Ano ang authentication? Iba't ibang paraan ng authentication

Ang authentication ay ang proseso ng pag-alam kung sino ang iyong kakampi at kung sino ang kaaway, at ang pag-alam sa kaaway ay kalahati na lamang ng laban. Ito ang unang checkpoint sa proseso ng pag-verify na ang isang user, device, o system ay kung sino talaga o kung ano ang inaangkin nito para sa anumang kahilingan sa pag-access.

Nagsa-sign in man ang isang user sa email, nag-a-access sa isang web application, kumokonekta sa isang VPN, o nagla-log in sa isang internal dashboard, tinutukoy ng authentication kung mapagkakatiwalaan ang pagkakakilanlan sa likod ng kahilingan. Ang access sa serbisyo ay ibinibigay lamang sa user pagkatapos makumpleto ang authentication. 

Ang mahinang authentication ay maaaring maging dahilan upang maging walang saysay ang lahat ng iba pang hakbang sa seguridad. Hindi kailangan ng mga attacker ng mga advanced exploit kung maaari lang silang mag-log in bilang isang lehitimong user. 

Nang walang karagdagang abala, ating talakayin kung ano talaga ang authentication at kung paano gumagana ang iba't ibang pamamaraan ng authentication.

Ano ang pagpapatunay?

Ang authentication ay ang proseso ng pag-verify ng isang pagkakakilanlan na nakakatulong na protektahan ang parehong digital at pisikal na mga mapagkukunan. Ito ay isang pangunahing bahagi ng pagpapanatili ng integridad at pagiging kumpidensyal ng sensitibong data.

Ang authentication ay nagbibigay-daan sa mga kumpanya na kumpirmahin na tanging ang mga tamang tao, serbisyo, at app na may tamang pahintulot ang makaka-access sa mga mapagkukunan ng organisasyon. Nalalapat din ito sa mga pagkakakilanlang hindi pantao tulad ng mga server, web application, at iba pang mga makina at workload.

Ang authentication ay nakasalalay sa simpleng prinsipyo ng paghahambing ng mga kredensyal na ibinigay laban sa isang awtorisadong database o authentication server. Kung ang mga kredensyal ay tumutugma sa mga nakatala, ang access ay ipinagkakaloob, at kung hindi, ito ay tatanggihan. Pinipigilan ng prosesong ito ang hindi awtorisadong pag-access at pinoprotektahan ang sensitibong impormasyon.

Ang modernong authentication ay lumampas na sa mga simpleng password. Sa kasalukuyan, ang mga organisasyon ay gumagamit ng mga multi-layered na paraan ng pag-verify na pinagsasama ang isang bagay na alam ng user, isang bagay na mayroon sila, at isang bagay na sila mismo.

Paano gumagana ang pagpapatotoo

Sa batayan nito, sinusuri ng authentication kung pinagkakatiwalaan ng system kung sino ang gumagawa ng request. Maaari itong hatiin sa mga sumusunod na pangunahing hakbang:

1. Pagkumpirma ng pagkakakilanlan: Pag-verify na ang tao o sistemang humihiling ng access ay gumagamit ng mga lehitimong kredensyal. 
2. Pagsusuri ng mga kredensyal: Pagsusuri sa kabuuan ng database upang matukoy kung sino at aling user ang gumawa ng kahilingan, upang maibigay ang kasunod na access.
3. Awtorisasyon ng pag-access: Pagpapagana ng access sa mga serbisyong magagamit ng user.

Ang halaga ng pahintulot na ipinagkaloob ay batay sa mga patakarang ibinigay sa user ID na humiling ng access, at tanging ang mga serbisyo at application na pinahihintulutan sa loob ng mga hangganang iyon ang magagamit ng user. 

Papel ng pagpapatunay sa seguridad

Ang pagpapatunay ang pundasyon para sa lahat mga solusyon sa pamamahala ng pagkakakilanlan at pag-access, na responsable sa pamamahala ng mga pagkakakilanlan ng user, ng kanilang tinukoy na lifecycle, at ng kanilang mga pahintulot sa pag-access sa loob ng sistema ng isang organisasyon. 

