество аспектов управления доступом, четыре столпа должны быть одинаково сильными, иначе это повлияет на основу управления идентификацией и доступом.

Что вы думаете об этом?

Безопасность: идентификация, аутентификация и авторизация

Многие сталкиваются с концепцией аутентификации в области информационной безопасности. Обычно они путают аутентификацию с идентификацией или авторизацией. Фактически, все они представляют собой отдельные концепции, и их следует рассматривать как таковые. Давайте рассмотрим каждый из них и приведем один-два примера:

Идентификация

Идентификация - это не что иное, как утверждение, что вы кто-то другой.Вы называете себя, когда разговариваете по телефону с незнакомым человеком, и он спрашивает вас, с кем разговаривает. Когда вы говорите: «Я Джейсон», вы просто идентифицировали себя.

В мире информационной безопасности это аналогично вводу имени пользователя. Это , а не , аналогично вводу пароля. Ввод пароля - это метод подтверждения того, что вы являетесь тем, кем себя назвали, и что он следующий в нашем списке.

Аутентификация

Аутентификация - это способ доказательства того, что они те, кем они себя называют.Когда вы называете себя Джейн Смит, входя в компьютерную систему как «jsmith», она, скорее всего, попросит у вас пароль. Вы утверждали, что являетесь этим человеком, введя имя в поле имени пользователя (это часть идентификации), но теперь вам нужно доказать, что вы действительно являетесь этим человеком. Большинство систем используют для этого пароль, который основан на «кое-что, что вы знаете», то есть секрете между вами и системой.

Другой формой аутентификации является представление того, что у вас есть , например водительские права, токен RSA или смарт-карта.Вы также можете аутентифицироваться через то, что вы - . Это основа биометрии. При этом вы сначала идентифицируете себя, а затем отправляете отпечаток большого пальца, сканирование сетчатки глаза или другую форму аутентификации на основе биологических данных.

После успешной аутентификации вы сделали две вещи: вы заявили, что являетесь кем-то, и вы доказали, что являетесь этим человеком. Единственное, что остается, - это системе определять, что вам разрешено делать.

Авторизация

Авторизация - это то, что происходит после того, как лицо было идентифицировано и аутентифицировано; именно этот шаг определяет, что человек может делать в системе.

Примером в человеческом выражении может быть кто-то, кто ночью стучится в вашу дверь. Вы спрашиваете: «Кто это?» И ждете ответа. Они говорят: «Это Джон». для того, чтобы идентифицировать себя. Вы просите их вернуться к свету, чтобы вы могли видеть их через глазок. Они это делают, и вы подтверждаете их подлинность на основе того, как они выглядят (биометрические). В этот момент вы решаете, что они могут войти в дом.

Если бы они сказали, что они были кем-то, кого вы не хотели видеть в своем доме (идентификация), а затем вы подтвердили, что это было именно это лицо (аутентификация), этап авторизации не включал бы доступ внутрь дома.

Повседневное использование

Интересно отметить, что эти три шага выполняются каждый день очень прозрачно. Когда ваш начальник звонит вам на работу и просит встретиться с вами в другом конце города на обед, две вещи происходят мгновенно - обычно в одно и то же время: просто услышав голос начальника, вы опознаете их и подтвердите подлинность. Идентификация не обязательно должна производиться идентифицируемым лицом; это может сделать и человек, производящий отождествление.

Еще один интересный гибрид пытается попасть в ночной клуб.Когда вы подходите к двери и предъявляете свое удостоверение личности, вы не просто утверждаете, что являетесь этим человеком, но вы предъявляете удостоверение личности. в качестве доказательства - это оба шага в одном. Результат того, была ли ваша аутентификация признана подлинной, определяет, будет ли вам предоставлено разрешение на вход в клуб.

Добавляя немного разрешения к этой аналогии, это может быть клуб, в который вам разрешат войти, как только вы докажете, кто вы есть, но вы получите только браслет, который позволяет вам употреблять алкоголь, если вам больше 21 года. , а иначе вам не разрешено.Это будет авторизация , потому что она назначает вам привилегии на основе некоторых атрибутов вашей личности.

