Лекториум / Каталог / Информационная безопасность
Личный кабинет

Идентификация, аутентификация и авторизация. Управление учетной записью пользователя

Курс «Информационная безопасность»

Понятие идентификации, аутентификации и авторизации
Идентификация — это процесс распознавания субъекта или объекта в системе по определенным признакам (идентификаторам), таким как имя, логин, номер удостоверения личности, отпечаток пальца, голос и т. д. Идентификация отвечает на вопрос: «Кто вы такой?».
Идентификация бывает первичной и вторичной. Первичная проводится при регистрации нового пользователя в системе, вторичная — при каждых последующих запросах на доступ в систему.
Аутентификация — процесс проверки подлинности пользователя. Например, путем сравнения введенного им пароля с паролем, сохраненным в базе данных. Аутентификация отвечает на вопрос: «А вы точно тот, за кого себя выдаете?».
Процесс аутентификации стартует исключительно после идентификации, поскольку проверка подлинности не имеет смысла без первоначального ввода логина, ведь иначе система не узнает, для кого конкретно нужно подтвердить доступ.
Авторизация — предоставление определенному лицу или аутентифицированной персоне прав на выполнение определенных действий. Авторизация отвечает на вопрос: «К чему вы имеете доступ?».
Виды аутентификации
Фактор аутентификации — это атрибут, по которому удостоверяется подлинность пользователя. В роли фактора могут выступать материальные объекты (аппаратные устройства, части тела) или нематериальные сущности (кодовые слова, файлы, пароли).
  • Однофакторная аутентификация
    Метод проверки подлинности, при котором необходимо одно доказательство подлинности, например пароль, если доступ к системе предоставляется после введения логина и пароля.
  • Двухфакторная аутентификация (2FA)
    Метод проверки подлинности, который использует два различных фактора для подтверждения личности пользователя.
  • Многофакторная аутентификация (MFA)
    Метод проверки подлинности, при котором необходимо более двух доказательств подлинности. Чтобы получить доступ к системе, пользователь подтверждает личность разными способами (пароль и код, TouchID, FaceID и т. д.).
К категориям таких доказательств относят знание, владение и свойство, которыми обладает субъект.
Методы аутентификации
Аутентификация по паролю — метод, который основывается на том, что пользователь должен предоставить username (логин) и password (пароль) для успешной идентификации и аутентификации в системе. Пара username/password задается пользователем при его регистрации в системе, при этом в качестве username может выступать адрес электронной почты пользователя или иной идентификатор.
Аутентификация по сертификатам — метод, который основывается на сертификате, который является цифровым документом, удостоверяющим личность владельца и его право на доступ к определенным ресурсам или услугам.
Аутентификация по одноразовым паролям — метод, который чаще всего используется при 2FA. Он подразумевает случайную генерацию кода, передаваемую пользователю через SMS, телефонной звонок, заранее сформированные одноразовые пароли или другой канал связи либо создаваемый аппаратными или программными токенами.
Рассмотрим примеры данного вида аутентификации:
  • СМС
    Метод аутентификации, основанный на вводе одноразового кода, полученного по СМС на личный номер телефона.
  • Телефонный звонок
    Метод аутентификации, основанный на вводе одноразового кода, полученного из последних цифр номера входящего вызова или информации из голосового уведомления при ответе на вызов.
  • Токенизированный ключ и смарт-карта
    Метод, который использует для аутентификации физические устройства. Это может быть, например, USB-флешка, вставленная в компьютер, NFC-карта или eToken, который генерирует код для авторизации каждые 30–60 секунд. Первым фактором в таком случае является факт владения устройством, а вторым — знание его ПИН-кода.
  • Статические коды
    Данный метод использует для аутентификации заранее определенный секрет. В случае потери пароля, eToken либо взлома учетной записи в силу вступают резервные методы аутентификации.
  • Аутентификация по ключам доступа
    Способ, который чаще всего используется для аутентификации устройств, сервисов или других приложений при обращении к веб-сервисам. В качестве секрета применяются ключи доступа (access key, API key) — длинные уникальные строки, содержащие произвольный набор символов, по сути, заменяющие собой комбинацию username/password. В большинстве случаев сервер генерирует ключи доступа по запросу пользователей, которые далее сохраняют эти ключи в клиентских приложениях. При создании ключа также возможно ограничить срок действия и уровень доступа, который получит клиентское приложение при аутентификации с помощью этого ключа.
  • Single sign-on (SSO)
    Метод идентификации, когда мы можем получить доступ к разным системам и приложениям, используя один и тот же набор учетных данных (имя пользователя и пароль). SSO еще часто называют «сквозной аутентификацией», потому что метод позволяет авторизоваться на подключенных сайтах с одной и той же учетной записью.
  • OpenID
    Система идентификации пользователей в интернете, которая позволяет им использовать один идентификатор (OpenID provider) для доступа к различным веб-сайтам и приложениям.
  • Passkey
    Технология, которая исключает пароль из процесса аутентификации и авторизации. Другими словами, вместо длинного и сложного пароля пользователю достаточно ввести ПИН-код, графический ключ или воспользоваться биометрией.
  • Биометрическая аутентификация
    Аутентификация пользователя по его уникальным биометрическим характеристикам. К таким характеристикам относятся:
    • отпечаток пальца
    • рисунок вен на ладони
    • структура сетчатки глаза
    • черты лица
    • голос
    • клавиатурный почерк
    • другое
Управление учетной записью пользователя
Учетная запись пользователя (УЗ) — это набор данных, связанных с конкретным пользователем, необходимый для идентификации пользователя при подключении к системе, а также информация для авторизации и учета. Термины «учетная запись» и «аккаунт» имеют один смысл.
Учетные записи пользователей в информационной системе могут носить как частный (при домашнем использовании компьютера), так и рабочий характер (при выполнении определенных задач и обязанностей).
Типы УЗ:
  • Общие УЗ
  • Индивидуальные (простые) УЗ
  • Гостевые УЗ
  • Служебные (сервисные) УЗ
Общие УЗ — это учетные записи, которые могут использоваться несколькими пользователями одновременно и позволяют им использовать один и тот же аккаунт для доступа к одному или нескольким ресурсам. Такие учетные записи могут быть полезными в ситуациях, когда несколько человек работает над одним проектом или использует общие ресурсы, такие как файлы или почтовые ящики.
Индивидуальные (простые) УЗ предназначены для одного конкретного пользователя и не предоставляют доступ к общим ресурсам. Простые учетные записи обычно используются для входа в веб-сайты и приложения, где пользователю предоставляется доступ к конкретному ресурсу.
Гостевые УЗ — это стандартные учетные записи локального пользователя с очень ограниченными правами доступа (например, для допуска сотрудника, которому компьютер нужен на короткое время).
Административные УЗ используются для управления всеми ресурсами и конфигурацией компьютера или домена. Применяются при выполнении задач администрирования, например для создания или изменения учетных записей групп, управления средствами защиты, настройки сетевого сервера печати.
Учетные записи служб (сервисные аккаунты) — это специальный вид учетных записей, которые используются для управления доступом пользователей к различным службам и приложениям. Это привилегированная учетная запись, не относящаяся к человеку, обычно расположенная в операционных системах и используемая для запуска приложений или служб.
Управление учетными записями и правами доступа
Модель управления доступом — это структура, которая определяет порядок доступа субъектов к объектам. Для реализации правил и целей этой модели используются технологии управления доступом и механизмы безопасности.
Существуют три основных модели управления доступом: дискреционная, мандатная и ролевая.
  • Управление доступом на основе ролей (RBAC)
    Модель управления доступом к ресурсам информационных систем, которая подразумевает использование ролей. Под ролью понимают совокупность прав доступа пользователя к объектам информационной системы, действий и обязанностей, обусловленных видом его деятельности.
Ролевая модель позволяет избавиться от указания всех типов доступов, полномочий и прав каждого пользователя к каждому объекту. Доступы указываются для ролей, а соответствующие роли уже присваиваются сотрудникам, их у работника может быть несколько. Так, разным сотрудникам компании могут назначаться одинаковые роли.
  • Мандатное управление доступом (MAC)
    Модель управления доступом, при которой каждому объекту (ресурсу) в информационном поле компании присваиваются метки типа «не секретно», «засекречено», «строго конфиденциально». Затем администраторы или владельцы систем назначают сотрудникам полномочия в соответствии с их должностными обязанностями.
Например, кто-то получает право взаимодействовать только с объектами уровня «не секретно», а кто-то — с совершенно секретными ресурсами. В рамках мандатной модели нельзя превышать назначенный уровень доступа. Если по каким-то причинам это необходимо, администраторы или владельцы систем создают для пользователей новые профили под актуальную метку ресурса.
Из схемы ниже видно, что субъект с высоким уровнем доступа имеет право на запись и чтение объекта с высоким уровнем конфиденциальности. Он также может читать документы с более низким уровнем конфиденциальности, но не изменять. В свою очередь, субъект с низким уровнем доступа может читать и записывать в объект с низким уровнем конфиденциальности. Чтение объектов с высоким уровнем конфиденциальности ему запрещено, но разрешена запись.
  • Дискреционное (избирательное) управление доступом (DAC)
    Управление доступом субъектов к объектам на основе списков управления доступом или матрицы доступа. Этот метод управления подразумевает, что доступ к информационным системам и ресурсам назначает администратор (реже — владелец ресурсов). Суть модели заключается в том, что на основе идентификационной информации о субъектах создаются списки на использование тех или иных ресурсов с указанием полномочий конкретных лиц. При необходимости список прав можно расширить.
Заключение
Проверка всегда начинается с идентификации, за ней идет аутентификация и в конце авторизация. Эти этапы защищают ваши персональные данные и деньги.
При выборе модели управления доступом необходимо опираться на размер организации, т. е. на количество сотрудников, а также учитывать деятельность организации и то, какая информация будет ограничена. Мандатная модель предназначена для государственных учреждений и компаний, которым требуется повышенный уровень безопасности.
Дискреционная модель подойдет там, где не требуется высокий уровень безопасности. Ее используют школы, коучинговые центры, малый бизнес, стартапы.
Ролевая модель подходит для среднего и крупного бизнеса в любой сфере деятельности, т. к. позволяет обеспечить прозрачность управления и исключить риски назначения избыточных полномочий.

