Autentykacja i autoryzacja
Bezpieczeństwo IT - metody ochrony,Główna,Multi-Factor Authentication,Poradnik bezpieczeństwa IT,Uncategorized

Autentykacja i autoryzacja: kluczowe różnice i zastosowania

Opublikowano
Czas czytania: 4 min

Zrozumienie podstawowych pojęć – czym jest autentykacja

Pojęcie autentykacji dotyczy procesu weryfikacji tożsamości użytkownika lub systemu. Proces polega na potwierdzeniu, czy osoba próbująca uzyskać dostęp jest faktycznie tą osobą, za którą się podaje. Autentykacja mówi o tym, kim jesteś. To proces weryfikacji tożsamości. W trakcie autentykacji wykorzystywane są różnorodne metody – hasła, kody PIN, biometria, czyli np. skanowanie odcisków palca lub rozpoznawanie twarzy. Autentykacja i autoryzacja to dwa komplementarne rozwiązania.

Czym jest autoryzacja? Metody autoryzacji

Autoryzacja to proces, podczas którego określane są uprawnienia i dostępy użytkownika. Co istotne, użytkownik wcześniej musi przejść pomyślną autentykację. Autoryzacja umożliwia kontrolę nad działaniami podejmowanymi przez użytkownika po zalogowaniu się do systemu. Proces autoryzacji chroni poufne dane i zapobiega nieautoryzowanemu dostępowi do zasobów systemu. Podsumowując, autoryzacja użytkownika to proces sprawdzania, jakie uprawnienia ma już uwierzytelniony użytkownik.

Uwierzytelnianie a autoryzacja

Mówiąc o uwierzytelnionym użytkowniku mamy na myśli użytkownika, który (pomyślnie) przeszedł proces autentykacji. Stąd wniosek, że pojęcie uwierzytelnienia jest synonimem autentykacji. Uwierzytelnianie (autentykacja) weryfikuje tożsamość użytkownika i kończy się informacją – tak, to użytkownik X. Metody uwierzytelniania i systemy uwierzytelniania mają za zadanie potwierdzić, kto usiłuje uzyskać dostęp. Z kolei systemy autoryzacji potwierdzają prawo dostępu do określonych zasobów użytkownika, po zweryfikowaniu tożsamość użytkownika systemu. Bez właściwej autentykacji (uwierzytelnienia), autoryzacja jest bezużyteczna, ponieważ nie ma pewności, kto próbuje uzyskać dostęp. Autentykacja i autoryzacja służą do maksymalizacji bezpieczeństwa zasobów chronionych przed nieuprawnionym dostępem.

Procesy bezpieczeństwa w praktyce

Autoryzacja i uwierzytelnienie współdziałają, aby zapewnić integralność systemów IT. Wspólnie tworzą silną barierę ochronną przed zagrożeniami w cyberprzestrzeni. Niemniej jednak z biegiem czasu okazało się, że dotychczasowe procesy uwierzytelniania nie są już wystarczające. Uwierzytelnienie tożsamości użytkownika jest kluczowe, w związku z tym oczekujemy pełnej niezawodności. Odpowiedzią na niedobory w zakresie bezpieczeństwa kontroli tożsamości użytkownika jest podwójna autoryzacja.

Metody uwierzytelniania – uwierzytelnianie wielopoziomowe (MFA)

Uwierzytelnianie wieloskładnikowe (Multi-factor authentication), nazywane inaczej uwierzytelnianiem wielopoziomowym, to zaawansowana metoda zabezpieczania systemów. Uprawnieni (lub nieuprawnieni) użytkownicy przechodzą proces weryfikacji tożsamości użytkownika za pomocą co najmniej dwóch niezależnych czynników uwierzytelniania. Metody uwierzytelniania stosowane w MFA mogą żądać takich zabezpieczeń jak hasło jednorazowe, tokeny dostępu, odcisk palca, lub mogą wymagać dodatkowej autoryzacji za pomocą SMS.

Podczas procesu logowania użytkownik najpierw przechodzi proces weryfikacji tożsamości, wprowadzając np. swoje hasło. W kolejnym kroku wymagany jest drugi czynnik uwierzytelniania (np. kod wysłany na telefon / odcisk), który umożliwia uzyskanie uprawnień dostępu. W rezultacie MFA znacząco podnosi bezpieczeństwo uniemożliwiając nieautoryzowanym osobom dostęp, nawet jeśli uzyskają dostęp do jednego czynnika identyfikacji. Wielopoziomowe uwierzytelnianie zapewnia, że tożsamość użytkownika końcowego nie została skradziona i wykorzystana w procesie logowania.