Ang pagpapatupad ng mga pagsusuri sa pagpapatotoo ay lubhang nagpapababa sa panganib ng hindi awtorisadong pag-access at mga paglabag sa datos, kaya pinoprotektahan ang anuman at lahat ng datos ng organisasyon at privacy ng gumagamit. Ang ganitong planado at sistematikong kontrol ang susi sa pagpapatupad ng mga kontrol sa pag-access at pamamahala ng seguridad ng mga network at sistema ng isang organisasyon.

Pagpapatotoo vs awtorisasyon

Bago tayo magpatuloy, mahalagang maunawaan muna natin ang pagkakaiba ng pag-authenticate ng ID at pag-authorize nito. Bagama't nagsisimula ang authentication sa sandaling mailagay ang isang credential sa system, ang awtorisasyon ay nagsisimula lamang pagkatapos matagumpay na ma-verify ang credential. 

Kapag na-authenticate na ang pagkakakilanlan na nauugnay sa kredensyal, sinusuri ng sistema ng awtorisasyon ang kahilingan laban sa mga tinukoy na kontrol sa pag-access. Kasama sa pagsusuring ito ang ilang mga katangian, tulad ng tungkulin ng gumagamit, ang kanilang itinalagang use case para sa mga aplikasyon, at ang mga pahintulot na ipinagkaloob sa gumagamit para sa pag-access sa database ng kumpanya.  

Ang mga pangunahing pagkakaiba sa pagitan ng pagpapatunay at awtorisasyon ay maaaring matingnan tulad ng sumusunod:

Iba't ibang uri ng pagpapatunay

Mayroong iba't ibang mga paraan ng pagpapatunay, bawat isa ay may kanya-kanyang hanay ng mga parameter at antas ng seguridad na inaalok. Tingnan natin kung paano isinasagawa ang iba't ibang mga paraan ng pagpapatunay:

1. Mga tradisyonal na pamamaraan: Mga password at username

Ang mga password at username ang pinakakaraniwang paraan ng pagpapatotoo sa loob ng maraming taon. Hinihikayat ang user na lumikha ng natatanging username at password, kadalasan bilang kanilang mga login credential, na naka-save sa direktoryo ng kumpanya. 

Ang mga password at username na ito ay ine-encrypt at iniimbak sa database na siyang nag-croscheck sa mga ito tuwing ilalagay ng user ang nasabing password at username. Kapag matagumpay na natugma, bibigyan ang user ng access sa kanilang mga itinalagang serbisyo. 

 Bagama't malawakang ginagamit pa rin bilang de facto na anyo ng pagpapatotoo, ang mga password at username ay lumilikha rin ng mga hamon sa seguridad at usability dahil sa kanilang kahinaan sa mga pag-atake ng phishing. 

2. Walang Password

Sa madaling salita, ang passwordless authentication ay nangangahulugang pag-log in nang hindi nagta-type ng tradisyonal na password. Sa halip, umaasa ito sa iba pang mga parameter para sa pagpapatunay ng pagkakakilanlan ng user. Kabilang sa mga parameter na ito ang:

1. Biometric: Ang mga fingerprint, facial recognition, at retina scan ay madali nang makukuha sa karamihan ng mga device at maaaring direktang iugnay sa indibidwal. Mahirap itong pekein at maginhawa para sa mga gumagamit na hindi na kailangang matandaan ang kahit ano.
2. Mga salik sa pag-aari: Kabilang dito ang mga hardware security token, authenticator app, o mga one-time passcode (OTP) na ipinapadala sa pamamagitan ng SMS o email. Tinitiyak nito na tanging ang mga pisikal na may-ari ng rehistradong device lamang ang maaaring mag-log in. 
3. Mga link na may takdang oras: Isang minsanang link ang ipinapadala sa rehistradong email address ng user kung saan binibigyan ng access. Ang mga ito ay partikular na popular sa mga app na para sa mga mamimili dahil inaalis nito ang pangangailangan para sa isang password.

