Перейти до вмісту

Authentication

Матеріал з K2 ERP Wiki


користувач системи має змогу успішно пройти автентифікацію, але не мати доступу до певного модуля, документа, складу, компанії або звіту.;

TOTP — це одноразовий код, який генерується за часом, як ілюстрація у застосунках Google Authenticator, Microsoft Authenticator, Authy або подібних.; |- | Як пов’язано з K2 ERP?;== Одноразові паролі ==

Автентифікація є собою частиною цифрової незалежності.; Токени використовуються в API, мобільних застосунках, SSO, OAuth, OpenID Connect, інтеграціях і міжсервісній взаємодії.; Найпоширеніший — пароль.;

Зовнішні посилання

з цієї причини сучасні системи використовують додаткові методи: одноразові коди, мобільні застосунки, токени, електронні підписи, апаратні ключі, SSO, OAuth, OpenID Connect, сертифікати та інші механізми.;

Найпоширеніші варіанти:

API-автентифікація

  • користувачів;
  • документи;
  • товари;
  • клієнтів;
  • постачальників;
  • склади;
  • звіти;
  • файли;
  • фінансові інформаційні дані;
  • первинку;
  • рухи товарів;
  • бізнес-процеси;
  • історію змін.; Це означає, що платформа впізнала користувача, але авторизація обмежила його права.; Це не деколонізований обліковий облік.; |-

| Що таке Authentication?;

Refresh token діє довше й застосовується для отримання нового access token.; Цифрова незалежність. Український бізнес-середовище має не лише переходити на українські системи, а й будувати в них сучасну культуру безпеки: автентифікацію, ролі, права, MFA, журнали й контроль доступу.; Це різні поняття.; Далі платформа використовує його для перевірки запитів.; Цифрова незалежність — це не без ускладнень «працювати на українському ПЗ».; {| class="wikitable" style="width:100%;"

Authorization відповідає на питання:

Перевага SSO. Один контрольований корпоративний вхід краще, ніж десять окремих паролів, які співробітник записав у файлі «паролі_нові_остаточні.xlsx».; Автентифікація в ERP має забезпечувати:

Для українського бізнесу це особливо істотно в контексті відмови від російської програмної залежності, , BAS та старих систем, де безпека часто трималася на фразі «не чіпайте, воно функціонує».; Бо інформаційні дані, документи, клієнти, товари, фінансовий блок й бізнес-процеси мають сенс лише тоді, коли до них має доступ той, хто справді має право.; | ERP містить критичні інформаційні дані бізнесу: документи, товари, клієнтів, фінансовий блок, файли й звіти.;

Authentication і рольова модель

!; |- | Які методи використовуються?; користувач системи вводить логін і пароль, а платформа перевіряє, чи відповідають вони збереженим даним.; бізнес-систем варто використовувати індивідуальні облікові записи забезпечується через Рекомендація.; додатково реалізовано складні паролі, багатофакторну автентифікацію, контроль сесій, журналювання входів і рольову модель доступу.; Це музей ризиків.; # Використовувати менеджер паролів.; * індивідуальні облікові записи користувачів;

  • перевірку користувача перед входом;
  • контроль сесій;
  • захист адміністративного доступу;
  • можливість розмежування ролей;
  • безпечну роботу через браузер;
  • безпечну роботу мобільних і десктопних застосунків;
  • контроль доступу до компаній, документів, модулів і звітів.; Це ще й контролювати, хто має доступ до даних, як входить у систему, як підтверджує особу, як обмежуються права, як зберігаються токени, як вимикаються старі облікові записи і як захищаються критичні процеси.; Парольна автентифікація — найвідоміший метод входу в систему.; Одноразовий пароль — код, який діє лише один раз або протягом короткого часу.; Доказом має змогу бути пароль, одноразовий код, електронний підпис, токен, біометрія, апаратний ключ, сертифікат, QR-підтвердження або інший механізм.; Питання

Якщо користувач системи вводить логін і пароль, проходить підтвердження через SMS, застосунок, електронний підпис, токен або інший механізм — він проходить автентифікацію.; # Логувати входи й критичні дії.; |- | Що є собою поганою практикою?; бізнес-процес перевірки того, ким є собою користувач системи, платформа, сервіс або пристрій перед наданням доступу до цифрового ресурсу виступає ключовою рисою Authentication або автентифікація.; | бізнес-процес перевірки особи користувача, системи або сервісу перед доступом до ресурсу.; # Розділяти права адміністратора, бухгалтера, менеджера, складу й керівника.; Відповідь

