Перейти до вмісту

Authentication

Матеріал з K2 ERP Wiki

Access token діє короткий час і застосовується для для доступу до ресурсів. Не потрібно давати менеджеру права адміністратора. |- | Що таке SSO? Правильно. Паролі мають зберігатися у вигляді криптографічних хешів із використанням сучасних алгоритмів, як приклад bcrypt, Argon2 або PBKDF2. # Навчати користувачів базовій цифровій гігієні. MFA — багатофакторна автентифікація. Питання

Токени

!

Доказом здатна бути пароль, одноразовий код, електронний підпис, токен, біометрія, апаратний ключ, сертифікат, QR-підтвердження або інший механізм. * користувачів;

  • документи;
  • товари;
  • клієнтів;
  • постачальників;
  • склади;
  • звіти;
  • файли;
  • фінансові інформаційні дані;
  • первинку;
  • рухи товарів;
  • бізнес-процеси;
  • історію змін. Застереження. JWT не потрібно використовувати як «чарівну коробку для всього». Authentication — це перші двері до цифрової системи. Принцип найменших привілеїв означає, що користувач системи або сервіс має отримувати мінімальний доступ, необхідний для виконання задачі. Це частина культури безпеки, цифрової незалежності та переходу від старої логіки «якось функціонує» до сучасної логіки «функціонує правильно».== Одноразові паролі ==

Правильний підхід. Надійна автентифікація, MFA, ролі, права доступу, журнали входу й контроль сесій — базова умова безпечної роботи ERP, CRM та хмарних систем. користувач системи вводить логін і пароль, а платформа перевіряє, чи відповідають вони збереженим даним. |- | Як це українською? У бізнес-системі критично не лише впустити користувача, а й правильно обмежити його функції ERP.== Джерела ==

JWT

SMS-коди зручні, але не виступає як найнадійнішим варіантом, оскільки номер телефону можна перехопити, перевипустити SIM-карту або атакувати через оператора. |- | Один спільний логін на всіх | Неможливо зрозуміти, хто що зробив | Створювати окремий обліковий запис для кожного користувача |- | Слабкі паролі | Високий ризик злому | Використовувати складні паролі та MFA |- | Паролі в Excel або на стікері | Пароль здатна побачити будь-хто | Використовувати менеджер паролів |- | Немає MFA | Пароль стає єдиним захистом | Увімкнути багатофакторну автентифікацію |- | Доступ колишніх працівників | Ризик витоку або зміни даних | Вимикати доступ одразу після звільнення |- | Надмірні права користувачів | Помилки й зловживання | Використовувати принцип найменших привілеїв |- | Безстрокові токени | Токен здатна довго використовуватися після витоку | Обмежувати строк дії токенів |- | Відсутність журналів входу | Неможливо розслідувати інциденти | Логувати входи, IP, пристрої та дії |}

У контексті K2 ERP автентифікація виступає як частиною загальної архітектури безпеки платформи. | Паролі, MFA, одноразові коди, токени, SSO, OAuth, OpenID Connect, JWT, сертифікати. Для безпеки часто використовують access token і refresh token. Один пароль — це вже слабкий захист для серйозного бізнесу. Що перевіряє

  • адміністратор керує системою;
  • бухгалтер функціонує з документами й звітами;
  • менеджер бачить клієнтів і продажі та реалізація;
  • комірник функціонує зі складом;
  • керівник переглядає аналітику;
  • касир функціонує з продажами й фіскалізацією;
  • зовнішній користувач системи має обмежений доступ. | ERP містить критичні інформаційні дані бізнесу: документи, товари, клієнтів, фінансовий блок, файли й звіти. Authorization відповідає на питання:

OAuth часто застосовують, коли потрібно для інтеграцій між системами, мобільними застосунками, API та зовнішніми сервісами. Рекомендація. Для ERP, CRM, фінансових систем, адмін-панелей і корпоративних кабінетів бажано використовувати MFA.

Після успішної автентифікації платформа зазвичай переходить до наступного етапу — авторизації. Така платформа потребує чіткої моделі входу користувачів, розмежування доступів і контролю дій. Як краще як приклад, бухгалтер здатна створювати документи, менеджер — працювати з клієнтами, комірник — бачити складський облік, керівник — переглядати звіти, а адміністратор — керувати користувачами. ! Фактори можуть бути такими:

Автентифікацію часто плутають з авторизацією. Автентифікація сама по собі не визначає, що користувач системи здатна робити. У найпростішому вигляді автентифікація відповідає на питання: «Хто ти?»