Sa pamamagitan ng pag-aalis ng pangangailangan para sa mga password at username, na siyang pinakamahinang kawing sa seguridad, lubhang nababawasan ng mga organisasyon ang posibilidad ng pag-atake.

3. Walang tiwala

Ang zero trust authentication ay gumagana sa prinsipyong "huwag kailanman magtiwala, palaging mag-verify." Ang pamamaraang ito ay naglalapat ng parehong mahigpit na pagsusuri para sa authentication sa mga pagkakakilanlan ng user at mga pagkakakilanlan ng device, na tinitiyak lamang ang mapagkakatiwalaang access. 

Gamit ang paraan ng pag-authenticate na zero trust, patuloy na sinusuri ng sistema ang pagkakakilanlan, kalusugan ng device, at pag-uugali ng user upang magbigay ng access sa mga resources batay sa real-time assessment na ito. Walang implicit trust na ipinagkakaloob, kahit na ang isang user o device ay nasa loob ng corporate network. 

4. Dalawang-factor at multi-factor

Ang two-factor na paraan ng pagpapatotoo ay nakabatay sa pagpapatotoo gamit ang password o walang password sa pamamagitan ng pagdaragdag ng karagdagang patong ng seguridad. Upang matiyak na tanging mga awtorisadong user lamang ang makaka-access sa isang account o sistema, kinakailangan nito na magbigay ang mga user ng dalawa o higit pang uri ng pagkakakilanlan bago ibigay ang access. 

Ang mga form na ito ay nahahati sa iba't ibang salik, tulad ng password, biometric, at isang code na ipapadala sa telepono ng user o isang link sa pag-verify.

Ang karagdagang hakbang na ito ay gumagawa ng dalawang-salik at multi-factor na pagpapatotoo mas mahirap para sa mga paglabag at hindi awtorisadong pag-access. Binabawasan nito ang epekto ng mga ninakaw o mahihinang password, pinoprotektahan laban sa phishing at credential-stuffing attack at nililimitahan ang access kahit na nakompromiso ang mga detalye sa pag-login. 

5. Single sign-on (SSO)

Ang SSO ay isang paraan ng pagpapatotoo na nagbibigay-daan sa mga user na mag-log in nang isang beses at makakuha ng ligtas na access sa maraming application, platform, at serbisyo. Inaalis nito ang pagkapagod sa password at nagbibigay-daan para sa walang putol na paglipat sa pagitan ng mga tool tulad ng email, mga sistema ng pamamahala ng relasyon sa customer, mga app sa pamamahala, o iba pang mga serbisyo.

SSO Malaki ang nakasalalay sa identity provider na responsable sa pag-authenticate ng mga user at pag-isyu ng mga secure token na nagpapatunay sa kanilang pagkakakilanlan. Ito ay gumaganap bilang pinagkakatiwalaang awtoridad na inaasahan ng mga application, na tinitiyak na tanging mga na-verify na user lamang ang makakakuha ng access.

Mga uri ng protocol ng pagpapatunay

Ang mga protocol ng pagpapatotoo ay mga kritikal na hanay ng mga patakaran para sa pag-verify ng pagkakakilanlan ng isang endpoint o isang user ng receiving end, tulad ng isang server. Halos bawat sistema ng computer ay gumagamit ng ilang uri ng network authentication upang i-verify ang mga user. Ang mga protocol na ito ang nagdidikta ng mga hanay ng mga patakaran at pamamaraan na ginagamit para sa proseso ng pag-verify. 

Narito ang isang listahan ng mga pinaka-malawak na ginagamit na mga protocol ng pagpapatotoo sa iba't ibang industriya:

1. SAML 2.0: Pinapayagan nito ang mga user na ma-access ang maraming application gamit ang isang login lamang. Gumagamit ito ng ligtas na pagpapalitan ng data ng authentication sa pagitan ng isang identity provider at isang service provider, na nagpapahintulot sa mga user na mag-log in sa bawat serbisyo nang hiwalay.
2. SCIMIto ay isang bukas na pamantayang proseso ng pagpapatotoo na nag-aautomat sa pagpapalitan ng impormasyon ng pagkakakilanlan ng gumagamit sa pagitan ng mga sistema. SCIM nagbibigay ng pare-parehong probisyon, pag-update, at pag-deprovision ng mga user account sa maraming platform.
3. OAuth 2.0Pinapayagan nito ang mga app na humiling ng limitadong access sa data ng user, na maaaring tanggihan ng user, na hino-host ng ibang serbisyo, tulad ng Google, Microsoft, o GitHub. 
4. KerberosGinagamit ito para sa pag-validate ng mga client/server habang nasa proseso ang isang network na gumagamit ng cryptographic key. Ito ay dinisenyo para sa pagsasagawa ng malakas na authentication habang nag-uulat sa mga application.
5. rADIUSIto ay dinisenyo para sa mga gumagamit ng serbisyo sa network. Ine-encrypt ng RADIUS server ang mga kredensyal na ipinasok ng gumagamit, na naka-map sa pamamagitan ng lokal na database, at nagbibigay ng access.
6. CHAP at PAPGumagamit sila ng username at password upang patunayan ang mga user. Bagama't nagpapadala ang PAP ng mga password sa plain text, pinapabuti ito ng CHAP sa pamamagitan ng patuloy na pag-verify ng mga user sa pamamagitan ng mga palitan ng hamon-tugon nang hindi ibinubunyag ang password.
7. LDAP: LDAP ay ginagamit upang ma-access at pamahalaan ang mga serbisyo ng direktoryo na nag-iimbak ng mga pagkakakilanlan at kredensyal ng gumagamit. Tinutukoy nito ang sinumang indibidwal, organisasyon, at iba pang mga device sa isang network, anuman ang perimeter. 
8. FIDO2: Binubuo ito ng isang hanay ng mga tech-agnostic na detalye upang pagsamahin ang ligtas na pag-access at pagpapatotoo ng gumagamit. FIDO nagbibigay-daan sa mga user na ma-access at ma-authenticate ang kanilang mga account gamit ang mga passkey, biometrics, o PIN sa halip na mga password.

Mga pinakamahusay na kasanayan para sa pagbuo ng isang malakas na layer ng pagpapatotoo

Ang paggamit ng iba't ibang paraan ng pagpapatunay ay nagsisiguro na palaging mayroong ligtas na sistema at nagpapaiba-iba sa lawak ng ibabaw ng banta. Narito ang ilan sa mga pinakamahusay na kasanayan na maaari mong isagawa upang matiyak na mananatiling hindi mapapasukan ng hangin ang iyong authentication layer.

1. Unahin ang multi-factor authentication: Ang multi-factor authentication ay parang pag-double check ng iyong sagot sa isang pagsusulit. Sa pamamagitan ng pagpapatupad nito sa mga admin account, mga remote worker, at mga application na may hawak ng sensitibong data, maaaring mabawasan nang malaki ng mga kumpanya ang mga paglabag sa data.
2. Gumamit ng paraan ng paggamit ng password para sa mga kredensyal: Sa pamamagitan ng pagpapatupad ng biometrics, naka-time na OTP, mga secure link, o mga device-bound authenticator, maaaring mabawasan nang malaki ng mga kumpanya ang phishing, credential stuffing, at mga brute-force attack.
3. Ilapat ang adaptive authentication: Ang mga real-time na signal ng panganib tulad ng reputasyon ng device, geo-velocity, panganib ng IP, at mga pattern ng pag-uugali ay mahusay na mga salik sa pagkilala. Binabawasan din nito ang IT load ng patuloy na pagsubaybay, dahil ang anumang pagbabago sa mga salik ay awtomatikong magreresulta sa pag-deploy ng mga hakbang sa seguridad. 
4. SSO para maalis ang pagkapagod sa password: Ang paggamit ng SSO ay nakakabawas sa pasanin ng mga empleyado at nagbibigay-daan para sa mabilis na pagpapatotoo ng gumagamit sa pamamagitan ng isang mapagkakatiwalaang tagapagbigay ng pagkakakilanlan. 
5. Subaybayan ang aktibidad ng pagpapatunay: Sa pamamagitan ng pagsubaybay sa mga pattern tulad ng paulit-ulit na pagkabigo sa pag-login, paggamit ng bagong device, hindi pangkaraniwang lokasyon, o pag-access sa mga abnormal na oras, mapipigilan ng mga kumpanya ang anumang banta bago pa ito magkaroon ng pagkakataong lumabag. 
6. Gumamit ng mga modernong protocol ng pagkakakilanlan: Ang paggamit ng OAuth 2.0, OpenID Connect, SAML, at iba pang modernong protocol ay nakakatulong na mabawasan ang mga error sa pagpapatupad na maaaring mangyari sa mga custom-built na authentication system.
7. Ipatupad ang mahigpit na pamamahala sa sesyon: Ang paglimita sa mga lifecycle ng mga identity token, pagpapawalang-bisa sa mga kahina-hinalang session, at pagharang sa mga pangmatagalang o hindi pinamamahalaang token ay pumipigil sa hindi awtorisadong pag-access na lumipat sa pagitan ng mga tunay na session.

