Перейти до вмісту

Authentication

Матеріал з K2 ERP Wiki Ukraine — База знань з автоматизації та санкцій в Україні


SEO title: Authentication — автентифікація користувачів у цифрових системах SEO description: Authentication — процес перевірки особи користувача або системи перед наданням доступу до цифрових ресурсів. Паролі, токени, MFA, SSO, OAuth, OpenID Connect, JWT, сесії, ролі та безпека в ERP-системах. SEO keywords: authentication, автентифікація, авторизація, MFA, 2FA, SSO, OAuth, OpenID Connect, JWT, токен, пароль, K2 ERP, ERP безпека, цифрова незалежність, кібербезпека Alternative to:



Authentication або автентифікація — процес перевірки того, ким є користувач, система, сервіс або пристрій перед наданням доступу до цифрового ресурсу. У найпростішому вигляді автентифікація відповідає на питання: «Хто ти?»

Якщо користувач вводить логін і пароль, проходить підтвердження через SMS, застосунок, електронний підпис, токен або інший механізм — він проходить автентифікацію.

Автентифікація є базовим елементом кібербезпеки, ERP-систем, CRM, банківських сервісів, державних порталів, хмарних платформ, мобільних застосунків, API, корпоративних кабінетів та будь-яких систем, де потрібно захистити дані від несанкціонованого доступу.

У бізнес-системах, зокрема в K2 ERP, автентифікація має особливе значення, тому що ERP працює з критичними даними підприємства: документами, товарами, клієнтами, звітами, файлами, фінансами, ролями, користувачами та бізнес-процесами.

Головне. Authentication — це перевірка особи користувача або сервісу перед доступом до системи. Без надійної автентифікації неможлива безпечна робота ERP, CRM, хмарних сервісів, API та корпоративних систем.

Застереження. Слабка автентифікація — одна з найпоширеніших причин витоку даних. Пароль «123456», один спільний логін на всіх і доступ колишнього співробітника до системи — це не кібербезпека, а запрошення до проблем.

Рекомендація. Для бізнес-систем варто використовувати індивідуальні облікові записи, складні паролі, багатофакторну автентифікацію, контроль сесій, журналювання входів і рольову модель доступу.

Суть поняття

Автентифікація — це перший етап доступу до цифрової системи.

Користувач заявляє системі: «Я — це я». Система відповідає: «Доведи».

Доказом може бути пароль, одноразовий код, електронний підпис, токен, біометрія, апаратний ключ, сертифікат, QR-підтвердження або інший механізм.

Після успішної автентифікації система зазвичай переходить до наступного етапу — авторизації. Тобто вже не просто перевіряє, хто увійшов, а визначає, що саме цьому користувачу дозволено робити.

Наприклад, бухгалтер може створювати документи, менеджер — працювати з клієнтами, комірник — бачити склад, керівник — переглядати звіти, а адміністратор — керувати користувачами.

Authentication і Authorization

Автентифікацію часто плутають з авторизацією.

Це різні поняття.

Authentication відповідає на питання:

«Хто ти?»

Authorization відповідає на питання:

«Що тобі дозволено?»

Користувач може успішно пройти автентифікацію, але не мати доступу до певного модуля, документа, складу, компанії або звіту. Це означає, що система впізнала користувача, але авторизація обмежила його права.

Поняття Українською Що перевіряє Приклад
Authentication Автентифікація Особу користувача Користувач вводить логін, пароль і код MFA
Authorization Авторизація Права користувача Користувач може бачити CRM, але не може змінювати фінансові звіти

Проста аналогія. Автентифікація — це коли охоронець перевіряє ваш документ на вході. Авторизація — це коли він визначає, чи можна вам заходити в бухгалтерію, на склад або в серверну.

Основні методи автентифікації

Існує кілька основних способів автентифікації.

Найпоширеніший — пароль. Користувач вводить логін і пароль, а система перевіряє, чи відповідають вони збереженим даним.

Але пароль сам по собі вже не вважається достатньо надійним для важливих систем. Його можуть вгадати, викрасти, перехопити або отримати через фішинг.

Тому сучасні системи використовують додаткові методи: одноразові коди, мобільні застосунки, токени, електронні підписи, апаратні ключі, SSO, OAuth, OpenID Connect, сертифікати та інші механізми.

Парольна автентифікація

Парольна автентифікація — найвідоміший метод входу в систему.

Користувач має логін і пароль. Логін визначає обліковий запис, а пароль підтверджує, що користувач має право ним користуватися.