Идентификация, аутентификация и авторизация - Protectimus

Автор Максим Олийнык, 26 ноября 2015 г. |

Идентификация, аутентификация и авторизация. Мы все сталкиваемся с этими тремя концепциями каждый день, но не все понимают разницу. Поскольку эти термины необходимы для защиты данных, они заслуживают лучшего объяснения.

Для начала возьмем пример из повседневной жизни.Это поможет вам понять разницу между аутентификацией и идентификацией в целом.

Новый сотрудник приходит на работу впервые. На входе он представляется охраннику и говорит, что он новый менеджер. Таким образом, он идентифицирует себя - говорит, кто он.

Охранник не верит своим словам. Он требует предоставить доказательства того, что этот человек новый руководитель и имеет право войти в офис. Для решения проблемы сотруднику необходимо предъявить пропуск с фотографией.И охранник должен сравнить его со своим списком зарегистрированных сотрудников. Сотрудник подтверждает свою подлинность - это аутентификация .

Наконец, открывается запрещенная дверь, и охранник впускает сотрудника. Как только сотрудник получает разрешение на вход в офис, происходит разрешение .

В виртуальном мире все почти так же, как в реальном. Меняются только имена «персонажей». Охранник - это сервер, контролирующий доступ к сайту.А пришедший на работу менеджер - пользователь, который хочет авторизоваться.

Надо добавить, что охранники будут повторять процедуру каждый день. Даже когда все охранники знают менеджера по внешнему виду и имени. Они просто делают свою работу, как и сервер.

Все три концепции - идентификация, аутентификация и авторизация - являются этапами одного процесса, который контролирует доступ пользователей к их учетным записям.

Чтобы выполнить какое-либо действие на веб-сайте, пользователь должен «представиться» системе.Идентификация пользователя означает предоставление основания для входа на сайт или в сервис. Как правило, ваше имя пользователя или адрес электронной почты, указанные при регистрации, служат идентификаторами. Если сервер находит в своей базе данных данные, совпадающие с введенными пользователем, идентификация пользователя успешна.

Логин - вещь отличная. Но где гарантия, что его ввел зарегистрированный на сайте человек? Чтобы окончательно подтвердить личность пользователя, система обычно аутентифицирует пользователя.

Сейчас все чаще используется двухфакторная аутентификация. Обычный статический пароль служит первым фактором. Второй фактор может быть разным в зависимости от используемых в том или ином случае методов аутентификации:

  • одноразовый пароль или ПИН-код;
  • карты с магнитной полосой, смарт-карты, сертификаты с электронной подписью;
  • биометрических факторов: голос, сетчатка глаза, отпечатки пальцев и т. Д.

Несмотря на быстрое развитие методов биометрической аутентификации, они недостаточно надежны при удаленном использовании.Не всегда можно гарантировать правильную работу устройств и приложений, выполняющих сканирование сетчатки глаза или отпечатков пальцев. Вы не можете быть на 100% уверены, используется ли при проверке слепок руки или фальшивая фотография пользователя. Таким образом, этот метод можно считать действительным, только если аутентификация контролируется напрямую. Например, биометрия довольно эффективна, когда сотрудник входит в офис.

В условиях, когда проверяющий и проверяемый являются удаленными, как это происходит в Интернете, метод двухфакторной аутентификации с использованием одноразовых паролей работает намного лучше.Существуют различные способы аутентификации, и вы всегда можете выбрать наиболее удобный для каждого случая. Это может быть аутентификация с помощью текстовых сообщений, одноразовых паролей, генерируемых аппаратным токеном, или специального приложения на смартфоне. Выбор за пользователем.

Двусторонняя аутентификация может быть односторонней, когда пользователь доказывает свою подлинность системе, или двусторонней, когда сервер и пользователь взаимно подтверждают свою подлинность с помощью алгоритма «запрос-ответ». Этот алгоритм 2FA используется в токене Protectimus Ultra и позволяет, среди прочего, снизить риск проникновения на фишинговые сайты.

