This is the Trace Id: 11f8b4fa88933a941e4cc0f8dba3381d
Перейти к основному контенту Преимущества Microsoft Security Кибербезопасность на базе искусственного интеллекта Безопасность облака Безопасность данных и управление ими Идентификация и доступ к сети Конфиденциальность и управление рисками Защита для ИИ Унифицированные операции по обеспечению безопасности Модель "Никому не доверяй" Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Priva Microsoft Purview Microsoft Sentinel Microsoft Security Copilot Microsoft Entra ID (Azure Active Directory) Microsoft Entra ID для агентов Внешняя идентификация Microsoft Entra Управление Microsoft Entra ID Защита Microsoft Entra ID Интернет-доступ Microsoft Entra Частный доступ Microsoft Entra Управление разрешениями Microsoft Entra Проверенные учетные данные Microsoft Entra Идентификация рабочей нагрузки Microsoft Entra Доменные службы Microsoft Entra Azure Key Vault Microsoft Sentinel Microsoft Defender for Cloud Microsoft Defender XDR Microsoft Defender для конечной точки Microsoft Defender для Office 365 Microsoft Defender для удостоверений Microsoft Defender for Cloud Apps Управление подверженностью риску в Microsoft Security Управление уязвимостями Microsoft Defender Аналитика угроз Microsoft Defender Microsoft Defender Suite для Microsoft 365 бизнес премиум Microsoft Defender для облака Управление состоянием безопасности облака Microsoft Defender Управление направлением внешних атак Microsoft Defender Брандмауэр Azure Брандмауэр веб-приложений Azure Защита от атак DDoS Azure Расширенная защита в GitHub Microsoft Defender для конечной точки Microsoft Defender XDR Microsoft Defender для бизнеса Основные возможности Microsoft Intune Microsoft Defender для Интернета вещей Управление уязвимостями Microsoft Defender Расширенная аналитика Microsoft Intune Управление привилегиями на конечных точках Microsoft Intune Управление корпоративными приложениями Microsoft Intune Удаленная помощь для Microsoft Intune Microsoft Cloud PKI Соответствие требованиям к обмену данными Microsoft Purview Диспетчер соответствия требованиям Microsoft Purview Управление жизненным циклом данных Microsoft Purview Microsoft Purview eDiscovery Аудит Microsoft Purview Управление рисками в Microsoft Priva Запросы субъектов данных Microsoft Priva Управление данными Microsoft Purview Microsoft Purview Suite для Microsoft 365 бизнес премиум Возможности обеспечения безопасность данных в Microsoft Purview Цены Услуги Партнеры Осведомленность о кибербезопасности Истории клиентов Основы безопасности Пробные версии продуктов Признание в отрасли Центр по реагированию на угрозы Блог Microsoft Security Мероприятия Microsoft Security Сообщество технических специалистов Майкрософт Документация Библиотека технических материалов Обучение и сертификация Комплаенс-программа для Microsoft Cloud Центр управления безопасностью Майкрософт Service Trust Portal Microsoft Инициатива «Безопасное будущее» Центр решений для бизнеса Связь с отделом продаж Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 ИИ от Майкрософт Azure Space Смешанная реальность Microsoft HoloLens Microsoft Viva Квантовые вычисления Экологическая устойчивость Образование: Автомобили Финансовые услуги Государственный сектор Здравоохранение Производство Розничная торговля Найти партнера Стать партнером Партнерская сеть Microsoft Marketplace Marketplace Rewards Компании по разработке программного обеспечения Блог Microsoft Advertising Центр разработчиков Документация Мероприятия Лицензирование Microsoft Learn Microsoft Research Посмотреть карту сайта
Два специалиста стоят в офисном коридоре, держа в руках планшет и обсуждая рабочие вопросы.

Что такое проверка подлинности?

Узнайте, как проверяются удостоверения пользователей, приложений и служб, прежде чем им будет предоставлен доступ к цифровым системам и ресурсам.
Откройте для себя Microsoft Entra ID

Проверка подлинности: определение

Проверка подлинности — это процесс, позволяющий компании убедиться, что доступ к ее ресурсам получают только уполномоченные пользователи, службы и приложения с надлежащими разрешениями. Это важный компонент кибербезопасности, поскольку злоумышленники в первую очередь стремятся получить несанкционированный доступ к системам. Для этого они крадут имена и пароли пользователей, имеющих желаемые права доступа. Процесс проверки подлинности включает три основных этапа:
 

  • Идентификация. Чтобы указать, кто запрашивает доступ, обычно используется имя пользователя.
  • Проверка подлинности. Как правило, пользователь вводит пароль (который, по идее, должен знать только он), чтобы подтвердить, что он тот, за кого себя выдает. Но для усиления защиты многие организации требуют, чтобы пользователь прошел еще одну проверку с помощью предмета, которым он обладает (телефон или аппаратный ключ), или индивидуальных особенностей (распознавание отпечатка пальца или лица).
  • Авторизация. Система убеждается, что у пользователя есть права на доступ к системе, которая ему нужна.

