This is the Trace Id: 61a6f480efc2b51196cab8071d1c2688
Преминаване към основното съдържание Защо Microsoft Security Киберсигурност с подкрепа на ИИ Защита в облака Защита и управление на данните Самоличност и мрежов достъп Поверителност и управление на риска Защита за ИИ Единни операции на защитата Zero Trust Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Priva Microsoft Purview Microsoft Sentinel Microsoft Security Copilot Microsoft Entra ID (Azure Active Directory) ИД на агент на Microsoft Entra Външен ИД на Microsoft Entra Управление на Microsoft Entra ID Защита на Microsoft Entra ID Интернет достъп чрез Microsoft Entra Личен достъп чрез Microsoft Entra Управление на разрешения на Microsoft Entra Проверен ИД на Microsoft Entra ИД на работното натоварване на Microsoft Entra Домейнови услуги на Microsoft Entra Хранилище за ключове на Azure Microsoft Sentinel Microsoft Defender for Cloud Microsoft Defender XDR Microsoft Defender за крайна точка Microsoft Defender за Office 365 Microsoft Defender за самоличност Microsoft Defender for Cloud Apps Управление на нивото на уязвимост на защитата на Microsoft Управление на уязвимости на Microsoft Defender Разузнаване за заплахи на Microsoft Defender Пакет на Microsoft Defender за Business Premium Microsoft Defender за облака Управление на положението на защитата в облака на Microsoft Defender Управление на външна повърхност на атака на Microsoft Defender Усъвършенствана защита на GitHub Microsoft Defender за крайна точка Microsoft Defender XDR Microsoft Defender за бизнеса Основни възможности на Microsoft Intune Microsoft Defender за IoT Управление на уязвимости на Microsoft Defender Разширен анализ на Microsoft Intune Управление на привилегии при крайни точки на Microsoft Intune Управление на корпоративни приложения на Microsoft Intune Дистанционна помощ на Microsoft Intune PKI в облака на Microsoft Съответствие за комуникация на Microsoft Purview Мениджър на съответствията на Microsoft Purview Управление на жизнения цикъл на данните на Microsoft Purview Откриване на електронни данни на Microsoft Purview Проверка на Microsoft Purview Управление на риска на Microsoft Priva Заявки за правата на субект на Microsoft Priva Управление на данни на Microsoft Purview Пакет на Microsoft Purview за Business Premium Възможности на Microsoft Purview за защита на данните Цени Услуги Партньори Осведомяване относно киберсигурността Разкази на клиенти Защита 101 Пробни версии на продукти Признание в отрасъла Microsoft Security Insider Отчет за цифровата защита на Microsoft Център за реагиране за защита Блог за Microsoft Security Събития, свързани със защитата, на Microsoft Техническа общност на Microsoft Документация Библиотека за техническо съдържание Обучение и сертификации Програма за съответствие за Microsoft Cloud Център за сигурност на Microsoft Service Trust Portal Microsoft Инициатива за защитено бъдеще Център за бизнес решения Свържете се с отдела за продажби Започнете безплатно изпробване Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 ИИ на Microsoft Azure Space Смесена реалност Microsoft HoloLens Microsoft Viva Квантови изчисления Устойчивост Образование Автомобилен Финансови услуги Държавни организации Здравеопазване Производство Търговия на дребно Намерете партньор Станете партньор Мрежа от партньори Microsoft Marketplace Marketplace Rewards Компании за разработване на софтуер Блог Реклами на Microsoft Център за разработчици Документация Събития Лицензиране Microsoft Learn Microsoft Research Преглед на картата на сайта
Двама професионалисти стоят заедно в коридор на офис, държат таблет и обсъждат работа.

Какво представлява удостоверяването?

Научете как се проверяват самоличностите на хората, приложенията и услугите, преди да им бъде даден достъп до цифрови системи и ресурси.
Открийте Microsoft Entra ID

Удостоверяването е дефинирано

Удостоверяването е процесът, който фирмите използват, за да потвърдят, че само определени хора, услуги и приложения с правилните разрешения могат да получават достъп до ресурси на организацията. То е важна част от киберсигурността, тъй като приоритет номер едно на злонамерените действащи лица е да получат неупълномощен достъп до системите. Те правят това, като откраднат потребителското име и паролите на потребители, които имат достъп. Процесът на удостоверяване включва три основни стъпки:
 

  • Идентифициране: обикновено потребителите показват кои са чрез потребителско име.
  • Удостоверяване: обикновено потребителите доказват, че са тези, които казват, като въведат парола (нещо, което само потребителят трябва да знае), но за да подсилят защитата, много организации също така изискват от тях да доказват самоличността си с нещо, което имат (телефон или устройство с маркери) или нещо, което са (скенер на пръстови отпечатъци или лица).
  • Упълномощаване: системата проверява дали потребителите имат разрешение за системата, до която се опитват да получат достъп.

Защо е важно удостоверяването?

Удостоверяването е важно, тъй като помага на организациите да защитават своите системи, данни, мрежи, уеб сайтове и приложения от атаки. Също така помага на физическите лица да запазят поверителността на личните си данни, като им дава възможност да извършват бизнес, като например банкиране или инвестиране, онлайн с по-малък риск. Когато процесите за удостоверяване не са добри, е по-лесно атакуващ да компрометира даден акаунт, като отгатне отделни пароли или подмами хората да предадат идентификационните си данни. Това може да доведе до следните рискове:
 

  • Пробив в данните или изтичане на данни.
  • Инсталиране на злонамерен софтуер, например рансъмуер.
  • Несъответствие с регионалните или отрасловите разпоредби за поверителност на данните.

Как работи удостоверяването

За хора удостоверяването включва настройване на потребителско име, парола и други методи за удостоверяване, например сканиране на лице, използване на пръстов отпечатък или ПИН код. За да се защитят самоличностите, никой от тези методи за удостоверяване не се записва в базата данни на услугата. Паролите са хеширани (не шифровани) и хешовете се записват в базата данни. Когато потребител въведе парола, въведената парола също се хешира, а хешовете се сравняват. Ако двата хеша съвпадат, се предоставя достъп. За пръстови отпечатъци и сканирания на лице информацията се кодира, шифрова и записва на устройството.

Типове методи за удостоверяване

При модерното удостоверяване процесът на удостоверяване се делегира на надеждна отделна система за самоличност, за разлика от традиционното удостоверяване, при което всяка система сама проверява самоличностите. Също така е настъпила промяна в типа на използваните методи за удостоверяване. Повечето приложения изискват потребителско име и парола, но тъй като злонамерените действащи лица са се усъвършенствали в кражбата на пароли, общността за защита е разработила няколко нови метода за защита на самоличностите.

Удостоверяване, базирано на парола

Удостоверяването, базирано на парола, е най-често срещаната форма на удостоверяване. Много приложения и услуги изискват от хората да създават пароли, които използват комбинация от цифри, букви и символи, за да се намали рискът лошо действащо лице да ги отгатне. Въпреки това паролите създават предизвикателства, свързани със защитата и използваемостта. Трудно е хората да измислят и запомнят уникална парола за всеки от своите онлайн акаунти, поради което те често използват повторно пароли. И атакуващите използват много тактики, за да отгатнат или откраднат пароли или да примамят хората да ги споделят против волята си. Поради тази причина организациите преминават от пароли към други по-защитени форми на удостоверяване.

Удостоверяване, базирано на сертификат

Удостоверяването, базирано на сертификат, е шифрован метод, който позволява на устройствата и хората да се идентифицират пред други устройства и системи. Два често срещани примера са смарт карта или когато устройство на служител изпраща цифров сертификат към мрежа или сървър.

Удостоверяване с биометрични данни

При удостоверяването с биометрични данни хората потвърждават самоличността си с помощта на биологични характеристики. Например много хора използват пръст или палец, за да влязат в телефоните си, а някои компютри сканират лицето или ретината на човек, за да потвърдят самоличността им. Биометричните данни също са свързани с конкретно устройство, така че атакуващите не могат да ги използват, без да получат достъп и до устройството. Този тип удостоверяване е все по-популярен, защото е лесен за хората – не е необходимо те да запомнят нещо – и е трудно за лошите действащи лица да осъществяват кражби, което го прави по-защитен от паролите.

Удостоверяване, базирано на маркер

При удостоверяване, базирано на маркер, както устройство, така и системата генерират нов уникално число, наречено „базиран на време еднократен ПИН код“ (TOTP) на всеки 30 секунди. Ако числата съвпадат, системата потвърждава, че потребителят има устройството.

Еднократна парола

Еднократните пароли (OTP) са кодове, генерирани за конкретно събитие за влизане, и срокът им изтича скоро след издаването им. Те се доставят чрез SMS съобщения, имейл или хардуерен маркер.

Насочено известие

Някои приложения и услуги използват насочени известия за удостоверяване на потребителите. В тези случаи хората получават съобщение на телефона си с молба да одобрят или отхвърлят искането за достъп. Тъй като понякога хората случайно одобряват насочени известия, въпреки че не се опитват да влязат в услугите, които са изпратили известието, този метод понякога се комбинира с OTP метод. С OTP системата генерира уникален номер, който потребителят трябва да въведе. Това прави удостоверяването по-устойчиво на фишинг.

Гласово удостоверяване

При гласово удостоверяване лицето, което се опитва да получи достъп до услуга, получава телефонно обаждане, в което е помолено да въведе код или да се идентифицира с думи.

Многофакторно удостоверяване

Един от най-добрите начини за намаляване на компрометирането на акаунти е да се изискват два или повече метода за удостоверяване, които може да включват някой от изброените по-рано методи. Ефективна най-добра практика е да изисквате две от следните неща:
 
  • Нещо, което потребителят знае, обикновено парола.
  • Нещо, което има, като например надеждно устройство, което не се дублира лесно, като телефон или хардуерен маркер.
  • Нещо, което е, например пръстов отпечатък или сканиране на лице.
Например много организации искат парола (нещо, което потребителят знае) и също така изпращат OTP чрез SMS до надеждно устройство (нещо, което потребителят има), преди да разрешат достъпа.

Двустепенно удостоверяване

Двустепенното удостоверяване е тип многофакторно удостоверяване, което изисква две форми на удостоверяване.

Сравняване на удостоверяване и упълномощаване

Въпреки че удостоверяването, понякога наричано AuthN, и упълномощаването, понякога наричано AuthZ, често се използват взаимозаменяемо, те са две свързани, но отделни неща. Удостоверяването потвърждава, че потребителят, който влиза, е този, който казва, че е, докато упълномощаването потвърждава, че има правилните разрешения за достъп до информацията, която иска. Например някой в човешките ресурси може да има достъп до чувствителни системи, като заплати или файлове на служители, които другите не могат да виждат. Както удостоверяването, така и упълномощаването са от решаващо значение за продуктивността и защитата на чувствителните данни, интелектуалната собственост и поверителността.
 

Най-добри практики за защита при удостоверяване

Тъй като компрометирането на акаунти е толкова често срещан начин атакуващите да получат неупълномощен достъп до ресурсите на фирма, важно е да се въведе сигурна защита на удостоверяването. Ето няколко неща, които можете да направите, за да защитите организацията си:

Внедряване на многофакторно удостоверяване

Най-важното нещо, което можете да направите, за да намалите риска от компрометиране на акаунта, е да включите многофакторно удостоверяване и да изисквате поне два фактора за удостоверяване. Много по-трудно е атакуващите да откраднат повече от един метод за удостоверяване, особено ако един от тях е биометрични данни или нещо, което потребителят притежава, например устройство. За да опростите максимално нещата за служители, клиентите и партньори, дайте им избор от няколко различни фактора. Въпреки че е важно да се отбележи, че не всички методи за удостоверяване са равностойни. Някои са по-защитени от други. Например въпреки че получаването на SMS е по-добре от нищо, насоченото съобщение е по-защитено.

Преминаване към удостоверяване без парола

След като настроите многофакторно удостоверяване, можете дори да изберете да ограничите използването на пароли и да насърчите хората да използват два или повече от другите методи за удостоверяване, като например ПИН код и биометрични данни. Намаляването на използването на пароли и преминаването към удостоверяване без парола ще опрости процеса на влизане и ще намали риска от компрометиране на акаунти.

Прилагане на защита с парола

В допълнение към образоването на служителите има инструменти, които можете да използвате, за да намалите използването на лесни за отгатване пароли. Решенията за защита с парола ви позволяват да забраните често използвани такива, като например Password1. Също така можете да създадете потребителски списък, който е специфичен за вашата фирма или регион, например с имената на местни спортни отбори или ориентири.

Разрешаване на многофакторното удостоверяване, базирано на риска

Някои събития за удостоверяване са индикатори за компрометиране, например когато служител се опитва да получи достъп до вашата мрежа от ново устройство или странно местоположение. Други събития за влизане може да не са нетипични, но са с по-висок риск, например когато специалист по човешки ресурси се нуждае от достъп до лични данни на служител. За да намалите риска, конфигурирайте решение за управление на самоличности и достъп (IAM), което да изисква поне два фактора за удостоверяване, когато открие тези типове събития.

Приоритизиране на използваемостта

Ефективната защита изисква приемане от служителите и другите заинтересовани лица. Правилата за защита понякога могат да попречат на хората да извършват рискови онлайн дейности, но ако правилата са твърде трудни за използване, хората ще намерят заобиколно решение. Най-добрите решения се съобразяват с реалистичното човешко поведение. Разположете функции като самостоятелно нулиране на пароли, за да се избегне необходимостта хората да се обаждат на помощния център, когато забравят парола. Това също така може да ги насърчи да изберат сигурна парола, тъй като знаят, че ще бъде лесно да я нулират, ако я забравят по-късно. Позволяването на хората да избират кой метод за удостоверяване предпочитат, е друг добър начин да се улесни влизането им.

Разполагане на еднократна идентификация

Една чудесна функция, която подобрява използваемостта и защитата, е еднократната идентификация (SSO). Никой не обича да бъде питан за парола всеки път, когато сменя приложения, и може да бъде насърчен да използва една и съща парола в няколко акаунта, за да спести време. С еднократната идентификация служителите трябва да влязат само веднъж, за да имат достъп до повечето или всички приложения, от които се нуждаят за работа. Това намалява конфликтите и ви позволява да прилагате универсални или условни правила за защита, като многофакторно удостоверяване, към всички софтуерни програми, използвани от служителите.

Използвайте принципа за най-малко привилегии

Ограничете броя на привилегированите акаунти въз основа на ролите и дайте на хората минималните привилегии, необходими за изпълнение на техните задачи. Установяването на управление на достъпа помага да се гарантира, че по-малко хора могат да стигнат до вашите най-важни данни и системи. Когато някой трябва да изпълни чувствителна задача, използвайте управление на привилегирования достъп, например активиране „точно навреме“ с определена продължителност, за да намалите допълнително риска. Това също така помага да се изисква административните дейности да се извършват само на силно защитени устройства, които са отделно от компютрите, които хората използват за ежедневни задачи.

Не изключвайте вероятността от пробиви в защитата и извършвайте редовни проверки

В много организации ролите и състоянието на заетост на хората се променят редовно. Служители напускат фирмата или сменят отделите. Партньорите се включват и напускат проекти. Може да е проблем, когато правилата за достъп не са в крак с промените. Важно е да се гарантира, че хората не запазват достъпа до системи и файлове, от които вече не се нуждаят за работата си. За да намалите риска атакуващият да получи чувствителна информация, използвайте решение за управление на самоличности, което да ви помогне да проверявате непрекъснато акаунтите и ролите си. Тези инструменти също така ви помагат да гарантирате, че хората имат достъп само до това, което им трябва, и че акаунтите за хората, които са напуснали организацията, вече не са активни.

Защита на самоличностите от заплахи

Решенията за управление на самоличности и достъп предлагат много инструменти, които да ви помогнат да намалите риска от компрометиране на акаунти, но все пак е разумно да не изключвате вероятността за пробив в защитата. Дори добре образованите служители понякога се попадат в капана на фишинг измамите. За да откривате на ранен етап компрометиране на акаунти, инвестирайте в решения за защита от заплахи за самоличностите и внедрявайте правила, които ви помагат да откривате и отговаряте на подозрителна дейност. Много съвременни решения, например Microsoft Security Copilot, използват ИИ не само за откриване на заплахи, но и за автоматична реакция на тях.

Решения за удостоверяване в облака

Удостоверяването е от решаващо значение както за силната програма за киберсигурност, така и за осигуряването на възможности за продуктивност на работниците. Едно цялостно, базирано в облака решение за управление на самоличности и достъп, например Microsoft Entra, ви предоставя инструменти, които да помогнат на хората лесно да получат това, което им е необходимо, за да вършат работата си, като същевременно прилага мощни контроли за намаляване на риска атакуващите да компрометират даден акаунт и да получат достъп до чувствителни данни.
Жена гледа компютъра.

Microsoft Entra ID

Защитете своята организация с управление на самоличности и достъп.
Научете повече
Трима колеги гледат заедно лаптоп

Управление на Microsoft Entra ID

Автоматично се уверявайте, че правилните хора имат правилния достъп до правилните приложения в правилния момент.
Научете повече
Две млади жени в осветен от слънце офис: едната с очила работи на лаптоп; другата с дънково яке се усмихва пред телефона си.

Проверен ИД на Microsoft Entra

Децентрализирайте самоличностите си с управлявана услуга за идентификационни данни, която може да бъде проверена въз основа на отворените стандарти.
Научете повече
Колеги преглеждат работа на монитори

ИД на работното натоварване на Microsoft Entra

Управлявайте и защитавайте самоличностите, предоставени на приложения и услуги.
Научете повече
Връщане към раздела за сродни продукти
ЧЗВ

Често задавани въпроси

  • Има много различни типове удостоверяване. Някои примери са:
    • Много хора влизат в телефоните си с помощта на лицево разпознаване или пръстов отпечатък. 
    • Банки и други услуги често изискват от хората да влизат с парола, както и код, който се изпраща автоматично чрез SMS. 
    • Някои акаунти изискват само потребителско име и парола, въпреки че много организации преминават към многофакторно удостоверяване, за да увеличат защитата.
    • Служителите често влизат в компютъра си и получават достъп до няколко различни приложения едновременно, което е известно като еднократна идентификация.
    • Има и акаунти, които позволяват на потребителите да влизат с акаунт за Facebook или Google. В този случай Facebook, Google или Microsoft носи отговорност за удостоверяването на потребителя и подаването на упълномощаването към услугата, до която потребителят иска да получи достъп.
  • Удостоверяването в облака е услуга, която потвърждава, че само правилните хора и приложения с правилните разрешения могат да получат достъп до мрежи и ресурси в облака. Много приложения в облака имат вградено удостоверяване, което е базирано в облака, но има и по-широкомащабни решения, например Microsoft Entra ID, които са предназначени да обработват удостоверяването в множество приложения и услуги в облака. Тези решения обикновено използват протокола SAML, за да разрешат една услуга за удостоверяване да работи в няколко акаунта.
  • Въпреки че удостоверяването и упълномощаването често се използват взаимозаменяемо, те са две свързани, но отделни неща. Удостоверяването потвърждава, че потребителят, който влиза, е този, който казва, че е, докато упълномощаването потвърждава, че има правилните разрешения за достъп до информацията, която иска. Използвани заедно, удостоверяването и упълномощаването спомагат за намаляване на риска атакуващ да получи достъп до чувствителни данни.
  • Удостоверяването се използва, за да се провери дали хората и обектите са тези, които казват, че са, преди да им се предостави достъп до цифрови ресурси и мрежи. Въпреки че основната цел е защитата, съвременните решения за удостоверяване също така са предназначени да подобрят използваемостта. Например много организации реализират решения за еднократна идентификация, за да улеснят служителите в намирането на това, което им е необходимо, за да вършат работата си. Потребителските услуги често позволяват на хората да влизат със своя акаунт за Facebook, Google или Microsoft, за да ускорят процеса на удостоверяване.

Следвайте Microsoft Security

Copilot за организации Copilot за лична употреба Microsoft 365 Приложения за Windows 11 Профил на акаунт Център за изтегляния Връщания Проследяване на поръчка Рециклиране Commercial Warranties Microsoft Education Устройства за образование Microsoft Teams за образование Microsoft 365 Education Office Education Обучение и развитие на преподаватели Оферти за учащи и родители Azure за учащи
ИИ на Microsoft Microsoft Security Azure Dynamics 365 Microsoft 365 Реклами на Microsoft Microsoft 365 Copilot Microsoft Teams Разработчик на Microsoft Microsoft Learn Поддръжка за marketplace AI приложения Техническа общност на Microsoft Microsoft Marketplace Microsoft Power Platform Marketplace Rewards Visual Studio Кариери Поверителност в Microsoft Инвеститори устойчивост
Български (България) Поверителност на здравето на потребителите Връзка с Microsoft Поверителност Управление на бисквитките Условия за използване Търговски марки За нашите реклами EU Compliance DoCs