Запишитесь на курс, чтобы выполнять задания и получить сертификат!

Назад
Все уроки
Вперед
Все изображения предоставлены авторами курса.
Информационная безопасность
Курс об основах защиты данных в современном мире.
  • Что вы получите
    • 17 уроков с видео и заданиями
    • Авторская подача: живая и грамотная речь
    • Свободное расписание: нет дедлайнов и сроков сдачи заданий
    • Все материалы доступны сразу, можно начать обучение в удобное время
    • Профессиональное видео и современная графика
    • Быстрая связь с техподдержкой и чат с однокурсниками
    • Сертификат о прохождении курса
  • Зачем
    • Научиться защищать свои устройства, учетные записи и данные от кибератак, мошенников и других угроз
    • Разобраться в современных технологиях: узнать, как работают сети, облачные технологии и системы виртуализации, чтобы уверенно пользоваться ими в повседневной жизни
    • Подготовиться к карьере в IT: получить прочную базу для старта в сфере информационной безопасности, программирования и сетевого администрирования
    • Избежать ошибок в цифровом мире, научиться распознавать риски
    • Повысить цифровую грамотность
Запишитесь на курс, чтобы общаться в чате, выполнять задания и получить сертификат. Это бесплатно
Записаться
Находясь на сайте, вы даете согласие на обработку файлов cookie. Это необходимо для более стабильной работы сайта
OK