● 84 entries

Идентификация и доступ

АвторизацияПроцесс определения того, что разрешено уже аутентифицированной идентичности: к каким ресурсам, действиям и при каких условиях.
Адаптивная аутентификацияПодход к аутентификации, который в реальном времени меняет силу и число требуемых факторов на основе сигналов: устройства, локации, поведения.
Атрибутная модель доступа (ABAC)Модель авторизации, которая принимает решение по запросу на основе политик над атрибутами субъекта, ресурса, действия и среды.
АутентификацияПроцесс проверки того, что субъект — пользователь, устройство или сервис — действительно является тем, за кого себя выдаёт, перед предоставлением доступа.
Аутентификация на основе риска (RBA)Стратегия аутентификации, при которой для каждого входа вычисляется оценка риска и в зависимости от неё применяется разрешение, дополнительная проверка или блокировка.
Аутентификация по magic linkБеспарольный сценарий входа, при котором пользователь получает одноразовый URL по почте или SMS, и переход по нему аутентифицирует сессию.
Аутентификация NTLMУстаревший протокол Windows-аутентификации по схеме «вызов-ответ», подтверждающий пользователя по хешу пароля; по современным меркам считается слабым.
Биометрическая аутентификацияМетод аутентификации, проверяющий личность по уникальным физическим или физиологическим признакам — отпечаткам пальцев, лицу, радужке или голосу.
Биометрический фактор (то, кем вы являетесь)Фактор аутентификации, основанный на биометрической характеристике пользователя: отпечатке пальца, лице, радужке, голосе или ритме набора.
Блокировка учётной записиМеханизм, временно или постоянно блокирующий попытки входа после заданного количества подряд идущих ошибок, замедляющий онлайн-перебор паролей.
Взаимная аутентификацияОбмен аутентификацией, при котором обе стороны — клиент и сервер либо два сервиса — криптографически подтверждают свою личность до обмена данными.
Воспроизведение сессийМетод UX-аналитики, при котором записываются DOM, клики, прокрутки и нажатия клавиш реальной пользовательской сессии для последующего воспроизведения и анализа.
Двухфакторная аутентификация (2FA)Частный случай MFA, требующий ровно два фактора — обычно пароль и второй фактор — для подтверждения личности.
Децентрализованный идентификатор (DID)Стандартизованный W3C идентификатор, которым субъект управляет напрямую без центрального реестра и который разрешается в документ с криптографическим ключевым материалом.
Дискреционный контроль доступа (DAC)Модель контроля доступа, в которой владелец ресурса сам решает, кто может к нему обращаться и какие операции выполнять.
Доступ «точно вовремя» (JIT)Модель доступа, при которой повышенные или чувствительные привилегии выдаются только на ограниченное время и под конкретную задачу, после чего автоматически отзываются.
Единый вход (SSO)Способ аутентификации, при котором пользователь один раз входит у доверенного поставщика идентификации и затем получает доступ ко многим приложениям без повторного ввода учётных данных.
Защищённый мессенджерКоммуникационное приложение, по умолчанию использующее сквозное шифрование, проверку личности и forward secrecy, чтобы переписку могли читать только участники.
Идентичность сотрудниковИдентичности, учётные данные и права доступа сотрудников, подрядчиков и внутренних сервисов организации, в отличие от клиентской идентичности (CIAM).
Имперсонация токенаТехника повышения привилегий в Windows (MITRE ATT&CK T1134), при которой атакующий дублирует существующий токен доступа и запускает код в контексте другого пользователя.
Машинная идентичностьКриптографическая идентичность нечеловеческой сущности — рабочей нагрузки, устройства, контейнера или API-клиента — для аутентификации и установления доверия.
Менеджер паролейПриложение, которое генерирует, хранит и автоматически подставляет уникальные надёжные учётные данные; защищается мастер-фразой и всё чаще passkey.
Многофакторная аутентификация (MFA)Метод аутентификации, при котором перед предоставлением доступа требуется два и более независимых фактора, обычно из разных категорий.
Модель AAAБазовая модель контроля доступа из трёх последовательных функций: аутентификация, авторизация и учёт.
Непрерывная аутентификацияПодход, при котором подлинность пользователя проверяется на протяжении всей сессии по поведенческим и устройственным сигналам, а не только при входе.
Обнаружение невозможных перемещенийДетектор, помечающий последовательные входы из географически удалённых точек, между которыми невозможно физически переместиться за прошедшее время.
Обязательный контроль доступа (MAC)Модель контроля доступа, при которой централизованная политика — а не владелец ресурса — принимает решения на основе классификаций и допусков субъектов и объектов.
Одноразовый пароль (OTP)Короткий числовой код, действительный лишь для одной попытки входа или короткого временного окна и обычно используемый как второй фактор.
Одноразовый пароль на основе времени (TOTP)Алгоритм одноразового пароля, описанный в RFC 6238, который вычисляет короткий код по общему секрету и текущему времени и обновляется каждые 30 секунд.
