Autoryzacja w systemach informatycznych i finansach

Autoryzacja stanowi ważny element współczesnych systemów bezpieczeństwa. Znajduje zastosowanie w wielu obszarach – od informatyki, gdzie kontroluje dostęp do zasobów cyfrowych, przez bankowość, gdzie zabezpiecza transakcje finansowe, aż po prawo prasowe i autorskie. Sprawdź popularne metody autoryzacji w systemach informatycznych i w branży finansowej.

Czym jest autoryzacja – definicja i podstawowe pojęcia

Słownik języka polskiego PWN definiuje autoryzację jako:

• Zezwolenie autora na wydanie, przekład, wystawienie, adaptację lub przeróbkę dzieła.
• Zezwolenie osoby udzielającej wywiadu na jego opublikowanie.
• Zezwolenie producenta na prowadzenie działalności w jego imieniu.

Jednak słowo to ma szersze znaczenie. W finansach czy informatyce w ten sposób określa się, do jakich zasobów i na jakim poziomie użytkownik ma dostęp po wykonaniu pomyślnego uwierzytelnienia. Jest to proces weryfikacji uprawnień danego podmiotu do określonych zasobów.

Różnica między autoryzacją a uwierzytelnianiem

Autoryzacja i uwierzytelnianie to pojęcia często używane zamiennie. Jednak są to dwa różne procesy:

• Uwierzytelnianie potwierdza, kim jesteś.
• Autoryzacja odpowiada na pytanie, co możesz zrobić i jakie masz uprawnienia.

Najpierw realizowany powinien być proces uwierzytelniania, czyli weryfikacji tożsamości użytkownika. System sprawdza, czy np. Jan Kowalski jest rzeczywiście Janem Kowalskim.

Natomiast kolejny krok stanowi autoryzacja, czyli nadawanie pewnych uprawnień do określonych zasobów.

Modele autoryzacji w systemach informatycznych

W systemach informatycznych stosowane są różne metody autoryzacji, do których zaliczają się:

• RBAC – gdzie uprawnienia nadaje się na podstawie roli i funkcji użytkownika w organizacji, w powiązaniu z obowiązkami służbowymi.
• ReBAC – w przypadku której największe znaczenie ma relacja pomiędzy użytkownikiem a określonym zasobem. W przypadku dokumentów tekstowych może być to uprawnienie do wyświetlenia, edycji czy udostępniania.
• ABAC – kontrola dostępu oparta na atrybutach, gdzie ocenie poddawane są atrybuty użytkownika, aby określić, czy może on uzyskać dostęp do konkretnego zasobu.
• DAC – uznaniowa kontrola dostępu, kiedy to właściciel zasobów decyduje o sposobie ich udostępniania.
• MAC – obowiązkowa kontrola dostępu, gdzie poziom poufności zasobu i wymagany poziom bezpieczeństwa użytkownika decyduje o dostępie do danego elementu.

Proces autoryzacyjny w praktyce bankowej

Z autoryzacją możesz mieć do czynienia w bankowości, kiedy logujesz się na swoje konto albo zatwierdzasz transakcję. Do najczęściej stosowanych jej rodzajów zalicza się:

• Kod SMS – który otrzymujesz przy próbie realizacji przelewu.
• Token – generator kodów jednorazowych w formie sprzętowej (OTP lub OCRA) lub aplikacji.
• Autoryzacja mobilna – możesz skorzystać z niej bezpośrednio w aplikacji banku zainstalowanej na smartfonie. Żądane przelewy potwierdzisz specjalnym nadanym indywidualnie numerem PIN, odciskiem palca lub za pomocą Face ID (rozpoznawanie twarzy).
• Podpis cyfrowy, np. w formie jednorazowego hasła.

Aby zwiększyć bezpieczeństwo, stosuje się dwuskładnikową autoryzację dla zatwierdzania operacji, w skrócie 2FA. Łączy dwie różne metody kontroli Twoich uprawnień i autoryzacji dostępu.

Bezpieczeństwo procesów autoryzacyjnych

Procesy autoryzacyjne powinny zapewniać bezpieczeństwo systemów, w których wraz z metodami uwierzytelniania są one stosowane. Mają gwarantować, że tylko uprawnieni użytkownicy, po uprzedniej weryfikacji, będą mieć dostęp do określonych zasobów.

*Podana informacja nie stanowi oferty Banku w rozumieniu art. 66 § 1 kodeksu cywilnego

Źródła:

https://www.comarch.pl/finanse/artykuly/autoryzacja-i-uwierzytelnianie-z-czym-sie-to-je/

https://www.keepersecurity.com/pl_PL/resources/glossary/what-is-authorization/