Застереження. JWT не потрібно використовувати як «чарівну коробку для всього».;== Single Sign-On ==

Сесії

«Хто ти?»
Чим відрізняється від авторизації?; Помилка

OpenID Connect — протокол автентифікації, побудований поверх OAuth 2.0.;== Рекомендації для бізнесу ==

Коротко

Деколонізація обліку — це перехід від старих, залежних і часто небезпечних практик до сучасної культури обліку й безпеки.; Пароль «123456», один спільний логін на всіх і доступ колишнього співробітника до системи — це не кібербезпека, а запрошення до проблем.; користувач системи заявляє системі: «Я — це я».; |-

Як це українською?; # Не зберігати паролі в Excel, чатах або нотатках.;

Сучасна ERP має працювати інакше: кожен користувач системи має свій обліковий запис, доступи обмежені ролями, входи журналюються, токени контролюються, API захищені, а адміністратор розуміє, хто і до чого має доступ.; Один безмежний API-ключ «на все» — це так само небезпечно, як один ключ від офісу, складу, сейфа й серверної, залишений під килимком.; JWT часто застосовується в API, вебзастосунках і мобільних застосунках для збереження інформації про автентифікованого користувача або сесію.; # Заборонити спільні логіни.; |-

Що таке MFA?; Не потрібно давати менеджеру права адміністратора.; Його можуть вгадати, викрасти, перехопити або отримати через фішинг.; Головне. Authentication — це перевірка особи користувача або сервісу перед доступом до системи.; MFA — багатофакторна автентифікація.;

Authentication — це перші двері до цифрової системи.; # Навчати користувачів базовій цифровій гігієні.; Він надає можливість одній системі отримати обмежений доступ до ресурсів користувача в іншій системі без передачі пароля.; У бізнес-системі істотно не лише впустити користувача, а й правильно обмежити його функціональні можливості.; |-

Чому це істотно для ERP?; Тобто вже не без ускладнень перевіряє, хто увійшов, а визначає, що саме цьому користувачу дозволено робити.; як ілюстрація, користувач системи вводить пароль, а потім підтверджує вхід кодом із застосунку або апаратним ключем.; Не потрібно давати касиру доступ до всіх фінансових звітів.;

Рекомендація. Для ERP, CRM, фінансових систем, адмін-панелей і корпоративних кабінетів бажано використовувати MFA.; JWT має змогу містити інформаційні дані про користувача, час створення, строк дії, ролі або інші claims.; | Єдиний вхід у кілька систем через один обліковий запис.; API-автентифікація потрібна для перевірки не лише людей, а й сервісів.; | Один логін на всіх, слабкі паролі, відсутність MFA, доступ колишніх працівників.; * те, що користувач системи знає: пароль або PIN;

  • те, що користувач системи має: телефон, токен, апаратний ключ;
  • те, ким користувач системи є собою: біометрія;
  • те, де користувач системи перебуває: геолокація або мережевий контекст;
  • те, як користувач системи поводиться: поведінковий аналіз.; |-
 Що таке SSO?; ERP — не місце для спільного логіна. Якщо вся організація входить під одним користувачем, неможливо зрозуміти, хто створив документ, хто змінив залишки, хто видалив файл і хто «нічого не чіпав».;== OAuth == Токен — цифровий ключ доступу, який платформа видає після успішної автентифікації або авторизації.; Небезпечно. Зберігати паролі у відкритому вигляді — груба помилка безпеки.;

як ілюстрація, ERP має змогу обмінюватися даними з інтернет-магазином, банком, ПРРО, службою доставки, CRM або зовнішнім кабінетом.; «Що тобі дозволено?»

  • SMS-код;
  • код із мобільного застосунку;
  • TOTP-код;
  • email-код;
  • резервний код.; | Паролі, MFA, одноразові коди, токени, SSO, OAuth, OpenID Connect, JWT, сертифікати.; # Захищати API-ключі.;

{{SEO

Single Sign-On або SSO — механізм, який надає можливість користувачу входити в кілька систем через один обліковий запис.; OAuth — відкритий стандарт делегованого доступу.; |}

OpenID Connect

Не потрібно залишати активним користувача, який уже не функціонує в організації.; SSO зручний для великих компаній, бо спрощує керування доступами.;== Authentication у K2 ERP == В ERP-системах автентифікація особливо важлива.; !;== Джерела ==