Podwójna autoryzacja a zarządzanie tokenami

Tokeny pełnią funkcję unikalnych danych uwierzytelniających i potwierdzają tożsamość użytkownika lub podmiotu. Systemy uwierzytelniania wykorzystują różne rodzaje tokenów, np. jednorazowe hasło czasowe (TOTP).

Tokeny mogą być przechowywane w specjalnych systemach zarządzania zaprojektowanych do bezpiecznego przechowywanie tokenów uwierzytelniających. Uwierzytelnianie podmiotów za pomocą tokenów maksymalnie upraszcza proces weryfikacji. Gdy użytkownik lub klient wprowadza kod autoryzacji, system weryfikuje token i zapewnia zdalny dostęp do sieci. Obowiązkowa kontrola dostępu umożliwia wybranemu użytkownikowi dostęp wyłącznie do danych, do których przypisano mu uprawnienia.

Zarządzanie dostępem w organizacjach

Identyfikacja a model zero trust: nowoczesne podejście do bezpieczeństwa

Identyfikacja użytkownika to jedno, ale to, jak szerokie ma uprawnienia dostępu to druga kwestia. Uprawnieni użytkownicy mogą wyrządzić duże szkody nawet jeżeli nie działają celowo. W co raz popularniejszym modelu Zero Trust użytkownik ma dostęp wyłącznie do tych zasobów, które są mu absolutnie niezbędne. Konsekwentnie, dwuetapowe uwierzytelnianie to tylko pierwszy krok na drodze ku bezpieczeństwu. W trakcie procedury przyznawania użytkownikom uprawnienia dostępu zakłada się, że żadne działania wewnątrz organizacji nie są w 100% bezpieczne.

Autoryzacja mobilna czyli zdalny dostęp do sieci

W dobie pracy zdalnej autoryzacja mobilna staje się kluczowym obszarem w dziedzinie IT Security. Pozwala ona na bezpieczne korzystanie z zasobów firmowych poprzez urządzenia mobilne, zachowując jednocześnie wysoki poziom ochrony. Dzięki autoryzacji mobilnej użytkownicy mogą uzyskiwać dostęp do aplikacji i danych, niezależnie od swojego położenia geograficznego.

Protokoły i standardy bezpieczeństwa

W kontekście protokołów i standardów wymieniliśmy już metodę Multi-Factor Authentication. Oprócz niej można wskazać kilka innych: najważniejszych:

  • OAuth 2.0: Protokół autoryzacji, który umożliwia aplikacjom uzyskiwanie ograniczonego dostępu do zasobów użytkownika bez konieczności udostępniania jego danych logowania.
  • OpenID Connect: Rozszerzenie OAuth 2.0, które dodaje warstwę uwierzytelniania. Pozwala aplikacjom na weryfikację tożsamości użytkowników na podstawie uwierzytelnienia przeprowadzonego przez serwer autoryzacji.
  • SAML (Security Assertion Markup Language): Standard używany do wymiany informacji o uwierzytelnianiu i autoryzacji między różnymi systemami. Stosowany w korporacyjnych środowiskach do jednokrotnego logowania (SSO).
  • Kerberos: Protokół uwierzytelniania sieciowego, który działa na zasadzie biletów.

Uwierzytelnianie vs autoryzacja: co powinno być pierwsze?

Słowem podsumowania, bezpieczeństwo zaczyna się od procesu uwierzytelniania. Aktualnie bardzo popularnym rozwiązaniem jest uwierzytelnianie wieloskładnikowe. Ten rodzaj uwierzytelniania wypracowano z tej przyczyny, że wcześniejsze systemy uwierzytelniania okazały się mało skuteczne i podatne na ataki. Dopiero po ustaleniu, a dokładniej mówiąc – po potwierdzeniu tożsamości użytkownika, użytkownik zyskuje uprawnienia do określonych zasobów, najczęściej w modelu Zero Trust. Administrator umożliwia użytkownikom dostęp wyłącznie do ograniczonych zasobów wychodząc z zasady ograniczonego zaufania. Newralgicznym punktem jest autentykacja i uwierzytelnianie użytkowników mobilnych. Urządzenia mobilne przechowują ogromne ilości wrażliwych informacji, takich jak dane bankowe, e-maile, zdjęcia, dokumenty i wiele innych. Bez odpowiednich mechanizmów zabezpieczających, te dane mogą łatwo wpaść w niepowołane ręce. Rozważając zabezpieczenie danych w swoim przedsiębiorstwie warto wziąć pod uwagę współpracę z renomowanym integratorem IT.

Poprzedni artykuł
Następny artykuł

Dodaj komentarz