雖然驗證(authentication)和授權(authorization)會互相替換使用,但正式來說,這是兩個獨立流程,用以保護組織免於潛在網路攻擊。隨著資料外洩(data breaches)的頻率和範圍不斷升級,為防止機密資料落入不法份子手中,驗證與授權是極為重要的第一道防線。企業組織應將強大的驗證與授權方法列為發展其整體安全策略的關鍵要務之一。
驗證與授權 (authentication authorization)
首先,驗證與授權兩者有何差異?簡而言之,驗證是確認人員身分的流程,而授權則是確認使用者可存取哪些特定應用程式、檔案和資料的流程。舉例而言,這就如同飛機航班確認登機人士的情境。第一步需確認登機乘客的身分,確定是本人無誤。確認完乘客身分之後,第二步則是確認乘客可以享用哪些特別服務,例如搭乘頭等艙或有權使用貴賓室。
在數位世界中,驗證和授權可以達成相同的目標。驗證流程確保使用者是否為本人。確認完身分之後,再根據不同類型使用者訂立的規則,授予使用者存取不同層級資訊及執行特定職能的權限。
| 驗證 | 授權 |
| 確認使用者的真實身分。 | 授權使用者可存取的資源。 |
| 驗證是透過密碼、一次性 PIN 碼、生物辨識資訊及其他使用者提供或輸入的資訊來進行。 | 授權是透過組織實行和維護的設定來進行。 |
| 驗證是良好的身分與存取管理流程的第一步。 | 授權一律待驗證完成後才能進行。 |
| 使用者可以看見驗證並對其進行部分變更。 | 使用者看不見,也無法變更授權。 |
| 範例:確認過身分的員工即可存取人力資源 (HR) 應用程式,裡面含有他們的個人薪資資訊、休假時間和 401K 資料。 | 範例:完成存取層級授權之後,員工和人資經理即可根據組織設定的權限,存取不同層級的資料。 |
常用的驗證方法
儘管使用者身分多採用使用者名稱與密碼組合來進行驗證,但目前的驗證方式通常會依靠三類資訊:
- 所知之事 (what you know):最常見的就是密碼,以及安全問題的答案,或是允許使用者存取單一連線作業或交易的一次性 PIN 碼。
- 所持之物 (what you possess):行動裝置或應用程式、安全權杖(security token)或數位身份證。
- 所具之形 (what you are):生物辨識資料,例如指紋、視網膜掃描或臉部辨識。
這幾類資訊通常會採用多層式驗證(MFA)(常見為二階段驗證或雙重驗證,簡稱2FA – two factor authentication)加以結合。例如系統可能會要求使用者提供使用者名稱和密碼以完成線上購買。一經確認之後,系統會發送一次性 PIN 碼到使用者的手機,做為第二層安全防護。結合使用多種驗證方式與一致的驗證通訊協定,組織便能確保安全性及系統間的相容性。
常用的授權方法
使用者通過驗證之後,隨即會套用授權控制措施,確保使用者可依據組織授予給他們的權限存取所需資料及執行特定功能(例如新增或刪除資訊)。這些權限可以在應用程式、作業系統或基礎架構層級進行指派。以下是兩個常用的授權技術:
- 角色型存取控制 (RBAC, Role-based Access Control):此授權方式會根據使用者在組織內的角色授予資訊的存取權。例如,同一間公司內的所有員工可以查看,但無法修改他們的薪資、休假天數等個人資訊。但人資經理除了被授予存取所有人資資訊的權限之外,還能夠新增、刪除和變更人資資料。員工角色指派權限,組織便可確保每一位使用者的生產力,同時限制敏感資訊的存取。
- 屬性型存取控制 (ABAC, Attribute-based Access Control):ABAC 的使用者授權分層比 RBAC 更精細。它使用的一系列特定屬性包括使用者名稱、角色、組織、ID 和安全許可。其他可能的屬性還包括環境屬性,例如存取時間、資料位置和組織目前的威脅層級;另外還有資源屬性,例如資源擁有者、檔案名稱和資料敏感度層級。ABAC 的授權流程比 RBAC 更為複雜,其目的在於進一步限制存取。舉例來說,與其允許組織內的所有人資經理變更員工的人資資料,ABAC 授權可限定只能在特定的地理位置或一天當中的特定時段存取,以維護嚴格的安全限制。
強大的驗證與授權策略極其重要
健全的安全策略需仰賴驗證和授權流程確保各式資源的安全。藉由強大的驗證與授權策略,組織即可採用一致的方式驗證使用者身分及其存取權限,防止未經授權的活動對組織造成嚴重威脅。藉由確保每一位使用者正確表明其身分,以及需要的存取權限,組織可大幅提高生產力,並在資料外洩導致許多企業的營收和聲譽受損之際,強化自身的安全防護能力。