Последний этап входа пользователя называется авторизацией. В зависимости от того, были ли идентификация и аутентификация успешными, сервер либо разрешает, либо не разрешает пользователю выполнять определенные действия на веб-сайте.

Разница между терминами «авторизация» и «аутентификация» весьма значительна. В Интернете часто можно услышать или прочитать термин «двухфакторная авторизация», но это неверно. Авторизация пользователя - это окончательный ответ системы на вопрос: «Может ли этот пользователь получить доступ к той или иной информации или функции?» И в силу своей уникальности авторизация не может быть двухфакторной.

Однако, чтобы не вносить ненужной путаницы, это различие обычно не подчеркивается. Эти два понятия часто используются как синонимы.

Четкое понимание того, что такое идентификация, аутентификация и авторизация, позволит вам правильно использовать функции, которые они предоставляют. Последнее будет полезно для безопасности информации, которую вы храните в Интернете.

Сводка

Название статьи

Идентификация, аутентификация и авторизация - в чем разница

Описание

Идентификация, аутентификация и авторизация.Мы все сталкиваемся с этими тремя концепциями каждый день, но не все понимают разницу. Попробуем разобрать.

Автор

Максим Олийнык

Имя издателя

Protectimus.com

Логотип издателя

Вы успешно подписались!

Аутентификация, авторизация, учет и управление идентификацией

Структура AAA - это логика, лежащая в основе систем управления идентификацией. AAA означает аутентификацию, авторизацию и учет, которые будут объяснены в этом блоге.

Аутентификация

«Аутентификация - это акт подтверждения истинности атрибута отдельного фрагмента данных, который объект утверждает как истинный. В отличие от идентификации, которая относится к действию заявления или иного указания претензии, якобы подтверждающей личность человека или вещи, аутентификация - это процесс фактического подтверждения этой личности »… Wikipoedia.com.

Это первая буква «А» AAA.

Существует четыре основных типа аутентификации.Они используют:

  1. Статические пароли (они не меняются до тех пор, пока срок их действия не истечет или пользователь не изменит их)
  2. Одноразовый пароль (OTP), такой как личные идентификационные номера (PIN), доставленные через текстовые сообщения SMS или иным образом
  3. Цифровые сертификаты (x .509 и т.п.)
  4. Биометрические учетные данные

Кроме того, есть три категории:

  1. Что-то, что вы знаете (например, пароль)
  2. Что-то, что у вас есть (например, брелок для ключей или мобильный телефон)
  3. То, что вы (например, ваши отпечатки пальцев, голос или геометрия руки)

Когда нужна более надежная аутентификация, мы используем многофакторную аутентификацию (MFA), которая затрудняет аутентификацию кого-либо как другого человека.Например, если вор украдет мобильный телефон, он также должен будет получить пароль пользователя для доступа к коду, отправляемому в текстовом SMS-сообщении, или иметь брелок, на котором отображается код. Использование двух паролей не считается MFA, потому что оба пароля считаются «чем-то, что вы знаете». Многие компании переходят на многофакторную аутентификацию или двухфакторную аутентификацию (2FA), которая использует статический пароль и OTP или контрольный вопрос для повышения безопасности. Также внедряется биометрическая аутентификация.Мы увидим больше биометрии, поскольку технология станет более рентабельной.

Авторизация

«Авторизация - это функция определения прав / привилегий доступа к ресурсам, связанным с информационной безопасностью и компьютерной безопасностью в целом, и с контролем доступа в частности».… Wikipoedia.com.

Это вторая буква «А» AAA. После того, как пользователь идентифицировал себя и прошел аутентификацию для подтверждения своей личности, он должен передать правило авторизации для доступа к системным службам, программам и данным.Авторизация определяет, к чему пользователь может получить доступ, а к чему нет. Важная концепция, которую необходимо понять, заключается в следующем: пользователь может аутентифицироваться, но результирующая авторизация все равно может быть ЗАПРЕЩЕНА ДОСТУПОМ.