Ang matibay na pundasyon ay humahantong sa matibay na istruktura 

Ang authentication ang pundasyon kung saan itinatayo ang lahat ng mga hakbang sa seguridad. Sa pamamagitan ng pagtatatag ng isang matibay na pundasyon, makakapagtatag ka ng isang mahigpit na istrukturang pangseguridad na hindi madaling masisira. 

Dapat maging maingat ang mga kumpanya sa patuloy na pagdami ng mga nag-iisyu ng mga bagong pagkakakilanlan at sa patuloy na lumalaking banta sa cyber. Ang mga gumagamit ng authentication bilang pangunahing imprastraktura ng kanilang negosyo ay mas magiging handa upang ma-secure ang access sa kanilang data network.

Scalefusion OneIdP Nagbibigay sa iyo ng komprehensibong hanay ng mga salik sa pagpapatotoo upang lagi kang makatitiyak na ang tamang tao ang may tamang access. Ang solusyon sa zero trust access na pinapagana ng UEM ay nag-o-cross-verify sa parehong pagkakakilanlan at seguridad ng device, na tinitiyak na ang access ay ibinibigay lamang kapag pareho itong nakakatugon sa mga pamantayan ng seguridad.

FAQs

1. Ano ang pagkakaiba ng authentication at authorization?

Ang authentication ay unang nangyayari upang beripikahin kung sino ang isang user (pagkakakilanlan), na sinusundan ng awtorisasyon, na tumutukoy kung ano ang mayroon silang pahintulot na gawin (pag-access).

2. Bakit mas ligtas ang pagpapatotoo nang walang password?

Inaalis ng passwordless authentication ang mga static at madaling makompromisong credentials, pinapalitan ang mga ito ng mga phishing-resistant, device-bound, o biometric factors. Sa paggawa nito, inaalis nito ang mga panganib mula sa muling paggamit ng password, mga brute-force attack, at credential stuffing.

3. Pareho ba ang authentication at identity verification?

Hindi. Bagama't parehong kinukumpirma ang pagkakakilanlan, ang beripikasyon ng pagkakakilanlan ay karaniwang isang beses lamang na proseso, na nagpapatunay na ang isang tao ay kung sino talaga ang sinasabi nila. Sa kabilang banda, ang authentication ay isang tuluy-tuloy at ligtas na proseso na tinitiyak na ang babalik na gumagamit ay ang parehong tao sa bawat checkpoint.

4. Para saan ginagamit ang authentication?

Ang authentication ay isang mahalagang bahagi ng bawat istruktura ng cybersecurity. Ito ang prosesong ginagamit ng mga kumpanya upang kumpirmahin na tanging ang mga tamang tao, serbisyo, at app na may tamang pahintulot ang maaaring maka-access sa mga mapagkukunan ng organisasyon.

5. Ano ang ilang halimbawa ng pagpapatunay?

Kabilang sa mga halimbawa ng authentication, ngunit hindi limitado sa, pag-log in gamit ang username/password, paggamit ng facial recognition (Face ID) o fingerprint scanner sa mga telepono, pagtanggap ng SMS OTP, o gamit ang SSO.