Uwierzytelnianie i autoryzacja - różnice i sposób działania
Procesy, które odgrywają kluczową rolę w zapewnieniu bezpieczeństwa IT to uwierzytelnianie (ang. authentication) i autoryzacja (ang. authorisation). Oba pojęcia są często mylone lub przypisuje się im nieprawidłowe znaczenie. W rzeczywistości uwierzytelnianie i autoryzacja to dwa różne, ale uzupełniające się procesy bezpieczeństwa. Mają inne cele, ale działając razem chronią dostęp do zasobów organizacji.
Uwierzytelnianie to proces identyfikacji użytkowników i upewnienia się, że są tym, za kogo się podają. To weryfikacja tożsamości danego użytkownika i najczęściej polega na podaniu nazwy użytkownika i hasła.
Autoryzacja to proces określania, do których zasobów ma dostęp uwierzytelniony użytkownik i które operacje może wykonywać. Proces ten weryfikuje czy dany użytkownik może korzystać z określonego zasobu (czy ma odpowiednie uprawnienia) i wykonywać określone czynności.
Opierając się na powyższych definicjach, istnieje naturalna kolejność przeprowadzania uwierzytelniania i autoryzacji. Użytkownicy są najpierw uwierzytelniani w celu ustalenia, czy faktycznie są właścicielami konta z nazwą użytkownika. Dopiero po potwierdzeniu ich tożsamości otrzymują (lub nie) odpowiednie uprawnienia dostępu. Uwierzytelnianie i autoryzacja działają razem, aby zapobiec nieautoryzowanemu dostępowi do danych i systemów. W najbardziej podstawowej konfiguracji użytkownicy są uwierzytelniani raz, zwykle podczas logowania do sieci firmowej, a uprawnienia dostępu są określane na podstawie roli powiązanej z ich kontem użytkownika. Nowoczesne podejście do autoryzacji polega nie tylko na sprawdzeniu do jakich danych użytkownik próbuje uzyskać dostęp, ale także wykorzystuje informacje kontekstowe związane z żądaniem tego dostępu np. skąd użytkownik uzyskuje dostęp, jaki jest stan bezpieczeństwa jego urządzenia, czy jego zachowanie jest typowe itp. Ponadto coraz więcej współczesnych organizacji stosuje model zabezpieczeń opartych na zasadzie „Zero Trust” (Zero Zaufania), zgodnie z którym użytkownik otrzymuje tylko takie (minimalne) uprawnienia, jakie są niezbędne do realizacji jego obowiązków.
Najczęściej używane metody uwierzytelniania to:
- Hasło – przez lata był to domyślny i jedyny znany sposób uwierzytelniania użytkowników. Wprowadzając swoją nazwę, użytkownik informuje system za kogo się podaje. Natomiast hasło to ciąg znaków, który powinni znać tylko użytkownik i oprogramowanie uwierzytelniające. Usługa uwierzytelniania przyjmuje, że użytkownik jest tym, za kogo się podaje po podaniu przez prawidłowego hasła potwierdzającego jego tożsamość.
- Uwierzytelnianie dwuskładnikowe - ponieważ hasła stawały się coraz bardziej podatne na kradzież i inne metody ataków (np. phishing), to oprócz standardowej kombinacji - nazwa użytkownika i hasło - wprowadzono dodatkowe czynniki uwierzytelniające. Zapewniają one silniejszą i bezpieczniejszą formę uwierzytelniania. Zazwyczaj podstawowym czynnikiem pozostaje hasło. Dodatkowym czynnikiem uwierzytelniającym jest udowodnienie posiadania zarejestrowanego sprzętowego tokena uwierzytelniającego (tj. tokena OTP lub klucza USB) lub innego urządzenia np. telefonu komórkowego. Potwierdzenie posiadania jest zwykle wykonywane przy użyciu technologii hasła jednorazowego (OTP) lub szyfrowania kluczem publicznym (PKI).
- Uwierzytelnianie biometryczne – w ostatnich latach znacznie wzrosło wykorzystanie biometrii w celu potwierdzenia tożsamości użytkownika. Identyfikacja biometryczna jest używana zarówno jako jeden z czynników uwierzytelniania wieloskładnikowego MFA, ale także jako samodzielna metoda uwierzytelniania. Obecnie najczęściej wykorzystywanymi danymi biometrycznymi są odcisk palca i skan twarzy. Można je uzyskać z czujnika linii papilarnych lub aparatu, które są wbudowanego w większość urządzeń mobilnych. Do identyfikacji użytkownika wykorzystuje się również biometrię behawioralną, która opiera się na unikalnych wzorcach zachowania użytkownika, np. charakterystyczny sposób, w jaki użytkownik uderza w klawiaturę (dynamika naciśnięć klawiszy).
- Uwierzytelnianie bezhasłowe – popularność tej metody uwierzytelniania stale rośnie, ze względu na to, że jest bezpieczniejsza od haseł, zapewnia większy komfort pracy użytkownika oraz jest tańsza w obsłudze. Jak sama nazwa wskazuje, potwierdzenie tożsamości nie opiera sią tutaj na hasłach, ale wykorzystuje inne technologie, które jednoznacznie identyfikują użytkownika. Może to być posiadanie „czegoś” unikalnie powiązanego z użytkownikiem (np. zarejestrowane urządzenie mobilne lub token sprzętowy) albo biometryczny podpis użytkownika (np. odcisk palca, skan twarzy).
Uwierzytelnianie i autoryzacja odgrywają kluczową rolę w zapewnieniu bezpieczeństwa organizacji. Szybki postęp technologiczny, a także stale rosnąca liczba cyberzagrożeń sprawiają, że organizacje coraz chętniej rezygnują z haseł i wdrażają rozwiązania do uwierzytelniania bezhasłowego, np. firmy Secret Double Octopus. Jej produkty pozwalają całkowicie wyeliminować konieczność używania haseł we wszystkich systemach biznesowych i aplikacjach oraz integrują się z innymi rozwiązaniami do zarządzania tożsamością i dostępem, z których organizacje już korzystają.Głównymi zaletami uwierzytelniania bezhasłowego są bezpieczeństwo, wygoda użytkowników i obniżenie kosztów.Ponadto organizacje powinny pamiętać, że inwestycje w nowoczesne, bezpieczne i przyszłościowe rozwiązania do uwierzytelniania i autoryzacji będą stanowić także o przewadze konkurencyjnej organizacji.
Tekst źródłowy: https://doubleoctopus.com/blog/authentication-vs-authorization-2020/

