Słownik Keeper IAM

Lista uprawnień określających, którzy użytkownicy i które systemy mają dostęp do określonych zasobów systemowych i jakie działania mogą wykonywać w tych zasobach.

Proces przydzielania i ograniczania przez administratorów IT dostępów użytkownikom do określonych systemów i danych. Zazwyczaj odbywa się to przez ustanowienie grup dla określonych ról, działów i/lub zespołów projektowych, a następnie przydzielenie użytkowników do odpowiednich grup. Proces łączony jest z zarządzaniem tożsamością.

Active Directory (AD) to usługa katalogowa stworzona przez firmę Microsoft dla sieci domeny w systemie Windows. Początkowo była ona używana tylko do scentralizowanego zarządzania domeną, a obecnie jest to termin ogólny określający szeroki zakres usług zarządzania tożsamością opartych na katalogach. Umożliwia organizacjom zarządzanie kilkoma częściami i systemami infrastruktury stacjonarnej przy użyciu pojedynczej tożsamości na użytkownika. Terminu nie należy mylić z Azure Active Directory, czyli narzędziem wykorzystywanym w połączeniu z AD.

Active Directory w organizacji kontroluje dostępy do wszystkich systemów, dlatego skuteczne zabezpieczanie tej usługi jest niezbędne przy zabezpieczaniu całego środowiska danych.

Narzędzie uzupełniające Active Directory (AD), które rozszerza tożsamości lokalne na aplikacje w chmurze. Jest podobne do narzędzia SSO w aplikacjach internetowych, ale używane lokalnie, nie w chmurze. Tak jak Azure AD, AD FS nie może zastąpić Active Directory, ale jest to narzędzie używane w połączeniu z nim.

Metoda znana jako uwierzytelnianie adaptacyjne lub uwierzytelnianie oparte na ryzyku. W jej przypadku parametry logowania są dostosowywane w zależności od poziomu ryzyka danego żądania dostępu. Na przykład, użytkownik logujący się do usługi na urządzeniu, z którego korzysta cały czas, może wprowadzić tylko hasło, ale jeśli próba logowania odbywa się na nowym urządzeniu lub w nowej przeglądarce, wymagane może być podanie jednorazowego kodu dostępu lub odpowiedzi na pytanie zabezpieczające.

Zestaw definicji i protokołów, które umożliwiają różny aplikacjom komunikowanie się. Na przykład, aplikacje pogodowe korzystają z API rządzonych instytucji pogodowych, aby wyświetlać dane pogodowe. Większość nowoczesnych stron internetowych i aplikacji korzysta z co najmniej kilku API stron trzecich.

Są cztery rodzaje API:

Z publicznych API mogą korzystać wszyscy, ale niektóre z nich wymagają wcześniejszej autoryzacji i/lub opłat za użytkowanie.

Prywatne API są po prostu prywatne. Są stosowane wewnętrznie w organizacjach i używane wyłącznie w ramach firmy.

API partnera jest podobne do API publicznego. Może być używane tylko przez autoryzowanego zewnętrznego partnera biznesowego, aby ułatwiać transakcje typu B2B.

API złożone składa się z co najmniej dwóch innych rodzajów API.

Unikalny identyfikator stosowany do uwierzytelniania użytkowników, programistów i aplikacji do API. Zazwyczaj obejmuje zestaw praw dostępu do określonego API.

Upewnianie się, że dany użytkownik jest tym, za kogo się podaje. Zobacz sekcję Zarządzanie tożsamością.

Upewnianie się, że dany użytkownik jest uprawniony, aby uzyskać dostęp do określonego systemu lub określonych danych. Zobacz sekcję Zarządzanie dostępem.

Narzędzia i metody bezpiecznego przechowywania poufnych danych infrastruktury w środowisku IT, zarządzania nimi i uzyskiwania do nich dostępu, np. kluczy API, certyfikatów cyfrowych i poświadczeń kont uprzywilejowanych. Zwane również zarządzaniem hasłami typu Application to Application (AAPM).

Tożsamość jako usługa (IDaaS) to rozwiązanie, które może być stosowane przez organizacje dla wszystkich swoich aplikacji w całym środowisku danych, zarówno lokalnie i w chmurze. Azure Active Directory (Azure AD) nie zastępuje Active Directory, ale jest stosowany razem z AD.

Unikalne cechy fizyczne danej osoby, takie jak odciski palców, skan tęczówki i rozpoznawanie twarzy, które są używane w procesie uwierzytelniania użytkownika i kontroli dostępu.

Zautomatyzowany atak, w którym czynnik zagrożenia używa skryptu, aby przesłać bardzo dużą liczbę haseł lub fraz hasłowych, systematycznie sprawdzając wszystkie możliwe kombinacje, aż do momentu znalezienia pasujących poświadczeń.

Automatyzacja procesów biznesowych (BPA) odnosi się do automatyzacji powtarzalnych lub ręcznych czynności w celu zwiększeni wydajności organizacji. Przykłady BPA obejmują zautomatyzowane odpowiedzi na działania klienta, takie jak potwierdzanie zleceń i samodzielne resetowanie haseł (SSPR).

Starsze ramy IAM, gdzie wszyscy użytkownicy w ramach określonego obwodu sieci są domyślnie uznawani za użytkowników zaufanych, natomiast użytkownicy spoza ram uznawani są za niezaufanych. Chmura obliczeniowa, mobilność oraz rozpowszechniony dostęp zdalny sprawiły, że zabezpieczenia typu „zamek i fosa” stały się przestarzałe i zastąpione zabezpieczeniami typu „zero trust”.

Kluczowy składnik zestawu specyfikacji FIDO2; Protokół Client to Authenticator (CTAP) włącza zewnętrzne uwierzytelnianie, np. za pośrednictwem smartfonu lub kluczy bezpieczeństwa, które współpracują z przeglądarkami obsługującymi WebAuthn i działają jako wystawca uwierzytelnienia do usług internetowych i aplikacji na urządzenia stacjonarne.

Zwane również zabezpieczeniami chmury - to ogólny termin odnoszący się do polityk, procedur, kontroli i narzędzi używanych w celu zabezpieczania danych, aplikacji i usług przechowywanych i używanych w chmurze oraz do bazowej infrastruktury w chmurze.

Zazwyczaj publiczne usługi w chmurze działają w oparciu o model dzielonej odpowiedzialności, gdzie dostawca usług w chmurze jest odpowiedzialny za bezpieczeństwo chmury, a organizacja kupująca usługi jest odpowiedzialna za bezpieczeństwo w chmurze. Oznacza to, że dostawca usługi w chmurze zabezpiecza infrastrukturę bazową, w tym centra danych fizycznych i wszystkie serwery oraz sprzęt w ramach tych serwerów, a organizacja zabezpiecza dane i obciążenie we wdrożonej chmurze.

Opart na chmurze usługa oferująca rozwiązania IAM innym usługom w chmurze.