Почему важна проверка подлинности?

Важность проверки подлинности заключается в том, что она помогает организациям защищать свои системы, данные, сети, веб-сайты и приложения от вредоносных атак. Она также помогает соблюсти конфиденциальность персональных данных пользователей и снижает риск при выполнении бизнес-операций (например, банковских или инвестиционных) в Интернете. Если процессы проверки подлинности ненадежны, злоумышленнику проще скомпрометировать учетную запись, подобрав пароль или обманом выманив у пользователя сведения о его учетных данных. В результате могут возникнуть следующие риски:
 

Принцип работы проверки подлинности

При проверке подлинности человек указывает свое имя пользователя и пароль и выполняет другие действия, необходимые для идентификации, такие как распознавание лица либо отпечатка пальцев или ввод PIN-кода. В целях защиты удостоверений эти методы проверки подлинности ничего не сохраняют в базе данных службы. Пароли хэшируются, а не шифруются, и в базе данных сохраняются только хэши. Когда пользователь вводит пароль, он тоже хэшируется, после чего полученный хэш сравнивается с тем, который хранится в базе данных. Если они совпадают, доступ предоставляется. Данные об отпечатках пальцев и сканированные изображения лиц кодируются, шифруются и сохраняются на устройстве.

Типы методов проверки подлинности

При использовании современных технологий процесс проверки подлинности выполняет надежная, автономная система идентификации в отличие от традиционных методов, где каждая система самостоятельно проверяет удостоверения. Кроме того, изменились типы применяемых методов проверки подлинности. Большинство приложений по-прежнему требуют вводить имя пользователя и пароль при входе, но поскольку злоумышленники стали применять более искусные методы кражи паролей, сообщество по вопросам безопасности разработало несколько новых методов защиты удостоверений.

Проверка подлинности с использованием паролей

Пароли чаще всего применяются для проверки подлинности. Большинство приложений и служб предписывают пользователям создавать пароли, состоящие из цифр, букв и символов. Считается, что такие пароли труднее разгадать. Однако использование паролей небезопасно и не слишком удобно. Человеку сложно запомнить уникальные пароли для всех своих учетных записей в Интернете, поэтому он часто начинает использовать везде один и тот же пароль. У злоумышленников много тактик, позволяющих разгадать или украсть пароли либо сделать так, чтобы жертва против воли раскрыла эти сведения. По этой причине организации отказываются от паролей, переходя на более безопасные формы проверки подлинности.

Проверка подлинности на базе сертификатов

Проверка подлинности на базе сертификатов — это метод шифрования, позволяющий устройствам и пользователям проходить идентификацию и получать доступ к другим устройствам и системам. Для этого, в частности, используется смарт-карта или отправка цифрового сертификата с устройства сотрудника в сеть или на сервер.

Проверка подлинности с помощью биометрических данных

Этот метод основан на проверке биологических свойств человека. Например, многие пользователи разблокируют свои телефоны с помощью отпечатка пальца, а некоторые компьютеры для проверки личности сканируют лицо или сетчатку глаза. Кроме того, биометрические данные связываются с конкретным устройством, поэтому злоумышленники не могут использовать только биометрию без доступа к требуемому устройству. Этот тип проверки подлинности становится все более популярным, поскольку он очень прост. Людям не нужно ничего запоминать, тогда как злоумышленникам чрезвычайно сложно получить все, что требуется для такой идентификации, а значит, этот способ гораздо безопаснее, чем пароли.

Проверка подлинности с использованием маркеров

При такой проверке подлинности устройство и система каждые 30 секунд создают новый уникальный номер — так называемый TOTP (одноразовый PIN-код с ограниченным сроком действия). Если номера соответствуют, система убеждается, что пользователь применяет надлежащее устройство.