Принцип наименьших привилегий требует, чтобы пользователям и устройствам был предоставлен только достаточный доступ, необходимый для выполнения требуемых ими функций. Любая необоснованная авторизация может привести к случайному или злонамеренному нарушению политики безопасности.

Бухгалтерский учет

Бухгалтерский учет является третьей и последней буквой «А» в AAA.Это процесс, который отслеживает активность пользователя, подключенного к системе; след включал количество прикрепленного времени, доступные ресурсы и объем переданных данных. Учетные данные используются для отслеживания тенденций, обнаружения нарушений и судебно-медицинской экспертизы. Отслеживание пользователей и их действий служит многим целям. Например, отслеживание событий, приведших к инциденту кибербезопасности, может оказаться очень ценным для судебно-медицинской экспертизы и расследования дела.

Использование AAA для управления идентификацией

Системы управления идентификацией, такие как ClearPass Aruba и Cisco Identity Services Engine (ISE), используют структуру AAA через RADIUS, TACACS и другие механизмы.Управление идентификацией и контроль доступа к сети - два важных элемента надежной политики безопасности. Правильное понимание AAA поможет вам реализовать управление идентификацией. Удачи во внедрении Identity Management и оставайтесь в безопасности!

Биография автора: Джон Буссо - старший сетевой инженер / специалист по мобильности в CCSI. Он имеет почти 20-летний опыт работы в сфере безопасных решений для передачи голоса и данных. Джон был предметным экспертом по корпоративным мобильным решениям, таким как Guest WiFi и BYOD, обеспечивая видение для самых разных клиентов.

Джон был адъюнкт-профессором и тренером. Он имеет многочисленные отраслевые сертификаты, включая CISSP, CWNP, CCNP, ACMP и ITIL. Его опыт включает работу с розничной торговлей, TNL-курьерами, округами Колумбия и аэропортами, здравоохранением, образованием, Министерством обороны США, местными органами власти, финансами, некоммерческими общественными Wi-Fi, развлечениями и гостеприимством. Его опыт в области мобильности, безопасности, WLAN, WAN, LAN, VoWiFi, RFID, RTLS, WIPS, WIDS, DAS, лицензированных / нелицензированных сетей PTP и PTMP. Свяжитесь с Джоном в Twitter через.

Идентификация, аутентификация и авторизация

Я забыл упомянуть в своем посте на прошлой неделе о книге Джима Харпера, что это быстрое и увлекательное чтение. Главы короткие, и каждая начинается с причудливой, дерзкой истории, призванной проиллюстрировать важную концепцию, представленную в главе. Теперь, как и обещал, мой ник:

Три основных понятия в книге - это идентификация, аутентификация и авторизация. Харпер представляет идентификацию и аутентификацию как по сути синонимы (с предположением, что аутентификация означает более надежную форму идентификации), а авторизацию - как альтернативу идентификации, при которой личность человека не раскрывается.Он приводит пример карты банкомата: чтобы снять деньги в банкомате, вам не нужно предъявлять удостоверение личности, вам просто нужно иметь карту и знать пин-код. Вы можете быть супругом, ребенком или дрессированной обезьяной держателя карты, насколько это известно банкомату.


Однако он, похоже, не проводит четкого различия между идентификацией и авторизацией. В конце концов, если у меня есть идентичный близнец, то мое удостоверение личности с фотографией становится «авторизационной» картой для меня и моего близнеца. С другой стороны, банки действительно выпускают несколько карт банкоматов с отдельными PIN-кодами для одного и того же счета, каждая из которых предназначена для использования одним человеком.Вероятно, банк не хочет, чтобы его клиенты обменивались картами, хотя, очевидно, они не прилагают никаких усилий для предотвращения этого.