Proces monitorowania zachowania użytkownika przez system podczas sesji, porównywania tego zachowania z punktem odniesienia w poszukiwaniu anomalii i wymaganie ponownej autoryzacji w przypadku wykrycia niestandardowego zachowania.

Atak, który wykorzystuje fakt, że wiele osób używa tych samych danych logowania do wielu kont. Podczas tego typu ataku, gdy czynniki zagrożenia zdobędą już zestaw aktywnych danych logowania z jednej strony internetowej, dochodzi do prób zalogowania przy użyciu tych danych na jak największej liczbie stron.

To proces umożliwiający organizacjom zarządzanie tożsamością klienta i poziomami dostępów. Jest to podtyp IAM, który odnosi się tylko do klientów, nie zaś do użytkowników wewnętrznych czy partnerów biznesowych.

Defense-in-Depth (DiD) to wielowarstwowe podejście do cyber-bezpieczeństwa, gdzie każda warstwa odpowiada za inny poziom zabezpieczeń, tak by stworzyć kompleksową i skuteczną ochronę przed cyber-zagrożeniami. Podejście zakłada, że w sytuacji, gdy jedna warstwa nie wystarczy, wciąż może zadziałać kolejna. Pośród najpopularniejszych elementów w tej strategii znajdują się: programy antywirusowe, narzędzia i kontrole do zabezpieczania sieci, rozwiązania IAM i rozwiązania do zapobiegania utracie danych.

Proces usuwania dostępów użytkownika do całego systemu lub poszczególnych aplikacji. Pracownik odchodzący z firmy traci dostępy do całego systemu, a pracownik zmieniający lokalizację lub dział traci dostępy do systemów konkretnej lokalizacji lub konkretnego działu.

Bezpieczeństwo DevOps, nazywane również DevSecOps, to praktyka zabezpieczania aplikacji, której celem jest „przesunięcie zabezpieczeń w lewo”, czyli wprowadzenie ich tak szybko, jak to możliwe w ciągu cyklu życia rozwoju oprogramowania (SDLC) w celu stworzenia bezpiecznych aplikacji. Podobnie jak DevOps, DevSecOps przełamuje silosy organizacyjne, ulepszając komunikację i współpracę między zespołem programistów, realizacji a zespołem ds. zabezpieczeń w ciągu cyklu życia rozwoju oprogramowania.

Rozwiązanie EDR, znane również pod pojęciem ETDR – wykrywanie i reagowanie w punktach końcowych, to zintegrowane narzędzie do zabezpieczania punktów końcowych, które łączy nieprzerwane monitorowanie w czasie rzeczywistym i gromadzenie danych z punktów końcowych z opartym na rolach zautomatyzowanym reagowaniem i analizą. Rozwiązanie EDR monitoruje aktywność wszystkich punktów końcowych, analizuje ją i wykrywa wzorce zagrożenia, automatycznie usuwając zidentyfikowane zagrożenia oraz informuje pracowników działu zabezpieczeń. Celem systemów EDR jest identyfikowanie zagrożeń w casie rzeczywistym, likwidowanie ich, jeśli to możliwe, i ułatwianie szybkiej reakcji po stronie pracowników działu zabezpieczeń.

Zarządzanie przywilejami punktów końcowych łączy kontrolę aplikacji z zasadą przyznawania najmniejszego możliwego dostępu, aby zagwarantować, że użytkownicy korzystają jedynie z zaufanych aplikacji z jak najmniejszymi uprawnieniami.

W przeszłości dostęp do sieci w organizacjach dzielono na dwie kategorie: użytkowników standardowych i administratorów. Nie jest to wystarczające, aby zabezpieczyć się przed cyberatakami powiązanymi z poświadczeniami w nowoczesnych, skomplikowanych środowiskach rozproszonych danych. Zarządzanie uprawnieniami punktów końcowych skupia się na poziomach dostępów użytkowników, tak by uprawnienia administracyjne były przyznawane możliwie najmniejszej liczbie osób. Celem jest zabezpieczanie przed atakami wewnętrznymi, ale również ograniczenie możliwości przemieszczania się poziomo wewnątrz sieci przez zewnętrzne czynniki zagrożenia, jeśli zdołają złamać zestaw poświadczeń użytkownika.

Platforma EPP to zintegrowane rozwiązanie do wykrywania złośliwego działania na urządzeniach punktów końcowych i ochrony przed nieautoryzowanym dostępem, atakami phishingowymi i atakami przy użyciu złośliwego oprogramowania bazującymi na plikach. Nowoczesne EPP są zazwyczaj oparte na chmurze i niektóre z nich zawierają osobistą zaporę sieciową, funkcje zabezpieczające dane i zabezpieczające przed ich utratą, kontrolę urządzenia i integrację z rozwiązaniami do zarządzania lukami w zabezpieczeniach i konfiguracją.

Menedżer haseł dla przedsiębiorstw (EPM) to platforma do zarządzania hasłami, która jest stworzona specjalnie z myślą o użytku komercyjnym. EPM jest fundamentalną częścią zabezpieczeń każdej organizacji i stosów technologicznych IAM.

EPM spełnia te same funkcje, co menedżery haseł użytkownika, czyli na przykład automatyczne generowanie silnych haseł i zapewnianie użytkownikom bezpiecznego sejfu użytkownika do przechowywania haseł i uzyskiwania do nich dostępu z wielu różnych urządzeń. Dodatkowo oferuje wiele innych funkcji dopasowanych do potrzeb organizacji, np. panel administracyjny dla działów IT i specjalistów od zabezpieczeń używany do takich zadań, jak tworzenie i usuwanie kont użytkowników, monitorowanie haseł i kontroli ich użytkowania w całej organizacji, ustanawianie kontroli dostępów opartych na rolach (RBAC) i najmniejszych możliwych dostępów, korzystanie z raportów audytowych i zarządzanie hasłami udostępnianymi.

Dodatkowo, niektóre menedżery EPM oferują rozwiązania dostosowane tak, aby sprostać potrzebom dostawców usług zarządzanych (np. KeeperMSP) i amerykańskich agencji rządowych (np. Keeper Security Government Cloud - KSGC).

Zarządzanie tożsamością federacyjną (FIM) to metoda uwierzytelniania, poprzez którą wiele systemów oprogramowania udostępniają dane dot. tożsamości do dużego scentralizowanego systemu, przez co umożliwiają użytkownikom dostęp do wielu aplikacji i systemów przy użyciu pojedynczych poświadczeń logowania. Federacyjne zarządzanie tożsamością jet często używane razem z SSO. FIM umożliwia dostęp do systemów i aplikacji w różnych domenach (zwanych „organizacjami federacyjnymi”), a SSO odpowiada za dostęp w ramach jednej domeny.

Często organizacje stosują zarówno SSO, jak i FIM.

To otwarte stowarzyszenie branżowe z określoną misją promowania standardów uwierzytelniania, aby pomagać w ograniczaniu zależności świata od haseł.