У сучасних системах пароль не повинен зберігатися у відкритому вигляді. Його потрібно зберігати у вигляді хешу з використанням спеціальних алгоритмів і солі.

Небезпечно. Зберігати паролі у відкритому вигляді — груба помилка безпеки. Якщо база даних потрапить до зловмисників, усі паролі будуть скомпрометовані.

Правильно. Паролі мають зберігатися у вигляді криптографічних хешів із використанням сучасних алгоритмів, наприклад bcrypt, Argon2 або PBKDF2.

Багатофакторна автентифікація

MFA — багатофакторна автентифікація. 2FA — двофакторна автентифікація.

Це метод, коли для входу потрібно підтвердити особу не одним, а двома або більше факторами.

Фактори можуть бути такими:

  • те, що користувач знає: пароль або PIN;
  • те, що користувач має: телефон, токен, апаратний ключ;
  • те, ким користувач є: біометрія;
  • те, де користувач перебуває: геолокація або мережевий контекст;
  • те, як користувач поводиться: поведінковий аналіз.

Наприклад, користувач вводить пароль, а потім підтверджує вхід кодом із застосунку або апаратним ключем.

Рекомендація. Для ERP, CRM, фінансових систем, адмін-панелей і корпоративних кабінетів бажано використовувати MFA. Один пароль — це вже слабкий захист для серйозного бізнесу.

Одноразові паролі

Одноразовий пароль — код, який діє лише один раз або протягом короткого часу.

Найпоширеніші варіанти:

  • SMS-код;
  • код із мобільного застосунку;
  • TOTP-код;
  • email-код;
  • резервний код.

TOTP — це одноразовий код, який генерується за часом, наприклад у застосунках Google Authenticator, Microsoft Authenticator, Authy або подібних.

SMS-коди зручні, але не є найнадійнішим варіантом, оскільки номер телефону можна перехопити, перевипустити SIM-карту або атакувати через оператора.

Single Sign-On

Single Sign-On або SSO — механізм, який дозволяє користувачу входити в кілька систем через один обліковий запис.

Наприклад, працівник компанії один раз входить через корпоративний акаунт і отримує доступ до пошти, CRM, ERP, внутрішнього порталу та інших сервісів.

SSO зручний для великих компаній, бо спрощує управління доступами. Коли співробітник звільняється, адміністратор може вимкнути один обліковий запис, і користувач втратить доступ до всіх підключених систем.

Перевага SSO. Один контрольований корпоративний вхід краще, ніж десять окремих паролів, які співробітник записав у файлі «паролі_нові_остаточні.xlsx».

OAuth

OAuth — відкритий стандарт делегованого доступу. Він дозволяє одній системі отримати обмежений доступ до ресурсів користувача в іншій системі без передачі пароля.

Наприклад, сервіс може попросити доступ до календаря, пошти, контактів або профілю користувача через стороннього провайдера. Користувач підтверджує дозвіл, а сервіс отримує токен доступу.

OAuth часто використовується для інтеграцій між системами, мобільними застосунками, API та зовнішніми сервісами.

OpenID Connect

OpenID Connect — протокол автентифікації, побудований поверх OAuth 2.0.

Якщо OAuth здебільшого відповідає за делегований доступ, то OpenID Connect додає рівень перевірки особи користувача.

OpenID Connect часто використовується для входу через зовнішніх провайдерів, корпоративні акаунти та SSO.

JWT

JWT або JSON Web Token — компактний токен, який використовується для передачі інформації між сторонами у вигляді JSON-об’єкта.

JWT часто використовується в API, вебзастосунках і мобільних застосунках для збереження інформації про автентифікованого користувача або сесію.

JWT може містити дані про користувача, час створення, строк дії, ролі або інші claims. Але важливо правильно підписувати токени, обмежувати строк їхньої дії й не зберігати в них надмірну або чутливу інформацію.

Застереження. JWT не потрібно використовувати як «чарівну коробку для всього». Якщо в токен покласти зайві дані, не перевіряти підпис або зробити надто довгий строк дії, це створить ризики безпеки.

Сесії

Сесія — механізм, який дозволяє системі пам’ятати, що користувач уже пройшов автентифікацію.

Після входу користувач отримує сесійний ідентифікатор або токен. Далі система використовує його для перевірки запитів.

Сесії мають мати обмежений строк життя, механізм завершення, захист від викрадення, прив’язку до контексту за потреби та можливість примусового завершення адміністратором.

Токени

Токен — цифровий ключ доступу, який система видає після успішної автентифікації або авторизації.

Токени використовуються в API, мобільних застосунках, SSO, OAuth, OpenID Connect, інтеграціях і міжсервісній взаємодії.

Токен може бути короткостроковим або довгостроковим. Для безпеки часто використовують access token і refresh token.

Access token діє короткий час і використовується для доступу до ресурсів. Refresh token діє довше й використовується для отримання нового access token.

API-автентифікація

API-автентифікація потрібна для перевірки не лише людей, а й сервісів.

Наприклад, ERP може обмінюватися даними з інтернет-магазином, банком, ПРРО, службою доставки, CRM або зовнішнім кабінетом.

Для API можуть використовуватися:

  • API-ключі;
  • OAuth-токени;
  • JWT;
  • сертифікати;
  • HMAC-підписи;
  • IP-обмеження;
  • mTLS;
  • службові облікові записи.

API-доступ має бути обмеженим, контрольованим і журналюватися. Один безмежний API-ключ «на все» — це так само небезпечно, як один ключ від офісу, складу, сейфа й серверної, залишений під килимком.

Автентифікація в ERP-системах

В ERP-системах автентифікація особливо важлива.

ERP містить критичні бізнес-дані:

  • користувачів;
  • документи;
  • товари;
  • клієнтів;
  • постачальників;
  • склади;
  • звіти;
  • файли;
  • фінансові дані;
  • первинку;
  • рухи товарів;
  • бізнес-процеси;
  • історію змін.

Якщо зловмисник отримує доступ до ERP, він може бачити або змінювати важливу інформацію. Тому автентифікація має бути частиною ширшої системи безпеки: ролі, права доступу, журналювання, MFA, контроль сесій, обмеження API, резервне копіювання й моніторинг.

ERP — не місце для спільного логіна. Якщо вся компанія входить під одним користувачем, неможливо зрозуміти, хто створив документ, хто змінив залишки, хто видалив файл і хто «нічого не чіпав».

Authentication у K2 ERP

У контексті K2 ERP автентифікація є частиною загальної архітектури безпеки платформи.

K2 ERP працює як українська ERP-система для бізнесу, обліку, документів, товарів, CRM, файлів, звітів і процесів. Така система потребує чіткої моделі входу користувачів, розмежування доступів і контролю дій.

Автентифікація в ERP має забезпечувати:

  • індивідуальні облікові записи користувачів;
  • перевірку користувача перед входом;
  • контроль сесій;
  • захист адміністративного доступу;
  • можливість розмежування ролей;
  • безпечну роботу через браузер;
  • безпечну роботу мобільних і десктопних застосунків;
  • контроль доступу до компаній, документів, модулів і звітів.

Для K2 ERP це особливо важливо, оскільки один адміністратор може вести багато підприємств і компаній. Отже, система має не лише впізнавати користувача, а й коректно визначати, до яких компаній, модулів і даних він має доступ.

Для ERP. Автентифікація має працювати разом із ролями та правами доступу. У бізнес-системі важливо не лише впустити користувача, а й правильно обмежити його можливості.

Authentication і рольова модель

Автентифікація сама по собі не визначає, що користувач може робити.

Після входу в систему має працювати рольова модель.

Наприклад:

  • адміністратор керує системою;
  • бухгалтер працює з документами й звітами;
  • менеджер бачить клієнтів і продажі;
  • комірник працює зі складом;
  • керівник переглядає аналітику;
  • касир працює з продажами й фіскалізацією;
  • зовнішній користувач має обмежений доступ.

Рольова модель зменшує ризик помилок і зловживань. Користувач має отримувати не максимальний доступ, а лише той, який потрібен для роботи.

Принцип найменших привілеїв

Принцип найменших привілеїв означає, що користувач або сервіс має отримувати мінімальний доступ, необхідний для виконання задачі.

Не потрібно давати менеджеру права адміністратора. Не потрібно давати касиру доступ до всіх фінансових звітів. Не потрібно давати зовнішньому інтегратору доступ до всіх даних компанії. Не потрібно залишати активним користувача, який уже не працює в організації.

Цей принцип особливо важливий для ERP, де одна помилка може вплинути на документи, залишки, фінанси або звітність.

Типові помилки автентифікації

Помилка Наслідок Як краще
Один спільний логін на всіх Неможливо зрозуміти, хто що зробив Створювати окремий обліковий запис для кожного користувача
Слабкі паролі Високий ризик злому Використовувати складні паролі та MFA
Паролі в Excel або на стікері Пароль може побачити будь-хто Використовувати менеджер паролів
Немає MFA Пароль стає єдиним захистом Увімкнути багатофакторну автентифікацію
Доступ колишніх працівників Ризик витоку або зміни даних Вимикати доступ одразу після звільнення
Надмірні права користувачів Помилки й зловживання Використовувати принцип найменших привілеїв
Безстрокові токени Токен може довго використовуватися після витоку Обмежувати строк дії токенів
Відсутність журналів входу Неможливо розслідувати інциденти Логувати входи, IP, пристрої та дії

Authentication і цифрова незалежність України

Автентифікація є частиною цифрової незалежності.

Коли український бізнес переходить на українські ERP, CRM і хмарні платформи, він має думати не лише про функціонал, а й про безпеку доступу.

Цифрова незалежність — це не просто «працювати на українському ПЗ». Це ще й контролювати, хто має доступ до даних, як входить у систему, як підтверджує особу, як обмежуються права, як зберігаються токени, як вимикаються старі облікові записи і як захищаються критичні процеси.

Для українського бізнесу це особливо важливо в контексті відмови від російської програмної залежності, , BAS та старих систем, де безпека часто трималася на фразі «не чіпайте, воно працює».

Цифрова незалежність. Український бізнес має не лише переходити на українські системи, а й будувати в них сучасну культуру безпеки: автентифікацію, ролі, права, MFA, журнали й контроль доступу.

Authentication і деколонізація обліку

Деколонізація обліку — це перехід від старих, залежних і часто небезпечних практик до сучасної культури обліку й безпеки.

У старих системах часто можна було зустріти один логін для всіх, локальну базу на одному комп’ютері, пароль у блокноті, доступ у колишнього працівника і резервну копію «десь на флешці».

Це не деколонізований облік. Це музей ризиків.

Сучасна ERP має працювати інакше: кожен користувач має свій обліковий запис, доступи обмежені ролями, входи журналюються, токени контролюються, API захищені, а адміністратор розуміє, хто і до чого має доступ.

Рекомендації для бізнесу

  1. Створювати окремий обліковий запис для кожного користувача.
  2. Заборонити спільні логіни.
  3. Увімкнути MFA для важливих ролей.
  4. Регулярно переглядати права доступу.
  5. Вимикати доступ звільненим працівникам.
  6. Використовувати менеджер паролів.
  7. Не зберігати паролі в Excel, чатах або нотатках.
  8. Обмежувати строк дії токенів.
  9. Логувати входи й критичні дії.
  10. Розділяти права адміністратора, бухгалтера, менеджера, складу й керівника.
  11. Захищати API-ключі.
  12. Перевіряти інтеграції.
  13. Навчати користувачів базовій цифровій гігієні.

Коротко

Питання Відповідь
Що таке Authentication? Процес перевірки особи користувача, системи або сервісу перед доступом до ресурсу.
Як це українською? Автентифікація.
Яке головне питання автентифікації? «Хто ти?»
Чим відрізняється від авторизації? Автентифікація перевіряє особу, авторизація визначає права.
Які методи використовуються? Паролі, MFA, одноразові коди, токени, SSO, OAuth, OpenID Connect, JWT, сертифікати.
Що таке MFA? Багатофакторна автентифікація, коли для входу потрібно більше одного підтвердження.
Що таке SSO? Єдиний вхід у кілька систем через один обліковий запис.
Чому це важливо для ERP? ERP містить критичні дані бізнесу: документи, товари, клієнтів, фінанси, файли й звіти.
Що є поганою практикою? Один логін на всіх, слабкі паролі, відсутність MFA, доступ колишніх працівників.
Як пов’язано з K2 ERP? K2 ERP як бізнес-система потребує автентифікації, ролей, прав доступу та контролю сесій.

Висновок

Authentication — це перші двері до цифрової системи.

Якщо ці двері слабкі, не допоможе навіть найкрасивіший інтерфейс, найрозумніші звіти й найсучасніша ERP. Бо дані, документи, клієнти, товари, фінанси й бізнес-процеси мають сенс лише тоді, коли до них має доступ той, хто справді має право.

Для українського бізнесу автентифікація — це не технічна дрібниця. Це частина культури безпеки, цифрової незалежності та переходу від старої логіки «якось працює» до сучасної логіки «працює правильно».

Правильний підхід. Надійна автентифікація, MFA, ролі, права доступу, журнали входу й контроль сесій — базова умова безпечної роботи ERP, CRM та хмарних систем.

Не залишайте доступ без контролю. Якщо невідомо, хто входив у систему, хто мав права адміністратора і хто змінив дані, то проблема вже існує — навіть якщо її ще не помітили.

Див. також

Зовнішні посилання

Джерела

Отримано з https://wiki.erp.kyiv.ua/index.php?title=Authentication&oldid=1381