Одноразовый пароль

Одноразовые пароли (OTP) — это коды, создаваемые для конкретного события входа. Срок их действия прекращается вскоре после выпуска. Для их передачи используются SMS-сообщения, электронная почта или аппаратный ключ.

Push-уведомление

Некоторые приложения и службы используют push-уведомления для проверки подлинности пользователей. В этом случае на телефон пользователю приходит сообщение, предлагающее подтвердить или отклонить запрос доступа. Иногда люди случайно подтверждают push-уведомления, даже если сами в этот момент пытаются войти в службу, отправившую уведомление, поэтому такой способ иногда сочетают с OTP. При использовании OTP система генерирует уникальное число, которое пользователь должен ввести. Это позволяет лучше защитить систему проверки подлинности от фишинга.

Проверка подлинности с использованием голоса

При такой проверке человек, который пытается получить доступ к службе, получает телефонный звонок с просьбой ввести код или подтвердить свою личность с помощью голоса.

Многофакторная проверка подлинности

Чтобы сократить риск компрометации учетных записей, лучше всего использовать не менее двух методов проверки подлинности. Для этого пригодятся любые способы из ранее приведенного списка. Как показывает практика, эффективно работает сочетание любых двух нижеперечисленных методов.
 
  • Запрос сведений, которые знает пользователь, например пароля.
  • Использование предмета, который есть у пользователя, в частности, доверенного устройства, копию которого сложно создать (например, телефона или аппаратного ключа).
  • Использование биометрических данных пользователя (например, распознавание отпечатка пальца или лица).
В частности, многие организации, прежде чем предоставить доступ, запрашивают пароль (данные, известные пользователю), после чего отправляют SMS-сообщение с OTP на доверенное устройство (предмет, принадлежащий пользователю).

Двухфакторная проверка подлинности

Двухфакторная проверка подлинности — это вид многофакторной проверки, при котором используются два способа подтверждения личности.

Проверка подлинности и авторизация

Авторизацию (AuthZ) нередко используют вместо проверки подлинности (AuthN) и наоборот. Но хотя эти процессы действительно связаны, они не зависят друг от друга. Проверка подлинности позволяет убедиться, что пользователь, выполняющий вход, действительно тот, за кого себя выдает, тогда как авторизация подтверждает, что у него есть необходимые права на доступ к требуемой ему информации. Например, специалист по кадрам может иметь доступ к системам, содержащим конфиденциальные данные, которые не могут просматривать другие сотрудники, такие как сведения о зарплате или личные дела. И проверка подлинности, и авторизация критически важны для продуктивной работы, а также для защиты конфиденциальных данных, интеллектуальной собственности и неприкосновенности частной жизни.
 

Рекомендации по безопасной проверке подлинности

Поскольку злоумышленники часто прибегают к компрометации учетных записей для получения несанкционированного доступа к корпоративным ресурсам, важно обеспечить надежную и безопасную проверку подлинности. Вот несколько механизмов, которые помогут защитить вашу организацию:

Многофакторная проверка подлинности

Чтобы снизить риск компрометации учетных записей, чрезвычайно важно включить многофакторную проверку подлинности с использованием не менее двух способов идентификации. Злоумышленникам намного сложнее украсть более одного метода проверки подлинности, особенно если один из них является биометрическим или чем-то, принадлежащим пользователю, например, устройством. Чтобы максимально облегчить процесс проверки подлинности для сотрудников, клиентов и партнеров, позвольте им выбрать из нескольких вариантов идентификации. Однако важно заметить, что не все методы проверки подлинности равноценны. Одни из них более надежны, другие — менее. SMS-оповещения — это лучше, чем ничего, однако push-уведомления безопаснее.

Перейдите на доступ без пароля

Если вы настроили многофакторную проверку подлинности, то можете ограничить использование паролей и предложить пользователям пройти две и более идентификационные процедуры, например с применением PIN-кода и биометрии. Минимальное использование или переход на вход без пароля упростит вход и снизит риски компрометации учетных записей.

Защита паролем

Помимо обучения сотрудников, можно использовать инструменты, не позволяющие применять простые пароли, которые легко разгадать. Решения для защиты паролем позволяют избавиться от распространенных паролей, таких как Password1. Вы можете создать для компании или региона собственный список и включить в него распространенные словосочетания, такие как названия достопримечательностей или местных спортивных клубов.