Są to wspólne starania FIDO Alliance oraz World Wide Web Consortium (W3C), których celem jest umożliwienie użytkownikom wykorzystanie popularnych urządzeń, takich jak smartfony i tokeny zabezpieczające w celu weryfikacji tożsamości w usługach online, zarówno w środowisku mobilnym, jak i stacjonarnym. FIDO2 opiera się głównie na standardzie uwierzytelniania U2F i składa się z zestawu standardów WebAuthn i protokołu FIDO Client to Authenticator Protocol (CTAP).

Zarządzanie dostępem i tożsamością (IAM) to termin ogólny odnoszący się do polityk, procedur i narzędzi technologicznych do zarządzania tożsamościami cyfrowymi użytkowników końcowych i zarządzaniem dostępem do sieci, aplikacji i danych w organizacji. IAM jest fundamentalną częścią DiD, czyli strategii defense-in-depth.

Zarządzanie dostępem uprzywilejowanym (PAM), zarządzanie sesją uprzywilejowaną (PSM), zarządzanie i administrowanie tożsamością (IGA) oraz zarządzanie tożsamością klienta i dostępami (CIAM) wszystkie stanowią podkategorie IAM.

Tożsamość jako usługa (IDaaS) to oparte na chmurze rozwiązanie w zakresie uwierzytelniania, czasem nazywane również: SaaS-delivered IAM (Gartner) lub IAM-as-a-Service (IaaS). IDaaS to wszechstronne pojęcie odnoszące się do szerokiej gamy rozwiązań SaaS dla IAM, od platform SSO po menedżery haseł.

Zarządzanie i administrowanie tożsamością (IGA) to podkategoria IAM odnosząca się do polityk i narzędzi technologicznych umożliwiających organizacjom zapewnienie, że ich polityki IAM są spójne i wprowadzane powszechnie w całym środowisku danych. Narzędzia IGA umożliwiają organizacjom skuteczniejsze zarządzanie tożsamością cyfrową i łagodzenie ryzyk związanych z dostępami opartymi na tożsamości poprzez zautomatyzowanie tworzenia i certyfikacji kont, ról i dostępów użytkowników i zarządzania nimi.

IGA i IAM mogą być czasami używane zamiennie. Jak określa Gartner, IGA różni się od IAM tym, że IGA „umożliwia organizacjom nie tylko określać i wprowadzać polityki IAM, ale również łączyć funkcje IAM, aby sprostać wymogom audytowym i wymogom zgodności”.

Zarządzanie cyklem życia użytkownika (ILM) to podkategoria IAM, która odnosi się do polityk, procedur i narzędzi technologicznych do tworzenia tożsamości cyfrowych i powiązanych z nimi uprawnień, zarządzania i aktualizowania nimi w ciągu cyklu życia użytkownika i usuwania ich, gdy nie są już potrzebne. Tożsamość cyfrowa może należeć do człowieka: pracownika, zleceniobiorcy, dostawcy, partnera biznesowego lub aplikacji.

Przywileje użytkowników mogą się zmieniać. Jeśli pracownik otrzyma awans lub przejmie dodatkowe obowiązki, jego uprawnienia w sieci mogą wymagać dostosowania do nowej sytuacji. Gdy pracownik opuszcza organizację, jego dostępy muszą zostać automatycznie usunięte. To sytuacje, gdy do gry wkracza ILM.

Proces, poprzez który systemy określają, czy użytkownicy są osobami, za które się podają. Przykłady obejmują nazwy użytkowników i hasła, jak również uwierzytelnianie wieloskładnikowe. Proces może działać w połączeniu z zarządzaniem tożsamością.

Dostawca tożsamości (IdP) to usługa, która przechowuje tożsamości użytkowników i zarządza nimi. Może sprawdzać użytkowników w oparciu o przechowywaną listę kombinacji nazw użytkowników i loginów lub lista tożsamości użytkowników sprawdzona przez innego dostawcę może zostać dostarczona. dostawcy usługi SSO są dostawcami tożsamości.

Token JSON Web (JWT) to otwarty standard używany do udostępniania informacji zabezpieczających między klientami i serwerami. Tokeny te są podpisywane przy użyciu poufnych danych lub klucza publicznego/prywatnego, uniemożliwiając zmianę oświadczeń po wydaniu tokenu.

Dostęp „Just-in-Time”, nazywany również dostępem JIT, to praktyka zarządzania dostępem uprzywilejowanym (PAM), gdzie uprawnienia użytkowników są zwiększane w czasie rzeczywistym, a długość sesji jest ograniczona w czasie. Zapewnia to użytkownikom, którzy są ludźmi, a także aplikacjom dostęp do uprzywilejowanych systemów i aplikacji tylko, gdy go potrzebują i wyłącznie na określony czas.

To protokół uwierzytelniania sieciowego, który korzysta z szyfrowania kluczem symetrycznym w celu uwierzytelniania żądań między zaufanymi hostami komunikującymi się przez niezaufaną sieć, np. przez internet. Kerberos to protokół uwierzytelniania w Microsoft Windows i kluczowy składnik Windows Active Directory. Wszystkie główne systemy operacyjne obsługują Kerberos. Jest powszechnie używany w przypadku dużych wdrożeń SSO, gdzie obsługuje kilka metod uwierzytelniania.

Zalecana praktyka w zakresie zabezpieczeń, gdzie użytkownikom i aplikacjom przyznaje się minimalny poziom dostępów systemowych, których potrzebują do wykonywania swoich zadań.

Protokół LDAP (Lightweight Directory Access Protocol) to otwarty standard protokołu aplikacji służący do uzyskiwania dostępu i utrzymywania rozproszonych usług katalogowych przez sieć IP. LDAP jest powszechnie używany jako jedyne źródło prawdziwych informacji o nazwach użytkowników i hasłach; aplikacje mogą połączyć się z serwerem LDAP i automatycznie dodawać i usuwać użytkowników, gdy pracownik dołącza do organizacji albo ją opuszcza. LDAP jet używany jako podstawa Microsoft Active Directory.

Zobacz również sekcję o SCIM, alternatywie dla LDAP, która staje się coraz bardziej popularna.

Zarządzanie tożsamością maszyn (MIM) zarządza tożsamością cyfrową użytkowników niebędących ludźmi, czyli certyfikatami i kluczami cyfrowymi stosowanymi przez urządzenia (w tym przez urządzenia IoT), obciążenia, aplikacje, kontenery itp. MIM jest rodzajem zarówno IAM, jak i zarządza poufnymi danymi.

Złośliwe oprogramowanie, bardziej znane jako malware, jest dokładnie tym, co sugeruje jego nazwa – formą złośliwego oprogramowania, które infekuje urządzenia za pomocą różnych technik, takich jak klikanie przez ofiary w e-mailach phishingowych lub pobieranie złośliwych plików, na przykład gier, filmów lub oprogramowania.

