Поиск по сайту:
Что имеем — не храним; потерявши — плачем (К. Прутков).

Контроль доступа: идентификация, аутентификация и авторизация

04.04.2020
Контроль доступа: идентификация, аутентификация и авторизация
Несанкционированный доступ к данным и ресурсам является одним из наиболее значительных и опасных рисков в цифровом мире. Фонд OWASP в своем проекте, посвященном Топ-10 угроз безопасности приложений — 2017, поставил «Сломанную аутентификацию» на второе место, «Сломанный контроль доступа» на пятое.
В последнее время мы много слышали о взломах данных (которые приводят к несанкционированному доступу), некоторые из них происходят с крупными компаниями, такими как Facebook, в которых третьи лица раскрывают 540 миллионов записей пользователей. И давайте не будем говорить о утечках паролей, «непреднамеренной» загрузке пользовательских данных без их согласия или скандала с Cambridge Analytica.Как разработчики программного обеспечения, мы всегда должны контролировать, кто или что имеет доступ к ресурсам. Мы несем ответственность за создание надежных продуктов с высокой степенью безопасности, включая надежные механизмы контроля доступа.

Контроль доступа обеспечивает доступ к ресурсам только авторизованным и авторизованным пользователям. Иногда возникает некоторая путаница между контролем доступа и авторизацией или между аутентификацией и идентификацией. Давайте разъясним их все и приведем несколько примеров.

 

Идентификация

Идентификация происходит, когда пользователь запрашивает личность. В физическом мире мы могли бы назвать свое имя. Когда я впервые встречаюсь с кем-то, я представляю себя, говоря: «Я Андрей»: это я идентифицирую себя.

Вместо этого в цифровом мире я предоставляю свое имя пользователя или адрес электронной почты, например, для подтверждения личности моей учетной записи.

Читать  OpenSSH 9.9 Содержит усовершенствованные квантово-устойчивые алгоритмы

Идентификация — это первый шаг контроля доступа.

 

Аутентификация

Если бы я поехал в аэропорт, чтобы сесть на самолет и сказал персоналу аэропорта: «Я — Андрей», они наверняка попросят у меня какое-нибудь подтверждение моей личности. Это процесс аутентификации: проверка заявленной личности.

В аэропорту я бы подтвердил свою личность через паспорт. При попытке войти в свою учетную запись электронной почты, я предоставляю свой пароль, чтобы доказать, что я являюсь тем, кем я себя называю, и что это действительно моя учетная запись. В случае, если я включил двухфакторную аутентификацию, я также предоставил бы второе подтверждение моей личности, например, код, сгенерированный USB-токеном или специальным приложением на моем смартфоне.

Проверка личности пользователя, то есть аутентификация его, является вторым этапом контроля доступа.

 

Авторизация

Как только сотрудники аэропорта подтвердили мою личность через мой паспорт, это означает, что они подтвердили мою личность, но это не значит, что я могу ехать куда угодно через аэропорт или успеть на любой рейс. Нет. Я могу делать только то, на что у меня есть разрешения, то есть то, на что у меня есть права. Покупка билета в Москву дает мне право лететь в Россию, если я идентифицирую себя как владельца билета и подтверждаю свою личность. (Я знаю, я значительно упростил процедуры безопасности в аэропортах, но это было ради примера.)

Читать  Коды ошибок прокси и как их преодолеть

Если мы рассмотрим пример учетной записи электронной почты еще раз, после этапа проверки подлинности поставщик электронной почты проверит мои разрешения, чтобы выяснить, что я могу или не могу сделать после получения доступа к моей учетной записи электронной почты. Необходимое разрешение — это то, что дает мне доступ к моим и только моим электронным письмам, а не к другим учетным записям электронной почты. Допустим, в CMS WordPress у меня могут быть разрешения на добавление нового контента, но не на удаление его. Администратор будет иметь разрешение на выполнение большего количества операций, чем я.

Авторизация — третий шаг контроля доступа.

 

Вывод

Системы контроля доступа предоставляют доступ к ресурсам только пользователям, личность которых подтверждена и которые имеют необходимые разрешения. Для этого нам нужно выполнить три шага:

  • Удостоверение личности
  • Аутентификация
  • Авторизация.

Контроль доступа имеет первостепенное значение для безопасности и фатален для компаний, которые не спроектировали и не внедрили его правильно.

А что насчет вас? Какой процесс вы используете для обеспечения правильного и безопасного контроля доступа к вашим ресурсам и услугам?

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (2 оценок, среднее: 3,00 из 5)
Загрузка...
Поделиться в соц. сетях:


0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

**ссылки nofollow

0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии

Это может быть вам интересно


Рекомендуемое
Xrdp - это реализация протокола удаленного рабочего стола Microsoft (RDP)…

Спасибо!

Теперь редакторы в курсе.