Одноразовый пароль на основе HMAC (HOTP)Алгоритм одноразового пароля на основе событий из RFC 4226, который вычисляет короткий код по общему секрету и монотонно растущему счётчику.
ПарольСекретная строка символов, которую пользователь предъявляет системе для подтверждения своей личности; традиционно — основной механизм однофакторной аутентификации.
Парольная фразаДлинная последовательность слов или символов, используемая как секрет аутентификации; выбирается прежде всего ради высокой энтропии и запоминаемости, а не сложности.
Перебор аккаунтовАтака, использующая различия в ответах приложения, чтобы определить, какие аккаунты, e-mail или телефоны существуют в целевой системе.
Перебор имён пользователейЧастная форма перебора аккаунтов, при которой ответы приложения подтверждают существование конкретного имени пользователя, помогая нацелить дальнейшие атаки.
Поведенческая биометрияТехнология непрерывной аутентификации, которая профилирует уникальные действия пользователя — ритм набора, движения мыши, походку и жесты — чтобы выявлять самозванцев.
Повторное использование паролейПрактика использования одного и того же пароля в нескольких аккаунтах и сервисах, из-за которой одна утечка компрометирует множество учётных записей.
Политика паролейДокументированный набор правил создания, хранения, смены и проверки пользовательских паролей для баланса безопасности и удобства.
Принцип наименьших привилегийПринцип безопасности, согласно которому каждому пользователю, процессу или сервису выдаётся только тот минимум прав, который строго необходим для его задач.
Проверяемое удостоверение (Verifiable Credential)Защищённое от подделки, криптографически подписанное утверждение одной стороны о субъекте, выраженное в модели W3C Verifiable Credentials.
Протокол SignalПротокол сквозного шифрования, разработанный Open Whisper Systems для мессенджера Signal; сочетает согласование ключей X3DH с алгоритмом Double Ratchet.
Режимы ядра и пользователяДва уровня привилегий CPU, обеспечиваемые современными ОС: режим ядра (supervisor, ring 0) с полным доступом к оборудованию и пользовательский режим (ring 3), ограниченный своим адресным пространством и непривилегированными инструкциями.
Ролевая модель доступа (RBAC)Модель авторизации, в которой права назначаются ролям, а не напрямую пользователям; пользователи получают доступ через назначение в соответствующую роль.
Самостоятельная идентичность (SSI)Модель идентичности, в которой человек или организация сами владеют и предъявляют свои учётные данные, не опираясь на центрального провайдера идентичности.
Сбор учётных данныхМассовый сбор имён пользователей, паролей, токенов и других секретов аутентификации, обычно для последующего захвата аккаунтов или перепродажи.
Сервисная учётная записьНечеловеческая идентичность, используемая приложением, скриптом или сервисом для аутентификации в других системах, как правило, без интерактивного входа.
Сессионный токенНепрозрачный идентификатор, выдаваемый после аутентификации; клиент возвращает его в каждом запросе, чтобы сервер мог найти состояние сессии пользователя.
Сквозное шифрование (E2EE)Модель шифрования, при которой ключи имеются только у конечных участников связи, а промежуточные серверы и операторы сети не могут прочесть открытый текст.
Скомпрометированный пароль (Pwned)Пароль, уже фигурирующий в известной утечке данных, поэтому он не должен допускаться в качестве пользовательского секрета — каталог ведёт сервис Have I Been Pwned Троя Ханта.
Социальный логинШаблон аутентификации, при котором пользователь входит на сторонний сайт с помощью существующего аккаунта Google, Apple, Microsoft, Facebook, GitHub и подобных провайдеров.
Управление идентификацией и доступом (IAM)Дисциплина и набор технологий для определения цифровых идентификаторов и контроля того, к каким ресурсам и при каких условиях имеет доступ каждая учётная запись.
Управление привилегированным доступом (PAM)Совокупность практик и инструментов для защиты, контроля, мониторинга и аудита доступа к учётным записям и системам с повышенными правами.
Управление сессиямиНабор средств, которые выдают, поддерживают, обновляют и отзывают аутентифицированную сессию, связывая личность пользователя с последующими запросами до выхода или истечения срока.
Учёт (Accounting в AAA)Третий компонент модели AAA: фиксация того, что аутентифицированная идентичность делала, когда, откуда и над какими ресурсами, для аудита и биллинга.
Фактор владения (то, что у вас есть)Фактор аутентификации, основанный на физическом или криптографическом предмете во владении пользователя: аппаратный токен, смарт-карта, приложение-аутентификатор или зарегистрированный телефон.
Фактор времени (аутентификация)Контекстный фактор аутентификации, ограничивающий или оценивающий доступ по времени суток, дню недели или длительности сессии, часто в сочетании с риск-политиками.
Фактор знания (то, что вы знаете)Фактор аутентификации, основанный на сведениях, которые знает пользователь: пароль, PIN, парольная фраза или ответ на контрольный вопрос.
Фактор местоположения (где вы находитесь)Контекстный фактор аутентификации, использующий географическое или сетевое местоположение пользователя: GPS, геолокацию по IP или офисный Wi-Fi, для оценки входа.