Hasło główne, czasami zwane w skrócie MP, to hasło tworzone przez użytkownika podczas instalacji lub konfiguracji menedżera haseł, takiego jak Keeper. Hasło główne użytkownika to jedyne hasło do zapamiętania. Jest to klucz do cyfrowego sejfu haseł, tak więc bardzo istotne jest, aby było one silne i unikatowe oraz aby użytkownik nigdy go nie zgubił ani nie zapomniał. Z tego powodu fraza hasłowa dobrze sprawdza się przy tworzeniu hasła głównego.

Uwierzytelnianie wieloskładnikowe (MFA) i uwierzytelnianie dwuskładnikowe (2FA) to metody uwierzytelniania wymagające użycia dwóch lub więcej składników uwierzytelniania, np. aplikacji, folderu lub systemu, w celu uzyskania dostępu do określonego zasobu. Aby dana metoda uwierzytelniania mogła zostać uznana za 2FA/MFA, każdy składnik weryfikacyjny musi być zaklasyfikowany do innej kategorii weryfikacyjnej:

Coś, co wiesz - na przykład hasło lub PIN.

Coś, co posiadasz - na przykład klucz bezpieczeństwa lub karta.

Coś, co jest nierozłączne - cechy biometryczne, np. odcisk palca lub skan siatkówki.

Coś, co jest nierozłączne - Twój adres IP i geolokalizacja. Nie są często używane.

ATM to przykład MFA, ponieważ użytkownicy muszą wprowadzić kartę (coś, co posiadasz) i wprowadzić PIN (coś, co wiesz).

2FA i MFA to w zasadzie synonimy. Jedyną różnicą jest to, że 2FA wymaga tylko 2 składników uwierzytelniających, na przykład ATM, natomiast MFA może teoretycznie wymagać 3 lub więcej składników (takich jak karta mikroprocesorowa, PIN, czy odcisk palca)

Otwarty standard delegowania dostępów do informacji użytkowników w aplikacji internetowej lub na stronie internetowej. Wykorzystywany przez takie firmy, jak Amazon, Google, Facebook, Microsoft czy Twitter, aby umożliwić użytkownikom udostępnianie informacji o swoich kontach aplikacjom i stronom zewnętrznym bez konieczności dostarczania stronom trzecim swoich haseł.

Hasła jednorazowe (OTP) lub hasła jednorazowe ograniczone czasowo (TOTP) to wygenerowany automatycznie ciąg znaków, które uwierzytelniają użytkownika w pojedynczej transakcji lub sesji logowania. Hasła jednorazowe mogą być dostarczane użytkownikowi przez wiadomość e-mail, SMS lub aplikację uwierzytelniającą. Są często wykorzystywane jako składnik uwierzytelniający w 2FA/MFA.

Hasło TOTP jest podobne do hasła jednorazowego (OTP), z tym wyjątkiem, że jest ważne tylko przez krótki czas, zazwyczaj 30–60 sekund.

OpenID Connect (OIDC) to system uwierzytelniania RESTful zbudowany na bazie ram OAuth 2.0, który korzysta z tokenów JSON. System umożliwia aplikacjom zewnętrznym weryfikację tożsamości użytkowników i uzyskiwanie podstawowych informacji o profilu użytkownika, włączając pojedyncze logowanie na wielu aplikacjach.

W atakach PtH (Pass-the-Hash) źródło zagrożenia kradnie zakodowane hasło i bez łamania go próbuje je użyć, aby oszukać system w celu stworzenia nowej sesji uwierzytelnionego użytkownika. Ataki tego typu są zazwyczaj używane, aby przemieszczać się poziomo po sieci, której zabezpieczenia zostały już naruszone. Urządzenia Windows są szczególnie podatne na ataki PtH z powodu luki w zabezpieczeniach w protokołach NTLM, które umożliwiają źródłom zagrożenia korzystanie z naruszonych kont domen przy użyciu skrótu hasła bez potrzeby posiadania całego hasła.

Fraza hasłowa to prosty sposób utworzenia przez użytkownika silnego, unikatowego hasła. Z tego powodu frazy hasłowe są często używane w celu utworzenia hasła głównego.

Aby utworzyć frazę hasłową, użytkownik musi wymyślić zdanie lub frazę, która zawiera połączenie małych i wielkich liter, liczb, znaków specjalnych i interpunkcyjnych.

Przykład nieakceptowalnej frazy hasłowej to: „Moje pierwsze mieszkanie znajdowało się w Alexandria, Wirginia.” Fraza spowoduje wygenerowanie hasła: MpmzswAW, które jest dość krótkie (tylko 8 znaków) i nie zawiera żadnych znaków specjalnych, ani cyfr. Czynnik atakujący korzystający z narzędzia do automatycznego łamania haseł odgadnie to hasło dość szybko.

Przykład akceptowalnej frazy hasłowej to: „Moje pierwsze mieszkanie znajdowało się na 2630 Hegal Place #42 Alexandria, Wirginia 23242.” Zostanie wygenerowane hasło: Mpmzsn2630HP#42AW23242, składające się z 22 znaków, w tym Wielkich i małych liter, cyfr i znaków specjalnych. Nawet narzędzie do automatycznego łamania haseł będzie potrzebowało dekad, aby je złamać!

Jest to atak typu „brute force” wykorzystujący fakt, że wiele haseł jest dość „popularnych” wśród użytkowników. Przykładowo, wiele osób używa wzorca klawiatury „qwerty” lub po prostu słowa „hasło”. Atak „password spray” polega na wykorzystaniu listy popularnych haseł i użyciu jej w połączeniu z każdą nazwą użytkownika w systemie.

Jest to metoda weryfikacji użytkownika bez użycia hasła poprzez takie metody, jak biometria, klucze bezpieczeństwa lub hasła jednorazowe.

SUPM (Super User Privilege Management) lub PEDM (Privilege Elevation and Delegation Management) to rodzaj zarządzania dostępem uprzywilejowanym, zapewniający użytkownikom niebędącym administratorami tymczasowy dostęp do uprzywilejowanych systemów w oparciu o określone ograniczenia. Na przykład, użytkownikowi można przydzielić dostęp do określonych aplikacji tylko na określony czas. Po wygaśnięciu sesji dostępy użytkownika są automatycznie odbierane.

Rozwiązania PEDM umożliwiają organizacjom stosowanie dostępów typu „just-in-time”, aby ograniczyć liczbę użytkowników z uprawnieniami administratora.

Nadzór nad dostępem uprzywilejowanym (PAG) stosuje zasady IAM w odniesieniu do użytkowników uprzywilejowanych, zapewniając, że ich dostęp jest przyznawany zgodnie z zasadą najmniejszych uprawnień. Procesy powiązane z PAD obejmują zautomatyzowane wdrażanie i usuwanie kont, formalny proces zatwierdzania przyznawania nowych dostępów uprzywilejowanych oraz okresowe sprawdzanie kont uprzywilejowanych w celu zapewnienia, że poziomy dostępów są odpowiednie.

Zarządzanie dostępem uprzywilejowanym (PAM) odnosi się do narzędzi i technologii używanych przez organizacje w celu zabezpieczenia i monitorowania dostępu do najważniejszych informacji i zasobów, takich jak lokalne i domenowe konta administracyjne oraz kontroli tych kont.

