Procesy, które odgrywają kluczową rolę w zapewnieniu bezpieczeństwa IT to uwierzytelnianie (ang. authentication) i autoryzacja (ang. authorisation). Oba pojęcia są często mylone lub przypisuje się im nieprawidłowe znaczenie. W rzeczywistości uwierzytelnianie i autoryzacja to dwa różne, ale uzupełniające się procesy bezpieczeństwa. Mają inne cele, ale działając razem chronią dostęp do zasobów organizacji.
Uwierzytelnianie to proces identyfikacji użytkowników i upewnienia się, że są tym, za kogo się podają. To weryfikacja tożsamości danego użytkownika i najczęściej polega na podaniu nazwy użytkownika i hasła.
Autoryzacja to proces określania, do których zasobów ma dostęp uwierzytelniony użytkownik i które operacje może wykonywać. Proces ten weryfikuje czy dany użytkownik może korzystać z określonego zasobu (czy ma odpowiednie uprawnienia) i wykonywać określone czynności.
Opierając się na powyższych definicjach, istnieje naturalna kolejność przeprowadzania uwierzytelniania i autoryzacji. Użytkownicy są najpierw uwierzytelniani w celu ustalenia, czy faktycznie są właścicielami konta z nazwą użytkownika. Dopiero po potwierdzeniu ich tożsamości otrzymują (lub nie) odpowiednie uprawnienia dostępu. Uwierzytelnianie i autoryzacja działają razem, aby zapobiec nieautoryzowanemu dostępowi do danych i systemów. W najbardziej podstawowej konfiguracji użytkownicy są uwierzytelniani raz, zwykle podczas logowania do sieci firmowej, a uprawnienia dostępu są określane na podstawie roli powiązanej z ich kontem użytkownika. Nowoczesne podejście do autoryzacji polega nie tylko na sprawdzeniu do jakich danych użytkownik próbuje uzyskać dostęp, ale także wykorzystuje informacje kontekstowe związane z żądaniem tego dostępu np. skąd użytkownik uzyskuje dostęp, jaki jest stan bezpieczeństwa jego urządzenia, czy jego zachowanie jest typowe itp. Ponadto coraz więcej współczesnych organizacji stosuje model zabezpieczeń opartych na zasadzie „Zero Trust” (Zero Zaufania), zgodnie z którym użytkownik otrzymuje tylko takie (minimalne) uprawnienia, jakie są niezbędne do realizacji jego obowiązków.
Najczęściej używane metody uwierzytelniania to:
- Hasło – przez lata był to domyślny i jedyny znany sposób uwierzytelniania użytkowników. Wprowadzając swoją nazwę, użytkownik informuje system za kogo się podaje. Natomiast hasło to ciąg znaków, który powinni znać tylko użytkownik i oprogramowanie uwierzytelniające. Usługa uwierzytelniania przyjmuje, że użytkownik jest tym, za kogo się podaje po podaniu przez prawidłowego hasła potwierdzającego jego tożsamość.
- Uwierzytelnianie dwuskładnikowe – ponieważ hasła stawały się coraz bardziej podatne na kradzież i inne metody ataków (np. phishing), to oprócz standardowej kombinacji – nazwa użytkownika i hasło – wprowadzono dodatkowe czynniki uwierzytelniające. Zapewniają one silniejszą i bezpieczniejszą formę uwierzytelniania. Zazwyczaj podstawowym czynnikiem pozostaje hasło. Dodatkowym czynnikiem uwierzytelniającym jest udowodnienie posiadania zarejestrowanego sprzętowego tokena uwierzytelniającego (tj. tokena OTP lub klucza USB) lub innego urządzenia np. telefonu komórkowego. Potwierdzenie posiadania jest zwykle wykonywane przy użyciu technologii hasła jednorazowego (OTP) lub szyfrowania kluczem publicznym (PKI).
- Uwierzytelnianie biometryczne – w ostatnich latach znacznie wzrosło wykorzystanie biometrii w celu potwierdzenia tożsamości użytkownika. Identyfikacja biometryczna jest używana zarówno jako jeden z czynników uwierzytelniania wieloskładnikowego MFA, ale także jako samodzielna metoda uwierzytelniania. Obecnie najczęściej wykorzystywanymi danymi biometrycznymi są odcisk palca i skan twarzy. Można je uzyskać z czujnika linii papilarnych lub aparatu, które są wbudowanego w większość urządzeń mobilnych. Do identyfikacji użytkownika wykorzystuje się również biometrię behawioralną, która opiera się na unikalnych wzorcach zachowania użytkownika, np. charakterystyczny sposób, w jaki użytkownik uderza w klawiaturę (dynamika naciśnięć klawiszy).
- Uwierzytelnianie bezhasłowe – popularność tej metody uwierzytelniania stale rośnie, ze względu na to, że jest bezpieczniejsza od haseł, zapewnia większy komfort pracy użytkownika oraz jest tańsza w obsłudze. Jak sama nazwa wskazuje, potwierdzenie tożsamości nie opiera sią tutaj na hasłach, ale wykorzystuje inne technologie, które jednoznacznie identyfikują użytkownika. Może to być posiadanie „czegoś” unikalnie powiązanego z użytkownikiem (np. zarejestrowane urządzenie mobilne lub token sprzętowy) albo biometryczny podpis użytkownika (np. odcisk palca, skan twarzy).
Uwierzytelnianie i autoryzacja odgrywają kluczową rolę w zapewnieniu bezpieczeństwa organizacji. Szybki postęp technologiczny, a także stale rosnąca liczba cyberzagrożeń sprawiają, że organizacje coraz chętniej rezygnują z haseł i wdrażają rozwiązania do uwierzytelniania bezhasłowego, np. firmy Secret Double Octopus. Jej produkty pozwalają całkowicie wyeliminować konieczność używania haseł we wszystkich systemach biznesowych i aplikacjach oraz integrują się z innymi rozwiązaniami do zarządzania tożsamością i dostępem, z których organizacje już korzystają. Głównymi zaletami uwierzytelniania bezhasłowego są bezpieczeństwo, wygoda użytkowników i obniżenie kosztów. Ponadto organizacje powinny pamiętać, że inwestycje w nowoczesne, bezpieczne i przyszłościowe rozwiązania do uwierzytelniania i autoryzacji będą stanowić także o przewadze konkurencyjnej organizacji.
Tekst źródłowy: https://doubleoctopus.com/blog/authentication-vs-authorization-2020/