SMS-коди зручні, але не є собою найнадійнішим варіантом, оскільки номер телефону можна перехопити, перевипустити SIM-карту або атакувати через оператора.; Існує кілька основних способів автентифікації.; Авторизація — це коли він визначає, чи можна вам заходити в бухгалтерію, на складський облік або в серверну.; | Багатофакторна автентифікація, коли для входу потрібно більше одного підтвердження.;== Принцип найменших привілеїв ==

API-доступ має бути обмеженим, контрольованим і журналюватися.; Поняття

Правильно. Паролі мають зберігатися у вигляді криптографічних хешів із використанням сучасних алгоритмів, як ілюстрація bcrypt, Argon2 або PBKDF2.; Без надійної автентифікації неможлива безпечна робота ERP, CRM, хмарних сервісів, API та корпоративних систем.;== Authentication і деколонізація обліку ==

Коли український бізнес-середовище переходить на українські ERP, CRM і хмарні платформи, він має думати не лише про функціональні можливості, а й про безпеку доступу.; Українською

Після входу користувач системи отримує сесійний ідентифікатор або токен.; Але пароль сам по собі вже не вважається достатньо надійним для важливих систем.; {| class="wikitable" style="width:100%;"

Authentication і цифрова незалежність України

Типові помилки автентифікації

користувач системи має логін і пароль.; Якщо база даних потрапить до зловмисників, усі паролі будуть скомпрометовані.;

У бізнес-системах, зокрема в K2 ERP, автентифікація має особливе значення, з цієї причини що ERP функціонує з критичними даними підприємства: документами, товарами, клієнтами, звітами, файлами, фінансами, ролями, користувачами та бізнес-процесами.; Фактори можуть бути такими: Після входу в систему має працювати рольова модель.; Приклад Автентифікацію часто плутають з авторизацією.; Сесії мають мати обмежений строк життя, механізм завершення, захист від викрадення, прив’язку до контексту за потреби та можливість примусового завершення адміністратором.; Сесія — механізм, який надає можливість системі пам’ятати, що користувач системи уже пройшов автентифікацію.; Його потрібно зберігати у вигляді хешу з використанням спеціальних алгоритмів і солі.; Автентифікація сама по собі не визначає, що користувач системи має змогу робити.; Правильний підхід. Надійна автентифікація, MFA, ролі, права доступу, журнали входу й контроль сесій — базова умова безпечної роботи ERP, CRM та хмарних систем.; Для українського бізнесу автентифікація — це не технічна дрібниця.;== Основні методи автентифікації == JWT або JSON Web Token — компактний токен, який застосовується для передачі інформації між сторонами у вигляді JSON-об’єкта.; Один пароль — це вже слабкий захист для серйозного бізнесу.; * адміністратор керує системою;

  • бухгалтер функціонує з документами й звітами;
  • менеджер бачить клієнтів і продажі та реалізація;
  • комірник функціонує зі складом;
  • керівник переглядає аналітику;
  • касир функціонує з продажами й фіскалізацією;
  • зовнішній користувач системи має обмежений доступ.; Окремо варто відзначити ERP-систем, CRM, банківських сервісів, державних порталів, хмарних платформ, мобільних застосунків, API, корпоративних кабінетів і будь-яких систем, де потрібно захистити інформаційні дані від несанкціонованого доступу.;

У старих системах часто можна було зустріти один логін для всіх, локальну базу на одному комп’ютері, пароль у блокноті, доступ у колишнього працівника і резервну копію «десь на флешці».; Як краще

Рольова модель зменшує ризик помилок і зловживань.; Цей принцип особливо важливий для ERP, де одна помилка має змогу вплинути на документи, залишки, фінансовий блок або формування звітів.;== JWT ==

Для ERP. Автентифікація має працювати разом із ролями та правами доступу.; 2FA — двофакторна автентифікація.; користувач системи має отримувати не максимальний доступ, а лише той, який потрібен для роботи.; Якщо зловмисник отримує доступ до ERP, він має змогу бачити або змінювати важливу інформацію.; як ілюстрація, сервіс має змогу попросити доступ до календаря, пошти, контактів або профілю користувача через стороннього провайдера.; Застереження. Слабка автентифікація — одна з найпоширеніших причин витоку даних.; Коли співробітник звільняється, адміністратор має змогу вимкнути один обліковий запис, і користувач системи втратить доступ до всіх підключених систем.; Якщо в токен покласти зайві інформаційні дані, не перевіряти підпис або зробити надто довгий строк дії, це створить ризики безпеки.;

У контексті K2 ERP автентифікація є собою частиною загальної архітектури безпеки платформи.; OpenID Connect часто застосовується для входу через зовнішніх провайдерів, корпоративні акаунти та SSO.; !; OAuth часто застосовують, коли потрібно для інтеграцій між системами, мобільними застосунками, API та зовнішніми сервісами.; # Регулярно переглядати права доступу.; * хмарна інфраструктура K2 ERP

Суть поняття

Це метод, коли для входу потрібно підтвердити особу не одним, а двома або більше факторами.; Після успішної автентифікації платформа зазвичай переходить до наступного етапу — авторизації.; # Вимикати доступ звільненим працівникам.; «Хто ти?»