Zarządzanie kontem uprzywilejowanym jako usługa (PAMaaS), zwane również pod pojęciem: PAM-as-a-Service,to oparte na chmurze rozwiązanie w zakresie zarządzania kontem uprzywilejowanym.

Stacja robocza z dostępem uprzywilejowanym (PAW), zwana również stacjami roboczymi z dostępem zabezpieczonym (SAW) to wzmocnione stacje robocze stworzone specjalnie i wyłącznie w celu wykonywania wysoce uprzywilejowanych zadań. Stacje PAW są skonfigurowane odpowiednio przy użyciu kontroli zabezpieczeń i polityk ograniczających lokalne dostępy administracyjne i blokujące skrzynki e-mail, biurowe narzędzia zwiększające wydajność i narzędzia do przeglądania internetu. Są wyposażone jedynie w narzędzia absolutnie potrzebne do wykonywania wysoce uprzywilejowanych zadań. Dzięki temu zostają zablokowane najpopularniejsze nośniki ataków phishingowych (wiadomości e-mail i przeglądanie stron), co znacznie zmniejsza ryzyko naruszenia zabezpieczeń stacji PAW.

Konto uprzywilejowane ma wyższy poziom dostępów sieciowych niż standardowe konto użytkownika. Na przykład, konto uprzywilejowane może mieć uprawnienia wdrażania i usuwania użytkowników, zmiany poziomu dostępów użytkowników lub modyfikowania konfiguracji aplikacji lub systemu.

Konto uprzywilejowane są często nazywane kontami administratora, ale nie wszystkie konta uprzywilejowane są używane przez człowieka. Konta usług używane przez aplikacje również są kontami uprzywilejowanymi.

Dodatkowo termin „konto uprzywilejowane” może odnosić się do użytkowników nietechnicznych wyższego stopnia, takich jak CEO czy CFO, którzy mają dostęp do bardzo poufnych danych, takich jak tajne pliki rządowe, dokumentacja medyczna, czy informacje finansowe organizacji.

Zarządzanie kontami i sesjami uprzywilejowanymi (PASM) jest częścią zarządzania dostępem uprzywilejowanym (PAM) i zapewnia organizacjom sposób zabezpieczenia, kontroli i monitorowania kont użytkowników uprzywilejowanych. Umożliwia zespołom IT sprawowanie silnego nadzoru nad krytycznymi sesjami użytkowników administracyjnych.

Zarządzanie tożsamością uprzywilejowaną (PIM) pracuje w połączeniu z PAM. PAM odnosi się do polityk i rozwiązań technicznych do zarządzania kotami użytkowników uprzywilejowanych, natomiast PIM obejmuje zarządzanie tym, do jakich zasobów użytkownicy uprzywilejowani mogą uzyskać dostęp. PIM umożliwia organizacjom kontrolowanie i monitorowanie uprawnieniami dostępu użytkowników uprzywilejowanych do określonych danych i systemu oraz zarządzanie tymi uprawnieniami.

Zarządzanie sesją uprzywilejowaną (PSM) pracuje w połączeniu z zarządzaniem dostępem uprzywilejowanym (PAM) w celu zabezpieczania dostępy do najbardziej wrażliwych i krytycznych systemów i danych w organizacji. PAM skupia się na zabezpieczaniu poświadczeń użytkowników uprzywilejowanych, natomiast PSM polega na kontrolowaniu, monitorowaniu i zapamiętywaniu sesji uprzywilejowanych, czyli zarządzaniu tym, jakie działania mogą podejmować użytkownicy uprzywilejowani po zalogowaniu się do sieci.

PSM nie tylko zapobiega nadużywaniu przez użytkowników ich dostępów, ale również umożliwia organizacjom sprostanie wymogom regulacyjnym, takim jak SOX, HIPAA, PCI DSS, ICS CERT, GLBA, FDCC i FISMA, które wymagają uprawnień uprzywilejowanych w celu logowania i monitorowania.

Termin: zarządzanie użytkownikiem uprzywilejowanym (PUM) jest czasami używany jako synonim Zarządzania dostępem uprzywilejowanym (PAM) i Zarządzania tożsamością uprzywilejowaną (PIM), ale istnieją między nimi znaczące różnice. W przeciwieństwie do kont PAM, konta PUM są zazwyczaj kontami udostępnianymi i nie korzystają z uwierzytelniania 2FA/MFA. Użytkownicy uzyskują dostęp do kont PUM przy użyciu jedynie hasła. Z tego powodu używanie kont PUM nie jest zalecane.

Jest to proces ustanawiania dostępu użytkownika do wszystkich systemów i poszczególnych aplikacji. Nowy pracownik jest wdrażany do wszystkich systemów i aplikacji, które są potrzebne do wykonywania przez niego obowiązków. Pracownik obejmujący dodatkowe zadania może potrzebować dostępów do dodatkowych aplikacji i systemów.

Nazywane również szyfrowaniem klucza publicznego lub szyfrowaniem asymetrycznym. Jest to metoda szyfrowania danych, która korzysta z dwóch kluczy: publicznego, który jest dostępny do użytku dla każdego, i publicznego. Dane zaszyfrowane przy użyciu klucza publicznego mogą zostać odszyfrowane tylko przy użyciu klucza prywatnego i odwrotnie.

PWN to slang hakerski wywodzący się ze środowiska społeczności graczy i błędu w zapisie anielskiego słowa „owned”. (Dlatego PWN wymawia się jak: „own”, a nie jak „pawn”). Oznacza: zdobywać lub zdominować – na przykład skutecznie włamać się do konta lub do sieci.

Usługa telefonujących użytkowników zdalnego uwierzytelniania (RADIUS) to protokół serwera klienta, który umożliwia scentralizowane uwierzytelnianie, autoryzację i zarządzanie kontami w przypadku zdalnego i bezprzewodowego dostępu do sieci. RADIUS działa na poziomie aplikacji i umożliwia organizacjom zachowanie profilów użytkowników w scentralizowanym repozytorium dzielonym przez wszystkie serwery zdalne.

Protokół pulpitu zdalnego (RDP) to własnościowy sieciowy protokół komunikacyjny stworzony przez Microsoft. RDP umożliwia bezpieczny dostęp zdalny do stacji roboczych i serwerów. RDP może być używany przez użytkowników nietechnicznych, aby uzyskiwać zdalny dostęp do stacji roboczych, a także przez administratorów IT i zespoły DevOps, aby przeprowadzać zdalnie utrzymywanie systemów oraz diagnostykę i naprawę problemów. Korzystając z graficznego interfejsu aplikacji, użytkownicy zdalni mogą otwierać aplikacje i edytować pliki w ten sam sposób, w jaki robiliby to, siedząc naprzeciw zdalnej maszyny.

Klienci RDP są dostępni nie tylko dla systemu Windows, ale również na urządzenia z systemem: Mac OS, Linux/Unix, Google Android i Apple iOS. Dostępne są wersje open-source oprogramowania RDP.

