jednym ze słów, które często rzucamy, gdy mówimy o bezpieczeństwie informacji, jest uwierzytelnianie.
Co To jest uwierzytelnianie?
w bezpieczeństwie uwierzytelnianie jest procesem weryfikacji, czy ktoś (lub coś) jest w rzeczywistości kim (lub czym) jest zadeklarowany.
: Weryfikacja tożsamości użytkownika, procesu lub urządzenia, często jako warunek wstępny umożliwienia dostępu do zasobów w systemie informatycznym.
definicja z CSRC NIST
niezależnie od tego, czy logujesz się do systemu komputerowego w biurze, sprawdzasz stan konta na stronie internetowej banku, czy odwiedzasz ulubione kanały mediów społecznościowych, proces uwierzytelniania pomaga tym witrynom określić, że jesteś właściwą osobą próbującą uzyskać dostęp.
wartość uwierzytelniania
Jest to jedna z metod stosowanych przez kasjerów, aby wiedzieć, że osoba, która była w stanie wpłacić i wypłacić środki z konta, była właściwą osobą.
dzisiaj logujemy się na stronę naszego narodowego banku i nie ma tam nikogo, kto by nas powitał po imieniu. Wymagane są inne metody uwierzytelniania. Podczas uwierzytelniania konta ustalasz swoją tożsamość i informujesz witrynę, do której próbujesz uzyskać dostęp, że jesteś osobą, za którą się podajesz.
ten proces ustalania tożsamości w celu uzyskania dostępu do systemu jest zazwyczaj dwuetapowy: najpierw musisz zidentyfikować siebie (tj. identyfikator użytkownika, numer konta lub adres e-mail), a następnie udowodnić, że jesteś tym, za kogo się podajesz (uwierzytelnić się).
ostatecznie zmniejsza to szanse na to, że podszywający się użytkownik otrzyma dostęp do poufnych informacji, które do niego nie należą.
sposoby uwierzytelniania
coś, czym jesteś
To zwykle jest najsilniejsze i najtrudniejsze do złamania—nie jest łatwo skopiować skan tęczówki lub powielić odcisk palca. Jednak technologia wdrażania tego typu uwierzytelniania jest kosztowna i nie przekłada się łatwo na wszystkie sposoby dostępu do zasobów. Zaczynamy dostrzegać coraz większe przyjęcie tej metody uwierzytelniania (pomyśl o identyfikatorze twarzy w iPhone ’ ach), ale jesteśmy o wiele lat od tego, co robi poważne postępy.
coś, co masz
To staje się coraz bardziej popularne ze względu na naszą ogólną niechęć do odłączania się od naszych telefonów komórkowych. Ten typ kontroli dostępu zwykle ma postać jednorazowego klucza tokenowego, który otrzymuje się ze źródła zewnętrznego (klucza, wiadomości e-mail, wiadomości tekstowej lub aplikacji uwierzytelniającej). Tradycyjnie dostarczanie Użytkownikom urządzenia dostarczającego klucz tokenowy było największym czynnikiem zniechęcającym do szerszego wdrożenia, ale obecnie większość użytkowników ma zawsze dostępne inteligentne urządzenia, a Metoda uwierzytelniania coś, co masz, zyskuje na popularności.
coś, co wiesz
najczęstszym tego przykładem są nasze hasła—Brak specjalnego sprzętu potrzebnego do skanowania bio, Brak dodatkowych narzędzi potrzebnych do udostępnienia tajnych kodów. Dlatego tak ważne jest, aby tworzyć hasła, które są trudne do odgadnięcia. W większości sytuacji Twoje hasło jest jedyną informacją, o której inni ludzie nie wiedzą, i jedynym sposobem, aby Twoje informacje były bezpieczne.
utrzymanie informacji uwierzytelniających w tajemnicy i silne
Wracając do scenariusza lokalnego banku w małym mieście, jeśli twój znajomy pójdzie do kasjera i spróbuje przedstawić dowód wypłaty dla Twojego konta, kasjer będzie w stanie powiedzieć, że to nie ty i odmówić transakcji.
ale gdyby ten sam znajomy próbował zalogować się na twoje bieżące konto bankowe za pomocą mojej nazwy użytkownika i hasła, witryna nie powstrzymałaby go przed tym. „Czy chodziło Ci o zalogowanie się do własnej witryny, zamiast do znajomego?”
platforma nie widzi różnicy. Mając odpowiednią kombinację, zaakceptowałby nazwę użytkownika i hasło bez względu na to, czy jest to właściwa osoba, czy nie.
dlatego konieczne jest, aby zachować wszelkie potencjalnie identyfikujące informacje lub urządzenia uwierzytelniające dla siebie.
a co z uwierzytelnianiem dwuskładnikowym?
uwierzytelnianie wieloczynnikowe (MFA) to naprawdę dobra rzecz. MFA łączy dwie różne metody uwierzytelniania (tj. hasło i token), aby zapewnić większe bezpieczeństwo podczas potwierdzania tożsamości.
kontynuując nasz przykład internetowego konta bankowego, jeśli znajomy odgadłby hasło do Twojego konta, ale miałeś włączone uwierzytelnianie MFA, odmówiłby mu dostępu, chyba że miała również mój telefon komórkowy, znała kod PIN, aby uzyskać dostęp do telefonu i była w stanie wyciągnąć jednorazowy kod potrzebny jako druga metoda weryfikacji.
to samo dotyczy napastników. Jeśli są w stanie złamać twoje poświadczenia użytkownika i MFA jest włączona, najprawdopodobniej zostaną zatrzymani po prostu nieśmiały dostęp.
wiele organizacji wymaga teraz MFA, aby nawiązać połączenie z siecią i programami—sprytny ruch, aby chronić Cię w przypadku naruszenia Twoich danych uwierzytelniających.
Jeśli którykolwiek z Twoich bezpiecznych systemów oferuje MFA, zachęcam do włączenia tej usługi, aby zapewnić większe bezpieczeństwo Twoich danych osobowych.
uwierzytelnianie stało się użyteczną praktyką w ochronie informacji zarówno dla firm, jak i ludzi. Silne hasła, dobre nawyki udostępniania i narzędzia MFA to sposoby, aby Twoje konta i sieci były bezpieczniejsze od kompromisów.
aby uzyskać więcej porad i wskazówek na temat zapobiegania atakom na Twoją sieć lub współpracy z dostawcą zabezpieczeń w celu poprawy praktyk bezpieczeństwa Twojej firmy, odwiedź Stronę frsecure.com.