Многофакторная проверка подлинности на базе оценки риска

Некоторые события проверки подлинности принадлежат к числу индикаторов компрометации, например попытка доступа к сети с нового устройства или необычного места. Иногда даже типичные события входа могут нести дополнительный риск, например когда специалисту по кадрам требуется доступ к личным сведениям сотрудника. Чтобы снизить риск, настройте решение для управления идентификацией и доступом (IAM) таким образом, чтобы при обнаружении событий такого типа оно запрашивало не менее двух способов подтверждения личности.

Акцент на удобство использования

Эффективность системы безопасности во многом зависит от содействия со стороны сотрудников и других заинтересованных лиц. Политики безопасности могут помешать пользователям выполнить рискованное действие в сети, но если они слишком обременительны, люди найдут возможность их обойти. Лучше всего, если пользователям не придется совершать непривычные или раздражающие действия. Предоставьте им возможности самостоятельного сброса паролей, чтобы им не приходилось обращаться в службу поддержки, если они забыли пароль. Возможно, тогда они более охотно будут выбирать сложные пароли, зная, что легко могут их сбросить в случае необходимости. Чтобы облегчить процесс входа, позвольте людям выбирать предпочтительный способ проверки подлинности.

Развертывание единого входа

Единый вход позволяет существенно повысить безопасность и сделать вход комфортным для пользователя. Никому не нравится то и дело вводить пароль при переходе от одного приложения к другому, поэтому для экономии времени пользователю гораздо удобнее использовать один и тот же пароль для нескольких учетных записей. Благодаря функции единого входа сотруднику достаточно один раз выполнить вход, чтобы получить доступ ко всем приложениям, которые требуются ему для работы, или большей их части. Такой процесс входа гораздо удобнее, к тому же вы можете настроить универсальные или условные политики безопасности, такие как многофакторная проверка подлинности, для всего программного обеспечения, которым пользуются сотрудники.

Принцип предоставления минимальных прав

Ограничьте количество привилегированных учетных записей в зависимости от ролей и предоставляйте лишь минимальное число привилегий, необходимых сотрудникам для работы. Используйте управление доступом, чтобы сократить число сотрудников, способных получить доступ к самым важным данным и системам. Если кому-то для работы нужны конфиденциальные данные, задействуйте управление привилегированным доступом, например ограниченную по времени JIT-активацию, чтобы еще больше уменьшить риски. Вы также можете потребовать, чтобы административные действия выполнялись только на хорошо защищенных устройствах, а не на компьютерах, которыми сотрудники пользуются для рутинных задач.

Активный поиск уязвимостей и регулярный аудит

Во многих организациях роли сотрудников и статус их занятости регулярно меняются. Люди увольняются или переходят в другие отделы. Партнеры присоединяются к проектам и покидают их. Если это не будет учтено в правилах доступа, возможны проблемы. Важно, чтобы у людей не сохранялся доступ к системам и файлам, которые им больше не требуются для работы. Чтобы снизить риск, связанный с несанкционированным доступом к конфиденциальной информации, используйте решение для управления удостоверениями, позволяющее постоянно проводить аудит учетных записей и ролей. Эти средства помогут вам убедиться, что люди получают доступ лишь к тем ресурсам, которые им действительно нужны, и что учетные записи уволенных сотрудников отключены.

Защита удостоверений от угроз

Решения для управления идентификацией и доступом предоставляют ряд инструментов, помогающих снизить риск компрометации учетных записей, однако стоит быть настороже в ожидании попыток взлома. Даже хорошо обученные сотрудники могут стать жертвами фишинга. Чтобы быстро выявлять скомпрометированные учетные записи, вооружитесь решениями для защиты от угроз, направленных на удостоверения, и настройте политики, позволяющие обнаруживать и блокировать подозрительную активность. Многие современные решения, такие как Microsoft Security Copilot, используют ИИ не только для обнаружения угроз, но и для их автоматической нейтрализации.

Облачные решения для проверки подлинности

Проверка подлинности важна не только для уверенного выполнения программы кибербезопасности, но и для обеспечения продуктивной работы сотрудников. Комплексное облачное решение для управления идентификацией и доступом, такое как Microsoft Entra, предоставит вам средства, с помощью которых пользователи легко получат доступ к ресурсам, необходимым им для работы, а мощные средства контроля помогут защитить учетные данные от компрометации и снизить риск несанкционированного доступа к конфиденциальным данным.
Женщина смотрит на компьютер.