Федеративная идентичностьСхема, при которой независимые организации или домены доверяют общему поставщику идентификации, что позволяет пользователю использовать одну и ту же идентичность во всех системах.
Хранилище учётных данныхЦентрализованный и аудируемый сервис, который безопасно хранит, ротирует и посредничает доступ к секретам — паролям, ключам API, сертификатам и SSH-ключам.
Цифровая идентичностьСовокупность идентификаторов, учётных данных и атрибутов, представляющая человека, организацию или устройство в онлайн-системах.
Энтропия пароляМера непредсказуемости пароля в битах: чем выше энтропия, тем больше попыток понадобится злоумышленнику для его подбора.
Access-токенКороткоживущая учётная запись, выдаваемая сервером авторизации; клиент предъявляет её API, чтобы получить доступ к защищённым ресурсам от имени пользователя или сервиса.
Active DirectoryКорпоративная служба каталогов Microsoft для сетей Windows, обеспечивающая централизованную аутентификацию, авторизацию и управление политиками для пользователей, компьютеров и ресурсов.
API-ключСтатическая секретная строка, выдаваемая сервисом для идентификации и аутентификации вызывающей стороны; обычно отправляется в заголовке или параметре каждого запроса к API.
Bearer-токенНепрозрачный или структурированный мандат (RFC 6750), дающий доступ к ресурсу самим фактом владения, без подтверждения, что обладатель — законный владелец.
BPF LSMМодуль безопасности Linux, позволяющий верифицированным eBPF-программам подключаться к LSM-хукам и применять пользовательские правила обязательного контроля доступа к системным вызовам, файлам, сокетам и capability.
CSRF-токенНепредсказуемое значение, привязанное к сессии и встраиваемое в формы или заголовки, чтобы сервер мог убедиться, что изменяющие состояние запросы исходят с его страниц.
FIDO2Открытый стандарт аутентификации FIDO Alliance, объединяющий WebAuthn (браузерный API) и CTAP (протокол аутентификатора) для входа без пароля с защитой от фишинга.
JWT (JSON Web Token)Компактный URL-безопасный формат токена (RFC 7519) с подписанными JSON-утверждениями; используется как access token, ID token и контейнер сессии.
KerberosСетевой протокол аутентификации на основе билетов, использующий симметричную криптографию и доверенный центр распределения ключей для безопасного единого входа.
LDAPLightweight Directory Access Protocol — стандарт IETF для запроса и изменения иерархических служб каталогов поверх TCP/IP, обычно через порт 389 или 636 c TLS.
Linux CapabilitiesФункция ядра Linux на базе черновика POSIX.1e, разбивающая всемогущие права root на более чем 40 дискретных привилегий, выдаваемых процессам и файлам по отдельности.
MFA-усталость (Push Bombing)Атака, в которой злоумышленник с валидным паролем заваливает жертву push-уведомлениями MFA, пока та не одобрит запрос по ошибке или из-за раздражения.
OAuth 2.0Открытый фреймворк авторизации, позволяющий владельцу ресурса предоставлять стороннему приложению ограниченный и регулируемый доступ к API без передачи учётных данных.
OpenID Connect (OIDC)Слой идентификации поверх OAuth 2.0, позволяющий клиентам проверять подлинность пользователя и получать базовые сведения о профиле через подписанные ID-токены.
PasskeyУстойчивые к фишингу учётные данные FIDO2/WebAuthn — асимметричная пара ключей, привязанная к устройству или синхронизируемая, заменяющая пароль криптографическим вызов-ответом.
Push-аутентификацияМетод MFA, при котором поставщик удостоверений отправляет запрос на вход в доверенное мобильное приложение, а пользователь подтверждает или отклоняет его одним касанием.
Refresh-токенДолгоживущая учётка, через которую клиент получает новые короткоживущие access-токены у сервера OAuth 2.0 без повторного входа пользователя.
SAMLОткрытый стандарт на основе XML для обмена утверждениями об аутентификации и авторизации между поставщиком идентификации и поставщиком услуг.
SeDebugPrivilegeМощная привилегия Windows, дающая владельцу право открывать, читать и изменять память любого процесса, включая LSASS, и потому являющаяся главной целью для кражи учётных данных.
Step-Up аутентификацияШаблон, требующий дополнительных или более сильных факторов, когда пользователь выполняет операцию с большим риском, чем разрешает текущая сессия.
U2F (Universal 2nd Factor)Открытый стандарт аутентификации FIDO Alliance, добавляющий к паролю аппаратный второй фактор в виде USB-, NFC- или Bluetooth-ключа безопасности.
User Account Control (UAC)Функция безопасности Windows, появившаяся в Vista: интерактивные сессии работают с ограниченным токеном, а перед административным повышением запрашивается согласие или учётные данные.
WebAuthnСтандартный JavaScript-API W3C, позволяющий веб-приложениям регистрировать и аутентифицировать пользователей по учётным данным с открытым ключом на платформенных или внешних аутентификаторах.