REST, czyli zmiana stanu poprzez reprezentacje to nowoczesne, bezstanowe i bardzo elastyczne API, określające zestaw funkcji, takich jak GET, PUT i DELETE, które mogą być używane przez klientów w celu uzyskania dostępu do danych serwera. Klienci i serwery wymieniają dane przy użyciu HTTP.

Podobnie jak automatyzacja procesów biznesowych (BPA), zrobotyzowana automatyzacja procesów (RPA) odnosi się do oprogramowania, które automatyzuje ręczną i powtarzalną pracę. W przeciwieństwie do rozwiązań BPA, RPA bardziej wykorzystuje sztuczną inteligencję i uczenie maszynowe, tak by boty mogły naśladować prawdziwych użytkowników i dostosowywać się do dynamicznych warunków. Na przykład, BPA używa się do wysyłania klientom zdefiniowanych odpowiedzi (np. potwierdzenie zamówienia lub wysłania produktu), RPA używa się do budowania interaktywnych czatbotów, które mogą analizować zapytania od klientów w czasie rzeczywistym.

Kontrola dostępu oparta na przydzielaniu ról (RBAC), nazywana również zabezpieczeniami opartymi na rolach, to model kontroli dostępów zakładający, że to rola użytkownika w organizacji określa to, do jakich zasobów sieciowych będzie miał dostęp. Celem modelu RBAC jest zapewnienie, że użytkownicy nie mogą uzyskać dostępu do systemów i danych, które nie są powiązane z ich stanowiskiem , co zwiększa zachowanie zgodności z przepisami i zapobiega wyciekom danych w sytuacji, gdy dojdzie do kradzieży danych logowania użytkownika. Zapobiega to czynnikowi zagrożenia przechodzenie poziomo wewnątrz sieci. Metoda ta łączy się z zasadą przyznawania możliwie najmniejszego dostępu.

SAML (Security Assertion Markup Language) to otwarty standard wymiany danych uwierzytelniających i autoryzacyjnych pomiędzy kilkoma stronami. Zazwyczaj jest stosowany przez dostawców tożsamości SSO w celu komunikacji z dostawcami usług, umożliwiając rozszerzenie SSO na domeny bezpieczeństwa oraz stosowanie pojedynczego logowania w przeglądarkach internetowych.

W środowisku IT to skompresowane dane, które muszą pozostać poufne. Są zazwyczaj używane przez użytkowników, którzy nie są ludzki, w celu uwierzytelniania do wysoce uprzywilejowanych systemów i danych. Przykładami poufnych danych IT są: poświadczenia RDP, klucze SSH, klucze API i poświadczenia do kont uprzywilejowanych.

Narzędzia i metody bezpiecznego przechowywania poufnych danych infrastruktury w środowisku IT, zarządzania nimi i uzyskiwania do nich dostępu, np. kluczy API, certyfikatów cyfrowych i poświadczeń kont uprzywilejowanych. Zwane również zarządzaniem hasłami typu Application to Application (AAPM).

Protokół SSH (Secure Shell Protocol) to kryptograficzny protokół sieciowy, który umożliwia dwóm komputerom bezpieczną komunikację. SSH został stworzony jako bezpieczna alternatywa dla Telnet i niezabezpieczonych zdalnych protokołów powłoki, które przesyłają dane (w tym hasła) jako zwykły tekst. SSH wykorzystuje kryptografię kluczy publicznych do uwierzytelniania zdalnego komputera i umożliwiania mu uwierzytelniania użytkowników, szyfruje każdą komunikację między dwoma komputerami. Najczęstszym użyciem SSH jest logowanie zdalne i wykonywanie wiersza polecenia.

Bezpieczeństwo jako usługa (SaaS / SecaaS) to model biznesowy, w którym organizacje korzystają z zewnętrznych rozwiązań i usług w zakresie cyber-bezpieczeństwa, zamiast korzystać z zasobów wewnętrznych. SecaaS może być minimalny i obejmować tylko wprowadzenie opartego na chmurze rozwiązania PAM lub platformy IAM lub zakładać całkowite korzystanie w organizacji z zewnętrznych funkcji bezpieczeństwa.

System SIEM (Security Information and Event Management) to platforma oprogramowania, która gromadzi dane bezpieczeństwa ze środowiska danych w całej organizacji, analizuje je i powiadamia pracowników działu bezpieczeństwa o potencjalnych zagrożeniach. SIEM gromadzi i analizuje dane zarówno sprzętowe, jak i z aplikacji, w tym z urządzeń sieciowych, serwerów i kontrolerów domeny.

Urządzenia fizyczne lub logiczne wykorzystywane przez użytkownika końcowego w celu potwierdzenia tożsamości lub uzyskania dostępu do zasobów cyfrowych. Tokeny bezpieczeństwa mogą być stosowane w połączeniu z hasłami jako składnik uwierzytelniania 2FA/MFA lub zamiast haseł w przypadku uwierzytelniania bezhasłowego.

Fizyczne tokeny bezpieczeństwa obejmują karty i klucze bezpieczeństwa (np. YubiKey). Zabezpieczające tokeny cyfrowe obejmują OTPs/TOTP generowane przez aplikacje uwierzytelniające.

Samodzielne resetowanie hasła (SSPR) to funkcja zautomatyzowanego procesu biznesowego, która umożliwia użytkownikom resetowanie swoich haseł bez kontaktu z pracownikami działu IT, przez co zapewnia oszczędność czasu zarówno użytkownikom końcowym, jak i pracownikom działu IT. SSPR stosuje się najczęściej do resetowania zgubionych, zapomnianych lub wygasłych haseł.

Jest to specjalny rodzaj konta uprzywilejowanego używany przez użytkowników, którzy nie są ludźmi, zwłaszcza przez aplikacje. Popularne przykłady użycia kont usług obejmują uruchamianie obciążeń na maszynach wirtualnych (VM), na stacjach roboczych w siedzibie organizacji lub centra danych, które wywołują API i inne zautomatyzowane procesy.

Użytkownicy, będący ludźmi, nie są bezpośrednio zaangażowani w tworzenie lub użytkowanie kont usług. Zazwyczaj są one tworzone i konfigurowane przez menedżer pakietów podczas instalowania oprogramowania, a aplikacja przyjmuje tożsamość konta usługi, aby wywołać API lub uruchomić inne procesy. Automatyzacja pozwala zaoszczędzić czas zespołom IT, ale podobnie jak inne konta z uprzywilejowanym dostępem, konta usług stanowią poważne zagrożenie w zakresie cyber-bezpieczeństwa i należy je dokładnie nadzorować i kontrolować.

Klucze to nowoczesna technologia uwierzytelniania bez haseł, która umożliwia użytkownikom logowanie się do kont i aplikacji przy użyciu klucza kryptograficznego zamiast hasła. Klucz wykorzystuje biometrię (odcisk palca, rozpoznawanie twarzy itp.) do potwierdzenia tożsamości użytkownika.