Microsoft Entra ID

Защитите свою организацию с помощью системы управления идентификацией и доступом.
Подробнее
Трое коллег вместе смотрят на ноутбук

Управление Microsoft Entra ID

Автоматизируйте доступ, который должен предоставляться нужным людям к требуемым приложениям и только тогда, когда это необходимо.
Подробнее
Две молодые женщины в залитом солнцем офисе: одна, в очках, работает за ноутбуком; другая, в джинсовой куртке, улыбается глядя на телефон.

Проверенные учетные данные Microsoft Entra

Децентрализуйте удостоверения с помощью службы управляемых проверяемых учетных данных, созданной на основе открытых стандартов.
Подробнее
коллеги просматривают работу на мониторах

Идентификация рабочей нагрузки Microsoft Entra

Обеспечьте защиту удостоверений, предоставленных приложениям и службам, и управление ими.
Подробнее
Назад к разделу "Родственные продукты"
Вопросы и ответы

Вопросы и ответы

  • Существует много разных типов проверки подлинности. Вот несколько примеров.
    • Многие люди используют функцию распознавания лиц или отпечаток пальца для разблокировки своих телефонов. 
    • Банки и другие службы часто требуют, чтобы пользователь при входе вводил пароль и код, который автоматически отправляется в SMS-сообщении. 
    • Для некоторых учетных записей достаточно указать имя пользователя и пароль, но многие организации переходят на многофакторную проверку подлинности, чтобы повысить уровень безопасности.
    • Часто сотрудники, выполнив вход на свои компьютеры, одновременно получают доступ к некоторым другим приложениям. Это называется единым входом.
    • Кроме того, есть учетные записи, позволяющие использовать для входа учетную запись Facebook или Google. В этом случае ответственность за проверку подлинности пользователя и авторизацию в службе, к которой запрашивается доступ, несет Facebook, Google, или корпорация Майкрософт.
  • Облачная проверка подлинности — это служба, которая гарантирует, что доступ к облачным сетям и ресурсам получат только пользователи и приложения с соответствующими разрешениями. Многие облачные приложения имеют встроенную облачную аутентификацию, но существуют и более широкие решения, такие как Microsoft Entra ID, которые предназначены для обработки проверки подлинности в нескольких облачных приложениях и службах. Эти решения обычно применяют протокол SAML, чтобы обеспечить работу единой службы проверки подлинности в различных учетных записях.
  • Авторизацию нередко используют вместо проверки подлинности и наоборот. Но хотя эти процессы действительно связаны, они не зависят друг от друга. Проверка подлинности позволяет убедиться, что пользователь, выполняющий вход, действительно тот, за кого себя выдает, тогда как авторизация подтверждает, что у него есть необходимые права на доступ к требуемой ему информации. Совместное использование этих процессов помогает снизить риск несанкционированного доступа к конфиденциальным данным.
  • Проверка подлинности позволяет убедиться, что пользователи и сущности действительно являются теми, за кого себя выдают, прежде чем предоставить им доступ к цифровым ресурсам и сетям. И хотя основной целью по-прежнему является безопасность, современные решения для проверки подлинности рассчитаны и на удобство пользователей. Например, многие организации внедряют решения единого входа, чтобы сотрудникам было проще получить доступ к ресурсам, которые им требуются для работы. Потребительские службы часто предлагают использовать для входа учетную запись Facebook, Google или Майкрософт, чтобы ускорить процесс проверки подлинности.

Следите за новостями Microsoft Security

Copilot для организаций Microsoft 365 Узнайте больше о продуктах Microsoft Приложения Windows 11 Профиль учетной записи Центр загрузки Поддержка Microsoft Store Возврат товаров Отслеживание заказа Microsoft для образования Устройства для образования Microsoft Teams для образования Microsoft 365 для образования Office для образования Подготовка и профессиональное развитие преподавателей Специальные предложения для учащихся и родителей Azure для учащихся
ИИ от Майкрософт Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Advertising Microsoft 365 Copilot Microsoft Teams Программа Майкрософт для разработчиков Microsoft Learn Поддержка ИИ-приложений на Marketplace Сообщество Microsoft Tech Microsoft Marketplace Microsoft Power Platform Marketplace Rewards Visual Studio Вакансии О корпорации Майкрософт Новости компании Политика конфиденциальности Майкрософт Инвесторы Экологическая устойчивость
Русский (Россия) Конфиденциальность медицинских сведений потребителей Связаться с Майкрософт Конфиденциальность Управление файлами cookie Условия использования Товарные знаки Сведения о рекламе