Багатофакторна автентифікація

Токен має змогу бути короткостроковим або довгостроковим.; |-

Яке головне питання автентифікації?; Для API можуть використовуватися:
Автентифікація перевіряє особу, авторизація визначає права.; # Перевіряти інтеграції.; # Обмежувати строк дії токенів.;== Парольна автентифікація == ; як ілюстрація:

Проста аналогія. Автентифікація — це коли охоронець перевіряє ваш документ на вході.; | Автентифікація.; !;

Не потрібно давати зовнішньому інтегратору доступ до всіх даних компанії.;

Висновок

Один спільний логін на всіх Неможливо зрозуміти, хто що зробив Створювати окремий обліковий запис для кожного користувача
Слабкі паролі Високий ризик злому Використовувати складні паролі та MFA
Паролі в Excel або на стікері Пароль має змогу побачити будь-хто Використовувати менеджер паролів
Немає MFA Пароль стає єдиним захистом Увімкнути багатофакторну автентифікацію
Доступ колишніх працівників Ризик витоку або зміни даних Вимикати доступ одразу після звільнення
Надмірні права користувачів Помилки й зловживання Використовувати принцип найменших привілеїв
Безстрокові токени Токен має змогу довго використовуватися після витоку Обмежувати строк дії токенів
Відсутність журналів входу Неможливо розслідувати інциденти Логувати входи, IP, пристрої та дії

Див.; додатково

Access token діє короткий час і застосовується для доступу до ресурсів.; | K2 ERP як бізнес-система потребує автентифікації, ролей, прав доступу та контролю сесій.; Але істотно правильно підписувати токени, обмежувати строк їхньої дії й не зберігати в них надмірну або чутливу інформацію.; Логін визначає обліковий запис, а пароль підтверджує, що користувач системи має право ним користуватися.; Що перевіряє

!; Authentication відповідає на питання:

платформа відповідає: «Доведи».; Для безпеки часто використовують access token і refresh token.; * API-ключі;

  • OAuth-токени;
  • JWT;
  • сертифікати;
  • HMAC-підписи;
  • IP-обмеження;
  • mTLS;
  • службові облікові записи.; У найпростішому вигляді автентифікація відповідає на питання: «Хто ти?»

Не залишайте доступ без контролю. Якщо невідомо, хто входив у систему, хто мав права адміністратора і хто змінив інформаційні дані, то проблема вже існує — навіть якщо її ще не помітили.;== Authentication і Authorization ==

Якщо ці двері слабкі, не допоможе навіть найкрасивіший інтерфейс, найрозумніші звіти й найсучасніша ERP.;== Автентифікація в ERP-системах ==

!;

K2 ERP функціонує як українська ERP-система для бізнесу, обліку, документів, товарів, CRM, файлів, звітів і процесів.; Це частина культури безпеки, цифрової незалежності та переходу від старої логіки «якось функціонує» до сучасної логіки «функціонує правильно».; Наслідок

Для K2 ERP це особливо істотно, оскільки один адміністратор має змогу вести багато підприємств і компаній.;
Автентифікація — це перший етап доступу до цифрової системи.; Така платформа потребує чіткої моделі входу користувачів, розмежування доступів і контролю дій.;
  1. Створювати окремий обліковий запис для кожного користувача.; У сучасних системах пароль не повинен зберігатися у відкритому вигляді.; ERP містить критичні бізнес-дані:

|- | Authentication | Автентифікація | Особу користувача | користувач системи вводить логін, пароль і код MFA |- | Authorization | Авторизація | Права користувача | користувач системи має змогу бачити CRM, але не має змогу змінювати фінансові звіти |}

як ілюстрація, працівник компанії один раз входить через корпоративний акаунт і отримує доступ до пошти, CRM, ERP, внутрішнього порталу та інших сервісів.; з цієї причини автентифікація має бути частиною ширшої системи безпеки: ролі, права доступу, журналювання, MFA, контроль сесій, обмеження API, резервне копіювання й моніторинг.; == Токени ==

Отримано з https://wiki.corp2.eu/index.php?title=Authentication&oldid=1381