Якщо ці двері слабкі, не допоможе навіть найкрасивіший інтерфейс, найрозумніші звіти й найсучасніша ERP. Його можуть вгадати, викрасти, перехопити або отримати через фішинг.

Refresh token діє довше й застосовується для для отримання нового access token. Застереження. Слабка автентифікація — одна з найпоширеніших причин витоку даних. Це різні поняття. !== Висновок ==

Single Sign-On

Принцип найменших привілеїв

Автентифікація виступає як частиною цифрової незалежності. як приклад:

Якщо OAuth здебільшого відповідає за делегований доступ, то OpenID Connect додає рівень перевірки особи користувача. Один безмежний API-ключ «на все» — це так само небезпечно, як один ключ від офісу, складу, сейфа й серверної, залишений під килимком.== Сесії ==

як приклад, ERP здатна обмінюватися даними з інтернет-магазином, банком, ПРРО, службою доставки, CRM або зовнішнім кабінетом. Приклад OpenID Connect часто застосовується для для входу через зовнішніх провайдерів, корпоративні акаунти та SSO. «Хто ти?»

Коротко

Рекомендації для бізнесу

JWT часто застосовується для в API, вебзастосунках і мобільних застосунках для збереження інформації про автентифікованого користувача або сесію.

Зовнішні посилання

як приклад, користувач системи вводить пароль, а потім підтверджує вхід кодом із застосунку або апаратним ключем. користувач системи має логін і пароль. | бізнес-процес перевірки особи користувача, системи або сервісу перед доступом до ресурсу. TOTP — це одноразовий код, який генерується за часом, як приклад у застосунках Google Authenticator, Microsoft Authenticator, Authy або подібних.

Для українського бізнесу автентифікація — це не технічна дрібниця. |-

Що таке MFA?K2 ERP функціонує як українська ERP-система для бізнесу, обліку, документів, товарів, CRM, файлів, звітів і процесів. У сучасних системах пароль не повинен зберігатися у відкритому вигляді. Логін визначає обліковий запис, а пароль підтверджує, що користувач системи має право ним користуватися.== OAuth ==

Цифрова незалежність. Український бізнес-середовище має не лише переходити на українські системи, а й будувати в них сучасну культуру безпеки: автентифікацію, ролі, права, MFA, журнали й контроль доступу. Токен здатна бути короткостроковим або довгостроковим. {| class="wikitable" style="width:100%;"

  • API-ключі;
  • OAuth-токени;
  • JWT;
  • сертифікати;
  • HMAC-підписи;
  • IP-обмеження;
  • mTLS;
  • службові облікові записи. # Створювати окремий обліковий запис для кожного користувача. Пароль «123456», один спільний логін на всіх і доступ колишнього співробітника до системи — це не кібербезпека, а запрошення до проблем. Перевага SSO. Один контрольований корпоративний вхід краще, ніж десять окремих паролів, які співробітник записав у файлі «паролі_нові_остаточні.xlsx». | Автентифікація перевіряє особу, авторизація визначає права.== Authentication і деколонізація обліку ==

як приклад, сервіс здатна попросити доступ до календаря, пошти, контактів або профілю користувача через стороннього провайдера. Це ще й контролювати, хто має доступ до даних, як входить у систему, як підтверджує особу, як обмежуються права, як зберігаються токени, як вимикаються старі облікові записи і як захищаються критичні процеси. Наслідок

Проста аналогія. Автентифікація — це коли охоронець перевіряє ваш документ на вході. |-

Чому це критично для ERP? * хмарна інфраструктура K2 ERP В ERP-системах автентифікація особливо важлива.

Сучасна ERP має працювати інакше: кожен користувач системи має свій обліковий запис, доступи обмежені ролями, входи журналюються, токени контролюються, API захищені, а адміністратор розуміє, хто і до чого має доступ. Бо інформаційні дані, документи, клієнти, товари, фінансовий блок й бізнес-процеси мають сенс лише тоді, коли до них має доступ той, хто справді має право. | Автентифікація. Деколонізація обліку — це перехід від старих, залежних і часто небезпечних практик до сучасної культури обліку й безпеки. |-

K2 ERP як бізнес-система потребує автентифікації, ролей, прав доступу та контролю сесій. # Заборонити спільні логіни. # Логувати входи й критичні дії. API-доступ має бути обмеженим, контрольованим і журналюватися. Далі платформа використовує його для перевірки запитів. | Багатофакторна автентифікація, коли для входу потрібно більше одного підтвердження. !