Nadzór nad kontem usługi (SAG) to część procesu zarządzania poufnymi danymi, która odnosi się do polityk, procedur i narzędzi technicznych używanych do zabezpieczania kont usługi i zarządzania nimi, w tym do przyznawania i odbierania dostępu, zarządzania hasłami i zależnością.

Zarządzanie hasłami do dzielonego konta (SAPM) jest podobne do zarządzania użytkownikiem uprzywilejowanym (PUM). Odnosi się do zarządzania dzielonymi kontami uprzywilejowanymi – organizacje powinny podjąć kroki, aby unikać dzielenia kont uprzywilejowanych, gdyż tego typu kontami należy dokładnie zarządzać zarówno ze względów bezpieczeństwa, jak i w celu zachowania zgodności.

Pojedynce logowanie (SSO) to metoda uwierzytelniania zakładająca stosowanie przez użytkowników pojedynczego zestawu poświadczeń w celu uzyskania dostępu do różnych aplikacji i systemów. Podczas gdy logowanie SSO jest stosowane razem z federacyjnym zarządzaniem tożsamością (FIM), SSO umożliwia dostęp w ramach pojedynczej domeny, a federacyjne zarządzanie tożsamością do systemów i aplikacji w różnych domenach.

Przykład logowania SSO: Pracownik używa jednego zestawu poświadczeń, aby logować się do firmowej skrzynki e-mail, portalu HR i innych zasobów wewnętrznych.

Przykład logowania FIM: Pracownik używa jednego zestawu poświadczeń, aby logować się do aplikacji zewnętrznych, takich jak aplikacje do wideo-konferencji czy systemów ticketowych.

Metody SSO i FIM są często używane razem.

Starszy interfejs aplikacji, który wyszedł z użycia i został zastąpiony bardziej elastycznymi opcjami, takimi jak REST. Korzysta z protokołu SOAP (Simple Object Access Protocol), gdzie klienci i serwery wymieniają wiadomości przy użyciu XML.

Gartner określa zarządzanie zmianami i konfiguracją oprogramowania (SCCM) jako narzędzia stosowane do zarządzania wersjami oprogramowania i konfiguracją oprogramowania. Gartner uznaje za część SCCM również rozwiązania do „zarządzania zmianami, wykrywania defektów, automatyzacji zmian, zarządzania wersjami, zintegrowanego zarządzania testami i innych powiązanych procesów”.

Międzydomenowe zarządzanie tożsamością (SCIM) to otwarty standard zautomatyzowanego wdrażania i usuwania użytkowników. SCIM umożliwia wymianę informacji o tożsamości użytkowników między domenami i systemami IT za pośrednictwem ujednoliconego API przez REST, z danymi sformatowanymi w JSON lub XML. Organizacje korzystają z SCIM w celu automatycznego dodawania i usuwania użytkowników z platform zewnętrznych, takich jak pakiety programów biurowych CRM czy systemów ticketowych, gdy pracownicy rozpoczynają lub kończą zatrudnienie w organizacji,

Podczas gdy organizacje wprowadzają coraz więcej rozwiązań w zakresie SaaS, popularność SCIM jako alternatywy dla LDAP szybko rośnie, Więksośż dostawców tożsamości, w tym Azure Active Directory, obsługuje SCIM, podobnie jak wiele popularnych platform SaaS, w tym Microsoft Office i Google Workspace.

TLS (Transport Layer Security) i SSL (Secure Socket Layers) to kryptograficzne protokoły, które szyfrują dane i uwierzytelniają połączenia podczas przesyłania danych przez internet.

TSL ewaluował z protokołu SSL. Początkowo miał nosić nazwę SSL 3.0., jednak nazwa została zmieniona przed publikacją, aby nie był kojarzony z Netscape, niedziałającej już firmy, która stworzyła SSL. Terminy SSL i TSL są często używane zamiennie, jednak SSL nie jest już używany z powodu luk w zabezpieczeniach, które miały być rozwiązane przez TLS.

Metoda, za pomocą której użytkownicy mogą być uwierzytelniani do aplikacji przy użyciu podpisanych plików cookie zawierających informacje o stanie sesji. Uwierzytelnianie oparte na tokenie jest zazwyczaj używane w połączeniu z innymi metodami uwierzytelniania. W tym scenariuszu inna metoda zostanie użyta we wstępnej weryfikacji tożsamości, a uwierzytelnianie oparte na tokenie do ponownej weryfikacji, gdy użytkownik powraca do aplikacji lub na stronę internetową.

Ramy UAF (Universal Authentication Framework) to standard opracowany przez FIDO Alliance w celu przekształcenia uwierzytelniania bezhasłowego z drugorzędowego na podstawowy czynnik uwierzytelniający.

U2F (Universal Second Factor) to otwarty standard, który wykorzystuje sprzętowe tokeny bezpieczeństwa, które podłącza się przez port USB lub przez komunikację zbliżeniową (NFC), jako dodatkowy czynnik zabezpieczający w 2FA/MFA. Stworzony przez Google i Yubico we współpracy z NXP Semiconductors, standard U2F jest teraz hostowany przez FIDO Alliance. Został już zastąpiony przez FIDO2 Project.

Kontrola konta użytkownika (UAC) to funkcja wprowadzania obowiązkowej kontroli dostępu dostępna w ramach systemów Microsoft Windows. UAC pomaga zmniejszyć wpływ złośliwego oprogramowania poprzez zapobieganie użytkownikom, aplikacjom i złośliwemu oprogramowaniu dokonywania nieautoryzowanych zmian w systemie operacyjnym. Zmusza ona każdą aplikację, która wymaga tokenu dostępu administratora do proszenia o zgodę przed uruchomieniem określonych procesów, np. zainstalowaniem nowego oprogramowania.

Analityka zachowań użytkowników i podmiotów (UEBA) wykorzystuje sztuczną inteligencję i algorytmy uczenia maszynowego w celu stworzenia podstawy zachowań dla użytkowników będących ludźmi, ruterów, serwerów i punktów końcowych w sieci organizacji, a następnie w celu monitorowania odchyleń od tych podstaw. Popularnym przykładem UEBA jest sytuacja, gdy wydawca karty kredytowej tymczasowo blokuje konto klienta, ponieważ algorytm zauważył dużą zmianę w zachowaniu użytkownika, np. nagłe złożenie kilku dużych zamówień.

Zarządzanie dostępem uprzywilejowanym dostawcy (VPAM) to rodzaj PAM zajmujący się dostawcami, którzy potrzebują dostępu do wrażliwych systemów, np. programistami zewnętrznymi, dostawcami zabezpieczeń czy firmami świadczącymi usługi z zakresu płac. Rozwiązania VPAM zapewniają, że dostęp uprzywilejowany dostawcy ma takie same ograniczenia, co konta PAM w organizacji: najmniejszy możliwy dostęp, dostęp „just in time” oraz zapisywanie/monitorowanie sesji.

VNC (Virtual Network Computing) to międzyplatformowy system udostępniania ekranu używany do zdalnej kontroli pulpitów z innego komputera. Przy użyciu VNC użytkownik zdalny może korzystać z ekranu komputera, klawiatury i myszki, zupełnie tak jakby siedział na przeciw rzeczywistego ekranu.

VNC działa jako model klient/serwer i wymaga zainstalowania składnika serwera na komputerze zdalnym, do którego uzyskuje się dostęp, oraz przeglądarki VNC lub klienta na urządzeniu, z którego będziesz uzyskiwać dostęp do komputera zdalnego. VNC stosuje protokół zdalny Remote Framebuffer (RFB), aby zarządzać formatem danych przekazywanych między klientem a serwerem.

VNC jest podobny do RDP, ale działa na wielu systemach operacyjnych i łączy się bezpośrednio z komputerem zdalnym, bez konieczności pośredniczenia serwera.

Zarządzanie dostępem do sieci (WAM) to poprzednik rozwiązania IAM, który był powszechnie używany w latach 1990 i 2000. Rozwiązania WAM zapewniały kontrolę i zarządzanie dostępem do zasobów sieci, które były hostowane lokalnie w centrach danych przedsiębiorstw. Narzędzia WAM nie zdołały przystosować się do realiów chmur obliczeniowych, urządzeń mobilnych, interfejsów API i dostępu zdalnego, więc zostały zastąpione przez bardziej zaawansowane rozwiązania IAM.

WebAuthn (Web Authentication) to oparte na sieci Web API stworzone przez World Wide Web Consortium (W3C) i kluczowy składnik zestawu specyfikacji FIDO2. WebAuthn umożliwia wszystkim stronom aktualizowanie stron logowania, aby dodać opcję logowania opartą na obsługiwanych platformach lub w przeglądarkach.

Język XACML czyli język opisu kontroli dostępu (eXtensible Access Control Markup Language) to uporządkowany język używany przez rozwiązania IAM, który obsługuje kontrolę dostępu opartą na atrybutach (ABAC) oraz na politykach (PBAC) i inne bardzo skomplikowane mechanizmy autoryzacyjne przyznające prawa dostępu na podstawie zestawu szczegółowych współpracujących ze sobą atrybutów użytkownika.

„Zero Knowledge” to model zabezpieczeń, który korzysta z unikatowej struktury szyfrowania i segregacji danych chroniącej przed zdalnym naruszeniem danych poprzez zapewnienie, że dostawcy usług IT nie znają danych klientów przechowywanych na ich serwerach.

W środowisku typu „zero knowledge” dane są szyfrowane na poziomie urządzenia, nie na serwerze. Serwer nigdy nie otrzymuje ani nie przechowuje danych zapisanych w formacie zwykłego tekstu, a dostawcy usług IT nie mogą uzyskać dostępu do kluczy szyfrujących klienta. W rezultacie nikt oprócz klienta nie ma dostępu do odszyfrowanych danych – nawet pracownicy dostawcy usług IT.

Keeper Security zapewnia rozwiązania w zakresie bezpieczeństwa oparte na szyfrowaniu „zero-knowledge". Dane są szyfrowane na urządzeniu użytkownika przed przesłaniem i zapisaniem w cyfrowym sejfie aplikacji Keeper. Podczas synchronizacji danych z innym urządzeniem dane pozostają zaszyfrowane do momentu odszyfrowania na innym urządzeniu. Keeper nie ma możliwości uzyskania dostępu do haseł głównych klientów ani do kluczy szyfrujących potrzebnych do odszyfrowania ich danych.

Nowoczesne ramy IAM, które zakładają, że wszyscy użytkownicy i wszystkie urządzenia potencjalnie mogą mieć naruszone zabezpieczenia i należy weryfikować wszystkich użytkowników, zarówno ludzi i maszyny, przed przyznaniem im dostępu do sieci. Dodatkowo ramy te zakładają, że wszyscy użytkownicy muszą mieć najmniejszy możliwy dostęp do zasobów sieciowych.

Dostęp do sieci typu zero-trust (Zero Trust Network Access, ZTNA) to struktura bezpieczeństwa sieci, która koncentruje się na utrzymywaniu ścisłej kontroli dostępu i mechanizmów uwierzytelniania, niezależnie od tego, czy użytkownik lub urządzenie znajduje się wewnątrz czy na zewnątrz obwodu sieci.

Poświadczenia odkrywalne, nazywane również kluczami rezydenta, umożliwiają WebAuthn API oferowanie wysoce skutecznego uwierzytelniania MFA bez konieczności używania haseł.

W tradycyjnym modelu uwierzytelniania poświadczenia użytkownika są przechowywane na serwerze jednostki zależnej, tak więc serwer musi zwracać poświadczenia jednostce uwierzytelniającej zanim będzie możliwe odszyfrowanie i użycie ich. Następnie użytkownik musi wprowadzić nazwę użytkownika i zazwyczaj hasło, aby potwierdzić swoją tożsamość.

W modelu poświadczeń odkrywalnych prywatny klucz użytkownika i powiązane metadane są przechowywane na serwerze jednostki uwierzytelniającej, nie zaś na serwerze jednostki zależnej. Podczas początkowego procesu rejestracji serwer jednostki zależnej generuje nazwę użytkownika zawierający unikatowy identyfikator. Nazwa użytkownika razem z kluczem prywatnym jest przechowywany po stronie jednostki uwierzytelniającej.

Następnie podczas procesu uwierzytelniania jednostka uwierzytelniająca zwraca nazwę użytkownika, umożliwiając serwerowi sprawdzenie powiązanych użytkowników. Nie jest konieczne wprowadzanie nazwy użytkownika w celu zalogowania. Jeśli jednostka uwierzytelniająca obsługuje też weryfikację przy użyciu PINu lub biometrii, jednostka zależna zyskuje MFA o wysokiej skuteczności przy zaledwie jednym kroku logowania i bez konieczności przesyłania jakichkolwiek haseł.

Poświadczenie oznacza udowodnienie czegoś. FIDO 2.0 to zestaw specyfikacji bezpieczeństwa, stosujący poświadczenie do dostarczenia jednostce zależnej kryptograficznego dowodu modelu wystawcy uwierzytelnienia. Następnie z tego dowodu jednostka zależna może wyprowadzić cechy zabezpieczeń wystawcy uwierzytelnienia.

W przypadku FIDO 2.0 oświadczenia poświadczające są powiązane z danymi kontekstowymi. Dane są dodawane i przekazywane jako żądanie podpisu z serwera do jednostki uwierzytelniającej. Aby zweryfikować podpis, serwer sprawdza otrzymane dane, porównując je z oczekiwanymi wartościami.

W kontekście FIDO 2.0 jednostka zależna to strona internetowa lub jakakolwiek inna jednostka korzystająca z protokołu FIDO w celu bezpośredniego uwierzytelniania użytkowników.

Jeśli FIDO jest połączone z protokołami federacyjnego zarządzania tożsamością, takimi jak SAML czy OpenID Connect, dostawcą tożsamości jest również jednostką zależną FIDO.