Polki najbardziej przedsiębiorczymi kobietami w Unii Europejskiej. Jak w biznesie może pomóc im AI?

Nowa motorola edge 60 fusion już w Polsce

Emitel i Miasto Poznań zacieśniają współpracę na rzecz innowacji w Wielkopolsce
Kalendarium
Więcej ważnych informacji
Jedynka Newserii

Jedynka Newserii

Ochrona środowiska

Zielona transformacja wiąże się z dodatkowymi kosztami. Mimo to firmy traktują ją jako szansę dla siebie i Europy
Bez zaangażowania największych firm, które ograniczają własny ślad węglowy, będzie trudno o transformację energetyczną. Jak wynika z danych Europejskiego Banku Inwestycyjnego, w ubiegłym roku 61 proc. przedsiębiorstw z UE zainwestowało w walkę ze zmianą klimatu. Choć z tymi inwestycjami wiążą się zwykle ogromne koszty, część firm traktuje je jako szansę na podniesienie swojej konkurencyjności. Wśród znaczących korzyści podnoszą też kwestię zmniejszania zależności od dostaw surowców energetycznych z innych krajów.
Prawo
Rolnicy z Wielkopolski i Opolszczyzny protestują przeciwko likwidacji ich miejsc pracy. Minister rolnictwa deklaruje szukanie rozwiązań

W czwartek 24 kwietnia pracownicy towarowych gospodarstw rolnych z województw wielkopolskiego i opolskiego protestowali przed Ministerstwem Rolnictwa i Rozwoju Wsi w Warszawie. To już kolejny – po poznańskim – protest, który ma zwrócić uwagę na opieszałość urzędników w związku z zagospodarowaniem zwracanych do Zasobu Skarbu Państwa dzierżawionych gruntów, na których dziś prowadzona jest działalność rolnicza. Minister Czesław Siekierski przyjął delegację pracowników, która przekazała petycję z postulatami wymagającymi pilnych działań urzędniczych.
Prawo
W połowie maja pierwszym pakietem deregulacyjnym zajmie się Senat. Trwają prace nad drugim pakietem

Zgodnie z zaplanowanym porządkiem obrad na posiedzeniu 14–15 maja Senat zajmie się pierwszym pakietem deregulacyjnym, przygotowanym przez Ministerstwo Rozwoju i Technologii. Przyjęty w ubiegłym tygodniu przez Sejm dokument zawiera około 40 rozwiązań, które mają ułatwić prowadzenie biznesu. W ciągu kilku miesięcy efekty mają być odczuwalne dla przedsiębiorców. Jednocześnie trwają już prace nad kolejnymi propozycjami deregulacyjnymi.
Partner serwisu
Szkolenia

Akademia Newserii
Akademia Newserii to projekt, w ramach którego najlepsi polscy dziennikarze biznesowi, giełdowi oraz lifestylowi, a także szkoleniowcy z wieloletnim doświadczeniem dzielą się swoją wiedzą nt. pracy z mediami.