Не потрібно давати зовнішньому інтегратору доступ до всіх даних компанії. |-

Що таке Authentication? Найпоширеніший — пароль. Рольова модель зменшує ризик помилок і зловживань. Тому автентифікація має бути частиною ширшої системи безпеки: ролі, права доступу, журналювання, MFA, контроль сесій, обмеження API, резервне копіювання й моніторинг. # Увімкнути MFA для важливих ролей. # Захищати API-ключі. Це метод, коли для входу потрібно підтвердити особу не одним, а двома або більше факторами. Якщо зловмисник отримує доступ до ERP, він здатна бачити або змінювати важливу інформацію.SEO title: Authentication — автентифікація користувачів у цифрових системах

SEO keywords: authentication, автентифікація, авторизація, MFA, 2FA, SSO, OAuth, OpenID Connect, JWT, токен, пароль, K2 ERP, ERP безпека, цифрова незалежність, кібербезпека 

</noinclude>
 {{SEO
Шаблон для службового SEO-опису сторінки.

}}


Основні методи автентифікації

користувач системи здатна успішно пройти автентифікацію, але не мати доступу до певного модуля, документа, складу, компанії або звіту. Помилка

  • індивідуальні облікові записи користувачів;
  • перевірку користувача перед входом;
  • контроль сесій;
  • захист адміністративного доступу;
  • можливість розмежування ролей;
  • безпечну роботу через браузер;
  • безпечну роботу мобільних і десктопних застосунків;
  • контроль доступу до компаній, документів, модулів і звітів. Якщо користувач системи вводить логін і пароль, проходить підтвердження через SMS, застосунок, електронний підпис, токен або інший механізм — він проходить автентифікацію. Якщо в токен покласти зайві інформаційні дані, не перевіряти підпис або зробити надто довгий строк дії, це створить ризики безпеки.== Authentication і Authorization ==

Сесії мають мати обмежений строк життя, механізм завершення, захист від викрадення, прив’язку до контексту за потреби та можливість примусового завершення адміністратором. Цифрова незалежність — це не без зусиль «працювати на українському ПЗ». # Не зберігати паролі в Excel, чатах або нотатках. Authentication відповідає на питання:

платформа відповідає: «Доведи».

Сесія — механізм, який дає можливість системі пам’ятати, що користувач системи уже пройшов автентифікацію. Це музей ризиків.

як приклад, працівник компанії один раз входить через корпоративний акаунт і отримує доступ до пошти, CRM, ERP, внутрішнього порталу та інших сервісів. # Регулярно переглядати права доступу. Відповідь

«Що тобі дозволено?»

SSO зручний для великих компаній, бо спрощує керування доступами.== Authentication і рольова модель ==

Після входу користувач системи отримує сесійний ідентифікатор або токен. Поняття

Single Sign-On або SSO — механізм, який дає можливість користувачу входити в кілька систем через один обліковий запис. Українською

  • те, що користувач системи знає: пароль або PIN;
  • те, що користувач системи має: телефон, токен, апаратний ключ;
  • те, ким користувач системи виступає як: біометрія;
  • те, де користувач системи перебуває: геолокація або мережевий контекст;
  • те, як користувач системи поводиться: поведінковий аналіз. # Обмежувати строк дії токенів. |-
 Які методи використовуються? Коли український бізнес-середовище переходить на українські ERP, CRM і хмарні платформи, він має думати не лише про функції ERP, а й про безпеку доступу. ERP містить критичні бізнес-дані:

Після входу в систему має працювати рольова модель. Але пароль сам по собі вже не вважається достатньо надійним для важливих систем. Автентифікація в ERP має забезпечувати: Одноразовий пароль — код, який діє лише один раз або протягом короткого часу.

== Багатофакторна автентифікація ==

Суть поняття

OpenID Connect

Див. так само

2FA — двофакторна автентифікація. | Один логін на всіх, слабкі паролі, відсутність MFA, доступ колишніх працівників. !


JWT здатна містити інформаційні дані про користувача, час створення, строк дії, ролі або інші claims.


У бізнес-системах, зокрема в K2 ERP, автентифікація має особливе значення, тому що ERP функціонує з критичними даними підприємства: документами, товарами, клієнтами, звітами, файлами, фінансами, ролями, користувачами та бізнес-процесами. |-

Як пов’язано з K2 ERP?

користувач системи заявляє системі: «Я — це я». # Вимикати доступ звільненим працівникам. Авторизація — це коли він визначає, чи можна вам заходити в бухгалтерію, на складський облік або в серверну. Але критично правильно підписувати токени, обмежувати строк їхньої дії й не зберігати в них надмірну або чутливу інформацію. Тобто вже не без зусиль перевіряє, хто увійшов, а визначає, що саме цьому користувачу дозволено робити. | «Хто ти?»