Мне кажется, что Харпер не совсем так использует эти термины в области компьютерной безопасности. Вот как Википедия описывает разницу между аутентификацией и авторизацией:

Проблема авторизации часто считается идентичной проблеме аутентификации; многие широко распространенные стандартные протоколы безопасности, обязательные правила и даже законы основаны на этом предположении.Однако более точное использование описывает аутентификацию как процесс проверки личности человека, в то время как авторизация - это процесс проверки того, что известное лицо имеет право выполнять определенную операцию. Следовательно, аутентификация должна предшествовать авторизации.

Итак, вот мое предложение о несколько ином способе описания концепций: идентификация - это процесс утверждения некоторой идентичности. Это может произойти, если представиться на вечеринке, показать свое удостоверение личности офицеру или встретить кого-то в определенном месте в рубашке определенного цвета.Аутентификация - это процесс предоставления доказательств личности, устойчивых к подделке. При личном общении идентификация и аутентификация обычно происходят на одном этапе. В удаленных транзакциях они обычно разделяются, например, когда вы указываете имя пользователя и пароль. Авторизация - это процесс определения с учетом установленной личности, на какие привилегии имеет право человек.

Итак, один из тезисов Харпера заключается в том, что следует использовать авторизацию вместо идентификации везде, где это возможно.Но на практике редко удается буквально выполнить авторизацию без идентификации - если вы хотите знать, имеете ли вы право сесть в самолет или получить доступ к банковскому счету, вы должны знать, кто они. Что мы, , можем сделать , так это настроить системы сторонней аутентификации, чтобы мы могли идентифицировать себя перед доверенной третьей стороной (например, компанией Clear Card) без необходимости раскрывать вашу личность (возможно, ненадежному) лицу, которое нужно только подтвердить вашу авторизацию.

Обратите внимание, что это полностью отличается от его примера с банкоматной картой в качестве устройства авторизации. В этом случае банкомат точно знает, кем вы претендуете. Вы просто можете не быть тем человеком, чье имя указано на карточке. С карточкой Clear TSA ничего не знает о вас , кроме того факта, что Clear утверждает, что вы внесены в список зарегистрированных путешественников.

Я думаю, что такой способ описания вещей более убедительно подчеркивает тот факт, что на самом деле проблема заключается в праве выбора, кому вы доверяете свою информацию.Цель таких схем, как Clear, не столько в том, чтобы дать вам больше контроля над , может ли идентифицировать себя, а в том, чтобы дать вам контроль над , для которого вы хотите быть идентифицированы. Система работает, потому что существует две уже существующих доверительных связи: одна между Clear и вами (потому что вы ранее проходили с ними проверку безопасности), а другая между Clear и TSA. Пока вы и TSA оба доверяете безоговорочно, вам не нужно доверять друг другу, чтобы вести бизнес (или, в данном случае, позволить вам сесть в самолет).

Тот же принцип применяется к финансовым транзакциям: если вы хотите совершить покупку со счетом кредитной карты, вы должны идентифицировать себя. Но нет причин, по которым вам нужно называть себя в магазине. На самом деле, мне кажется, что это довольно глупо, что они указывают ваше имя или номер кредитной карты на вашей кредитной карте, что способствует мошенничеству с кредитными картами в дополнение к тому, что магазины бесполезно могут легко отслеживать вас. Было бы намного лучше, если бы на карте были только изображения держателя карты и его подпись, а аутентификационная информация содержалась на самой карте.Если бы у вас была труднодоступная подпись, магазин никогда бы не узнал ваше имя или номер кредитной карты, если вы сами не скажете им.

Harper предлагает один пример, когда у вас действительно есть аутентификация без идентификации: медицинская карта марихуаны Сан-Франциско. Это была карта, которая использовалась для подтверждения соответствия требованиям для получения медицинской марихуаны в соответствии с законодательством Калифорнии. Чтобы противостоять усилиям федеральных властей, карта была разработана как авторизационная карта без идентификационной информации: она содержала фотографию предъявителя и серийный номер, но не его имя.И не велось никаких записей, связывающих серийный номер с именем человека.

Мне кажется, что это настоящий случай авторизации без идентификации, но это не авторизация без аутентификации .

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *