This is the Trace Id: dcd2b861b04c843aac7fc096ec1001ff
Перейти до основного Переваги Захисного комплексу Microsoft Кібербезпека на основі ШІ Безпека в хмарі Безпеки й система керування даними Доступ до ідентичностей і мережі Захист конфіденційності та керування ризиками Захист для ШІ Уніфіковані операції системи безпеки Нульова довіра Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Priva Microsoft Purview Microsoft Sentinel Microsoft Security Copilot Ідентифікатор Microsoft Entra (колишня назва – Azure Active Directory) Ідентифікатор агента Microsoft Entra Зовнішній ID Microsoft Entra Керування ідентифікатором Microsoft Entra Захист ідентифікатора Microsoft Entra Інтернет-доступ через Microsoft Entra Приватний доступ через Microsoft Entra Керування дозволами Microsoft Entra Підтверджувані ID Microsoft Entra ID робочих навантажень Microsoft Entra Доменні служби Microsoft Entra Сховище ключів Azure Microsoft Sentinel Microsoft Defender for Cloud Microsoft Defender XDR Microsoft Defender для кінцевих точок Microsoft Defender для Office 365 Microsoft Defender для захисту ідентичності Microsoft Defender for Cloud Apps Керування вразливістю за допомогою Захисного комплексу Microsoft Керування уразливостями у Microsoft Defender Аналіз загроз Microsoft Defender Пакет Microsoft Defender для передплати Business преміум Microsoft Defender for Cloud Керування захищеністю хмари в Microsoft Defender Керування векторами зовнішніх атак у Microsoft Defender Розширені засоби захисту в GitHub Microsoft Defender для кінцевих точок Microsoft Defender XDR Microsoft Defender для бізнесу Основні можливості Microsoft Intune Microsoft Defender для Інтернету речей Керування уразливостями у Microsoft Defender Розширена аналітика Microsoft Intune Керування привілеями комп’ютерів у Microsoft Intune Керування корпоративними програмами в Microsoft Intune Віддалена допомога Microsoft Intune Microsoft Cloud PKI Відповідність спілкування у Microsoft Purview Диспетчер відповідності для Microsoft Purview керування життєвим циклом даних на Microsoft Purview Засіб витребування електронної інформації в Microsoft Purview Аудит для Microsoft Purview Система керування ризиками Microsoft Priva Система запитів про права суб’єктів даних Microsoft Priva Керування даними Microsoft Purview Пакет Microsoft Purview для передплати Business преміум Можливості захисту даних у Microsoft Purview Ціни Послуги Партнери Поінформованість про кібербезпеку Історії клієнтів Основи безпеки Ознайомлювальні версії продуктів Визнання в галузі Microsoft Security Insider Звіт про цифровий захист (Digital Defense Report) від корпорації Майкрософт Центр реагування на кіберзагрози Блоґ про Захисний комплекс Microsoft Заходи, присвячена Захисному комплексу Microsoft Спільнота технічних спеціалістів Microsoft Документація Бібліотека технічного вмісту Навчання та сертифікація Програма забезпечення відповідності вимогам для Microsoft Cloud Центр безпеки та конфіденційності Microsoft Портал надійності Microsoft Ініціатива щодо безпечного майбутнього Центр рішень для бізнесу Зв’язатися з відділом збуту Почати безкоштовне ознайомлення Захисний комплекс Microsoft Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space Гібридна реальність Microsoft HoloLens Microsoft Viva Квантові обчислення Сталий розвиток Освіта Автомобілі Фінансові послуги Державні установи Охорона здоров’я Виробництво Торгівля Знайти партнера Стати партнером Мережа партнерів Microsoft Marketplace Marketplace Rewards Компанії з розробки програмного забезпечення Блоґ Microsoft Advertising Центр розробників Документація Заходи Ліцензування Microsoft Learn Дослідження Microsoft Переглянути карту сайту
Двоє фахівців стоять в офісному коридорі, тримаючи планшет і обговорюючи роботу.

Що таке автентифікація?

Дізнайтеся про підтвердження ідентичностей осіб, програм і служб для надання їм доступу до цифрових систем та ресурсів.
Дізнайтеся більше про Microsoft Entra ID

Визначення автентифікації

Автентифікація – це процес підтвердження того, що лише користувачі, служби й програми з належними дозволами можуть отримувати доступ до корпоративних ресурсів. Автентифікація – важлива складова кібербезпеки, оскільки основне завдання зловмисників полягає в отриманні несанкціонованого доступу до систем. Для цього вони викрадають імена й паролі тих користувачів, які вже мають доступ. Нижче наведено три основні кроки, які включає автентифікація.
 

  • Ідентифікація. Це процедура розпізнавання осіб у системі (переважно за допомогою імен користувачів).
  • Автентифікація. Зазвичай користувачі підтверджують свої ідентичності за допомогою чогось, що знають лише вони, як-от паролів. Однак для посилення захисту багато організацій також вимагають підтверджувати ідентичності за допомогою чогось, що мають користувачі (телефону, апаратного ключа тощо) чи чогось, що належить виключно їм (відбитка пальця або обличчя).
  • Авторизація. Система перевіряє, чи мають користувачі дозвіл на доступ до системи.

Чому автентифікація важлива?

Автентифікація важлива, оскільки допомагає організаціям захищати системи, дані, мережі, веб-сайти й програми від атак. Крім того, вона допомагає окремим користувачам забезпечувати конфіденційність персональних даних і вести бізнес, зокрема у сфері банкінгу або інвестицій, онлайн із меншим ризиком. Якщо автентифікація слабка, зловмисникам простіше зламувати облікові записи. Вони або вгадують паролі користувачів, або обманним шляхом змушують жертв передати облікові дані. Це може призвести до таких ризиків:
 

  • порушення безпеки даних або їх ексфільтрації;
  • інсталяції зловмисних програм, зокрема таких, що вимагають викупу;
  • невідповідності регіональним або галузевим нормам щодо конфіденційності даних.

Як працює автентифікація

Щоб пройти автентифікацію, людям потрібно ввести імена користувачів, паролі або PIN-коди, просканувати обличчя чи відбитки пальців тощо. Захист ідентичностей забезпечується за рахунок того, що жоден із цих способів автентифікації не зберігається в базі даних служби. Паролі гешуються (не шифруються), і геші зберігаються в базі даних. Коли користувач намагається ввійти за допомогою пароля, введений пароль повторно гешується, а потім порівнюється з тим, що зберігається в базі даних. Якщо два геші збігаються, користувач отримує доступ. Якщо використовується сканування відбитків пальців або облич, відповідна інформація кодується, шифрується й зберігається на пристрої.

Способи автентифікації

Сучасні способи автентифікації передбачають делегування відповідних процесів довіреній окремій системі ідентифікації (на відміну від традиційних, під час яких кожна система підтверджує ідентичності самостійно). Крім того, змінилися типи використовуваних способів автентифікації. Щоб отримати доступ до більшості програм, потрібно ввести ім’я користувача й пароль. Однак оскільки зловмисники вдосконалили свої методи викрадення паролів, спільнота фахівців із кібербезпеки розробила кілька нових способів захисту ідентичностей.

Автентифікація за паролем

Автентифікація за паролем – це найпоширеніша форма автентифікації. Правила створення паролів багатьох програм і служб полягають у тому, щоб люди використовували комбінації цифр, літер та символів. Це дає змогу зменшити ризик того, що зловмисники вгадають їх. Однак застосування паролів також призводить до проблем із безпекою та зручністю використання. Людям важко придумувати й запям’ятовувати унікальні паролі для кожного з онлайнових облікових записів, тому вони часто використовують їх повторно. Зловмисники використовують багато тактик, щоб угадувати або викрадати паролі чи обманним шляхом примушувати користувачів ділитися ними. Саме тому організації відмовляються від паролів і переходять до надійніших форм автентифікації.

Автентифікація за сертифікатом

Автентифікація за сертифікатом – це зашифрований метод, який дає пристроям і користувачам змогу ідентифікувати себе для інших пристроїв та систем. Два поширені приклади – смарт-картка або надсилання цифрового сертифіката до мережі чи сервера з пристрою працівника.

Біометрична автентифікація

Біометрична автентифікація – це спосіб підтвердження ідентичностей користувачів на основі їхніх антропометричних характеристик. Наприклад, багато людей використовують відбитки пальців для розблокування телефонів або сканування облич чи сітківок для перевірки ідентичностей на деяких комп’ютерах. Біометричні дані зв’язані з певним пристроєм, тому зловмисники не можуть використовувати їх без доступу до нього. Цей тип автентифікації стає дедалі популярнішим, оскільки він досить простий (користувачам не потрібно нічого запам’ятовувати) і надійніший за паролі (зловмисникам важко викрасти облікові дані).

Автентифікація за маркером

Це спосіб автентифікації, за якого пристрій і система кожні 30 секунд генерують новий унікальний набір цифр – одноразовий пароль на основі часу (TOTP). Якщо цифри збігаються, система підтвердить наявність пристрою в користувача.

Одноразовий пароль

Одноразові паролі – це коди, згенеровані лише для певного сеансу автентифікації й дійсні протягом обмеженого проміжку часу. Користувачі отримують їх текстовим повідомленням, електронною поштою або через апаратний ключ.

Push-сповіщення

Щоб автентифікувати користувачів, деякі програми й служби використовують push-сповіщення. У такому разі на телефони людей надходять повідомлення з проханням затвердити або відхилити запит на доступ. Іноді користувачі випадково приймають push-сповіщення, навіть якщо намагаються ввійти в систему служби, яка їх надіслала. Саме тому цей спосіб автентифікації іноді використовується разом з одноразовими паролями. У такому разі система генерує унікальний код, який користувач має ввести. Це робить автентифікацію більш стійкою від фішингу.

Голосова автентифікація

Принцип дії голосової автентифікації: користувач, який намагається отримати доступ до служби, має відповісти на телефонний виклик і ввести код або ідентифікувати себе усно.

Багатофакторна автентифікація

Один із найкращих способів зменшити ризик порушення безпеки облікових записів – вимагати від користувачів проходити дві або більше автентифікації, які можуть включати будь-який із перелічених вище способів. Для забезпечення ефективного захисту радимо вимагати від користувачів надавати будь-які два наведені нижче фрагменти інформації.
 
  • Щось, що знає лише користувач, як-от пароль.
  • Щось, що є лише в користувача, зокрема надійний пристрій, який важко дублювати (наприклад, телефон або апаратний ключ).
  • Щось, що належить лише користувачу, зокрема відбиток пальця або обличчя.
Щоб надати доступ до ресурсів, багато організацій запитують пароль (щось, що знає лише користувач), а також надсилають SMS-повідомлення з одноразовим паролем на надійний пристрій (щось, що є лише в користувача).

Двофакторна автентифікація

Двофакторна автентифікація – це тип багатофакторної автентифікації, який полягає у використанні двох форм підтвердження ідентичності.

Автентифікація та авторизація

Автентифікація й авторизація часто використовуються взаємозамінно. Попри те, що ці поняття тісно пов’язані між собою, вони мають відмінності. Автентифікація допомагає підтвердити ідентичність користувача, а авторизація – його право на отримання доступу до бажаної інформації. Наприклад, працівники відділу кадрів можуть мати доступ до делікатних систем, зокрема з відомостями про заробітну плату або файлами співробітників, які інші користувачі не бачать. Автентифікація й авторизація мають вирішальне значення для забезпечення продуктивності, а також захисту делікатних даних, інтелектуальної власності та конфіденційності.
 

Практичні поради щодо безпеки автентифікації

Порушення безпеки облікових записів – це поширений спосіб отримання зловмисниками несанкціонованого доступу до корпоративних ресурсів. Саме тому важливо гарантувати надійний рівень безпеки автентифікації. Нижче наведено поради щодо того, як захистити вашу організацію.

Упровадьте багатофакторну автентифікацію

Найважливіше, що можна зробити для зменшення ризику порушення безпеки облікових записів, – увімкнути багатофакторну автентифікацію й вимагати від користувачів надавати щонайменше два фактори автентифікації. Зловмисникам набагато складніше викрадати дані, якщо ви використовуєте більше одного методу автентифікації (особливо ідентифікацію з використанням біометричних даних або чогось такого, що є лише в користувача, наприклад пристрою). Щоб максимально спростити процес підтвердження ідентичностей для працівників, клієнтів і партнерів, запропонуйте їм кілька різних факторів на вибір. Важливо зауважити, що не всі способи автентифікації однаково надійні. Деякі є безпечнішими за інші. Наприклад, push-сповіщення є надійнішим способом автентифікації, як порівняти з SMS-повідомленнями.

Забезпечте безпарольний доступ

Налаштувавши багатофакторну автентифікацію, ви зможете частково або повністю відмовитися від паролів і запропонувати працівникам використовувати два (або більше) інші способи автентифікації, як-от PIN-коди й біометрію. Якщо частково або повністю відмовитися від паролів, ви зможете спростити вхід і зменшити ризик порушення безпеки облікових записів.

Застосуйте захист паролем

Щоб зменшити використання простих паролів, можна не лише навчати цьому працівників, а й застосовувати деякі спеціальні інструменти. Рішення для захисту паролем дають змогу забороняти використовувати поширені паролі, як-от Password1. Крім того, ви можете створити налаштовуваний список паролів, які складатимуться зі слів, пов’язаних із вашою компанією або регіоном, як-от назв місцевих спортивних команд чи визначних пам’яток.

Увімкніть багатофакторну автентифікацію на основі оцінювання ризиків

Деякі способи автентифікації допомагають розпізнавати порушення безпеки, зокрема інциденти, коли користувачі намагаються отримати доступ до мережі з нового пристрою або підозрілого розташування. Інші події входу можуть бути типовими, але мати вищий ризик. Зокрема, ідеться про ситуації, коли спеціалісту відділу управління персоналом потрібен доступ до персональних даних працівників. Щоб зменшити ризик, налаштуйте рішення для керування ідентичностями й доступом (IAM) так, щоб воно вимагало принаймні два фактори автентифікації в разі виявлення відповідних інцидентів.

Надавайте перевагу зручності використання

Щоб забезпечити ефективний захист, потрібно залучити до цього процесу працівників та інших зацікавлених сторін. Політики безпеки іноді можуть допомагати користувачам уникати ризикованих дій в Інтернеті. Однак якщо вони занадто обтяжливі, існує інший спосіб вирішення проблеми. Він полягає у використанні рішень на основі реалістичної поведінки користувачів. Розгортайте такі функції, як самостійне скидання паролів, щоб користувачам не потрібно було телефонувати до служби підтримки в разі, якщо вони забудуть їх. Крім того, це спонукатиме їх вибирати надійні паролі, оскільки вони знатимуть, що зможуть легко скинути їх у разі, якщо забудуть. Дозволити користувачам вибирати способи авторизації – ще один чудовий спосіб спростити процес входу.

Розгорніть систему єдиного входу

Єдиний вхід – це функція для оптимізації зручності використання й захисту. Користувачам не подобається вводити пароль щоразу, коли вони переходять між програмами. Це спонукає їх використовувати однакові паролі для кількох облікових записів і в такий спосіб заощаджувати час. Завдяки цій функції працівникам потрібно ввійти в систему лише один раз, щоб отримувати доступ до більшості або всіх робочих програм. Це спрощує роботу та дає змогу застосовувати універсальні або умовні політики безпеки, як-от багатофакторну автентифікацію, до всього програмного забезпечення, яке використовують працівники.

Використовуйте принцип надання доступу з мінімальними правами

Обмежте кількість привілейованих облікових записів на основі ролей і надайте користувачам рівень доступу з мінімальними правами, необхідний для виконання робочих завдань. Упровадження керування доступом – запорука того, що менше користувачів зможуть отримати доступ до ваших найважливіших даних і систем. Якщо користувачу для роботи потрібні делікатні дані, скористайтеся засобом керування привілейованим доступом, як-от тимчасовою активацією, щоб максимально зменшити ризик порушення безпеки даних. Крім того, так ви зможете гарантувати, що адміністративні дії виконуються виключно на захищених пристроях, а не тих, які використовуються для повсякденних завдань.

Розглядайте кожен запит як порушення безпеки й регулярно проводьте перевірки

У багатьох організаціях ролі й статус зайнятості працівників постійно змінюються. Вони звільняються або переходять в інші відділи. Партнери запускають і завершують проекти. Якщо вчасно не міняти правила доступу, це може спричинити проблеми. Важливо впевнитися, що користувачі не мають доступу до систем і файлів, які більше не потрібні їм для виконання роботи. Щоб зменшити ризик заволодіння зловмисниками делікатною інформацією та послідовно перевіряти облікові записи й ролі, використовуйте рішення для керування ідентичностями. Ці інструменти гарантуватимуть, що користувачі матимуть доступ лише до потрібних їм даних, а також що облікові записи працівників, які звільнилися з організації, більше не активні.

Захищайте ідентичності від загроз

Рішення для керування ідентичностями й доступом пропонують багато інструментів, які допомагають знизити ризик порушень безпеки облікових записів. Однак варто все одно розглядати кожен запит як порушення захисту. Навіть дуже грамотні працівники іноді стають жертвами фішингу. Щоб виявляти порушення безпеки облікових записів на ранніх етапах, інвестуйте в рішення для захисту ідентичностей від загроз і впроваджуйте політики, які допомагають ідентифікувати підозрілі дії та реагувати на них. Багато сучасних рішень, як-от Microsoft Security Copilot, використовують штучний інтелект, щоб не лише виявляти загрози, а й автоматично реагувати на них.

Рішення для хмарної автентифікації

Автентифікація має важливе значення як для гарантування надійності стратегії кібербезпеки, так і для забезпечення продуктивності працівників. Комплексне хмарне рішення для керування ідентичностями та доступом, як-от Microsoft Entra, забезпечує інструменти, які допоможуть користувачам легко отримувати доступ до ресурсів, які потрібні їм для виконання робочих завдань. Крім того, воно використовує потужні елементи керування, які зменшують ризик порушення безпеки облікових записів і отримання зловмисниками доступу до делікатних даних.
Жінка дивиться на екран комп’ютера.

Microsoft Entra ID

Захистіть свою організацію за допомогою рішень для керування ідентичностями й доступом.
Дізнайтеся більше
Троє колег дивляться на ноутбук разом

Керування ідентифікатором Microsoft Entra

Забезпечуйте відповідним користувачам належний рівень доступу до необхідних програм у потрібний час, використовуючи засоби автоматизації.
Дізнайтеся більше
Дві молоді жінки в освітленому сонцем офісі: одна в окулярах працює на ноутбуці; інша в джинсовій куртці посміхається, дивлячись у телефон.

Підтверджувані ID Microsoft Entra

Децентралізуйте ідентичності за допомогою керованої служби офіційних посвідчень, заснованої на відкритих стандартах.
Дізнайтеся більше
колеги переглядають роботу на моніторах

ID робочих навантажень Microsoft Entra

Контролюйте й убезпечуйте ідентичності, які використовуються для отримання доступу до програм і служб.
Дізнайтеся більше
Повернутися до розділу "Пов’язані продукти"
Запитання й відповіді

Запитання й відповіді

  • Існує багато різних способів автентифікації. Нижче наведено кілька прикладів.
    • Сканування облич або відбитків пальців для розблокування телефонів. 
    • Використання паролів і кодів, автоматично відправлених через SMS, для входу в системи банків та інших служб. 
    • Використання лише імен користувачів і паролів для входу в деякі облікові записи (однак варто зазначити, що багато організацій, прагнучи посилити свій захист, переходять до багатофакторної автентифікації).
    • Вхід у систему на комп’ютері й отримання доступу одночасно до кількох різних програм (єдиний вхід).
    • Використання облікових записів Facebook або Google для входу в системи. У такому разі Facebook, Google або корпорація Майкрософт несуть відповідальність за автентифікацію й авторизацію користувачів у службі, до якої вони хочуть отримати доступ.
  • Хмарна автентифікація – це служба, яка допомагає забезпечувати належний рівень доступу до хмарних мереж і ресурсів для відповідних користувачів і програм. Багато хмарних програм мають вбудовану автентифікацію. Проте для керування автентифікацією в кількох хмарних програмах і службах використовуються розширені рішення, як-от Microsoft Entra ID. Вони зазвичай працюють на базі протоколу SAML, що дає змогу використовувати одну службу автентифікації для кількох облікових записів.
  • Автентифікація й авторизація часто використовуються взаємозамінно. Попри те, що ці поняття тісно пов’язані між собою, вони мають відмінності. Автентифікація допомагає підтвердити ідентичність користувача, а авторизація – його право на отримання доступу до бажаної інформації. Спільне використання автентифікації й авторизації допомагає зменшити ризик того, що зловмисник отримає доступ до делікатних даних.
  • Автентифікація використовується для того, щоб переконатися, що користувачі й сутності є тими, за кого себе видають, перш ніж надавати їм доступ до цифрових ресурсів і мереж. Її основна мета – забезпечити захист. Однак сучасні рішення для автентифікації також призначені для покращення зручності використання. Наприклад, багато організацій упроваджують рішення для єдиного входу, щоб працівникам було простіше знаходити ресурси, необхідні для виконання робочих завдань. Для входу в служби для споживачів користувачі часто використовують облікові записи Facebook, Google або Microsoft і в такий спосіб прискорюють процес автентифікації.

Підпишіться на новини про Захисний комплекс Microsoft

Copilot для організацій Copilot для особистого використання Microsoft 365 Ознайомтеся з продуктами Microsoft Програми для Windows 11 Профіль облікового запису Центр завантажень Повернення Відстеження замовлення Microsoft для освіти Пристрої для освіти Microsoft Teams для освіти Microsoft 365 Education Office Education Підвищення кваліфікації викладачів Спеціальні пропозиції для студентів і батьків Azure для студентів
ШІ від Microsoft Захисний комплекс Microsoft Azure Dynamics 365 Microsoft 365 Microsoft Advertising Microsoft 365 Copilot Microsoft Teams Розробник Microsoft Microsoft Learn Підтримка ШІ-програм на Marketplace Технічна спільнота Microsoft Microsoft Marketplace Microsoft Power Platform Marketplace Rewards Visual Studio Вакансії Конфіденційність у Microsoft Інвестори Сталий розвиток
Українська (Україна) Конфіденційність інформації про здоров’я споживачів Звернутися до корпорації Microsoft Конфіденційність Керування файлами cookie Умови використання Товарні знаки Відомості про рекламу