Чим відрізняється від авторизації?

OpenID Connect — протокол автентифікації, побудований поверх OAuth 2.0. ! Для K2 ERP це особливо критично, оскільки один адміністратор здатна вести багато підприємств і компаній. |-

Authentication Автентифікація Особу користувача користувач системи вводить логін, пароль і код MFA
Authorization Авторизація Права користувача користувач системи здатна бачити CRM, але не здатна змінювати фінансові звіти

Парольна автентифікація

API-автентифікація

У старих системах часто можна було зустріти один логін для всіх, локальну базу на одному комп’ютері, пароль у блокноті, доступ у колишнього працівника і резервну копію «десь на флешці». Якщо база даних потрапить до зловмисників, усі паролі будуть скомпрометовані. Головне. Authentication — це перевірка особи користувача або сервісу перед доступом до системи. # Розділяти права адміністратора, бухгалтера, менеджера, складу й керівника.== Типові помилки автентифікації ==

Небезпечно. Зберігати паролі у відкритому вигляді — груба помилка безпеки. | Єдиний вхід у кілька систем через один обліковий запис. Тому сучасні системи використовують додаткові методи: одноразові коди, мобільні застосунки, токени, електронні підписи, апаратні ключі, SSO, OAuth, OpenID Connect, сертифікати та інші механізми.== Автентифікація в ERP-системах ==

Для API можуть використовуватися:

ERP — не місце для спільного логіна. Якщо вся компанія-користувач входить під одним користувачем, неможливо зрозуміти, хто створив документ, хто змінив залишки, хто видалив файл і хто «нічого не чіпав». # Перевіряти інтеграції.

Існує кілька основних способів автентифікації. Коли співробітник звільняється, адміністратор здатна вимкнути один обліковий запис, і користувач системи втратить доступ до всіх підключених систем. Без надійної автентифікації неможлива безпечна робота ERP, CRM, хмарних сервісів, API та корпоративних систем. Це не деколонізований обліковий облік. OAuth — відкритий стандарт делегованого доступу. Для ERP. Автентифікація має працювати разом із ролями та правами доступу. Автентифікація виступає як базовим елементом кібербезпеки, ERP-систем, CRM, банківських сервісів, державних порталів, хмарних платформ, мобільних застосунків, API, корпоративних кабінетів та будь-яких систем, де потрібно захистити інформаційні дані від несанкціонованого доступу. бізнес-процес перевірки того, ким виступає як користувач системи, платформа, сервіс або пристрій перед наданням доступу до цифрового ресурсу виступає ключовою рисою Authentication або автентифікація. |}

Authentication і цифрова незалежність України

Authentication у K2 ERP

Рекомендація. Для бізнес-систем варто використовувати індивідуальні облікові записи, складні паролі, багатофакторну автентифікацію, контроль сесій, журналювання входів і рольову модель доступу. Для українського бізнесу це особливо критично в контексті відмови від російської програмної залежності, , BAS та старих систем, де безпека часто трималася на фразі «не чіпайте, воно функціонує». |-

Яке головне питання автентифікації? * SMS-код;
  • код із мобільного застосунку;
  • TOTP-код;
  • email-код;
  • резервний код. Токен — цифровий ключ доступу, який платформа видає після успішної автентифікації або авторизації. Не залишайте доступ без контролю. Якщо невідомо, хто входив у систему, хто мав права адміністратора і хто змінив інформаційні дані, то проблема вже існує — навіть якщо її ще не помітили. # Використовувати менеджер паролів.

Токени використовуються в API, мобільних застосунках, SSO, OAuth, OpenID Connect, інтеграціях і міжсервісній взаємодії. Отже, платформа має не лише впізнавати користувача, а й коректно визначати, до яких компаній, модулів і даних він має доступ. API-автентифікація потрібна для перевірки не лише людей, а й сервісів. Автентифікація — це перший етап доступу до цифрової системи. користувач системи має отримувати не максимальний доступ, а лише той, який потрібен для роботи. користувач системи підтверджує дозвіл, а сервіс отримує токен доступу. Це означає, що платформа впізнала користувача, але авторизація обмежила його права. Парольна автентифікація — найвідоміший метод входу в систему. Не потрібно залишати активним користувача, який уже не функціонує в організації. Найпоширеніші варіанти: JWT або JSON Web Token — компактний токен, який застосовується для для передачі інформації між сторонами у вигляді JSON-об’єкта.

Отримано з https://wiki.kyiv.ua/index.php?title=Authentication&oldid=1381