KUNGFU TECH

0
0
Lập trình
Thaycacac
Thaycacac thaycacac

Khám Phá Kiểm Soát Truy Cập: Phân Biệt Giữa Xác Thực và Cấp Quyền

Đăng vào 3 tuần trước

• 3 phút đọc

Chủ đề:

KungFuTechAccess control vulnerabilitysecurity testing

Kiểm Soát Truy Cập Là Gì?

Kiểm soát truy cập là quy trình áp dụng các ràng buộc nhằm xác định ai và cái gì được phép thực hiện các hành động hoặc truy cập tài nguyên trong một hệ thống. Đối với mỗi vai trò trong tổ chức, sẽ có các quyền truy cập khác nhau cho các tính năng của hệ thống.

Ví dụ:
Nhân viên A thuộc bộ phận A1 có quyền tạo yêu cầu đi muộn hoặc xin nghỉ. --> Nhân viên A có vai trò Nhân viên (Staff).
Anh B được phép phê duyệt hoặc từ chối các yêu cầu mà nhân viên A tạo ra. --> Anh B có vai trò Trưởng nhóm (Leader).

Nếu nhân viên A cố gắng truy cập trái phép đến các tính năng không nằm trong quyền hạn của mình (chẳng hạn như phê duyệt tất cả các yêu cầu mà mình đã tạo), chúng ta có thể nói rằng nhân viên A đang thực hiện một cuộc tấn công vào chế độ kiểm soát truy cập - hiện tượng Phá vỡ Kiểm Soát Truy Cập (Broken Access Control).

Phân Biệt Giữa Xác Thực và Cấp Quyền

Kiểm soát truy cập hình thành từ hai phần chính - hai khái niệm dễ bị nhầm lẫn trong quá trình hoạt động, thường bị coi là một. Cụ thể là:

  • Xác thực (Authentication)
  • Cấp quyền (Authorization)

Quá Trình Xác Thực (Authentication)

Quá trình xác thực nhằm kiểm tra danh tính của đối tượng và trả lời câu hỏi: bạn là ai?. Trong đời sống hàng ngày, ví dụ của quá trình xác thực bao gồm:

  • Nhập mật khẩu, quét vân tay hoặc nhận diện khuôn mặt khi mở khóa điện thoại.
  • Nhận vé khi gửi xe, và trình lại vé để lấy xe.
  • Quẹt thẻ từ để sử dụng thang máy ở chung cư cao cấp.
  • Sử dụng chìa khóa xe máy để mở đúng chiếc xe đã đăng ký.

Các hệ thống đơn giản thường chỉ yêu cầu một yếu tố để xác thực, như tài khoản và mật khẩu, mã PIN, vân tay hoặc khuôn mặt. Tuy nhiên, chỉ sử dụng một yếu tố không đủ an toàn và đáng tin cậy.
Do đó, nhiều nơi hiện nay đã áp dụng hệ thống xác thực đa yếu tố, yêu cầu nhiều thông tin xác thực khác nhau để đảm bảo an toàn cho người dùng.

Quá Trình Cấp Quyền (Authorization)

Cấp quyền xác định chính xác quyền của người dùng trên một hệ thống cụ thể.

  • Nhân viên ANhân viên và chỉ có quyền tạo yêu cầu đi muộn hoặc nghỉ phép, nhưng không có quyền xem danh sách yêu cầu của đồng nghiệp trong bộ phận.
  • Anh B là Trưởng nhóm và có quyền xem danh sách cũng như phê duyệt hoặc từ chối các yêu cầu mà nhân viên tạo ra.

Sự kết hợp giữa quá trình xác thực và cấp quyền hình thành nên hệ thống kiểm soát truy cập hoàn chỉnh. Hệ thống này cần phải:

  • Bảo vệ tài nguyên hệ thống trước các truy cập trái phép.
  • Đảm bảo tài nguyên chỉ có thể được truy cập qua các phương pháp đã được cho phép.

Các Loại Hệ Thống Kiểm Soát Truy Cập

Hệ thống kiểm soát truy cập có thể được chia thành hai loại chính:

  1. Kiểm soát truy cập vật lý: bảo vệ trước các truy cập vật lý như cửa, nhân viên kiểm tra thẻ, v.v.
  2. Kiểm soát truy cập thông tin: bảo vệ các nội dung và dữ liệu số trên hệ thống.

Nếu bài viết này hữu ích với bạn, hãy tặng tôi một Upvote để khuyến khích tôi tiếp tục học hỏi và chia sẻ. Nếu bạn cảm thấy có điều gì chưa đúng, xin đừng vội Downvote mà hãy để lại nhận xét để tôi có cơ hội cải thiện và nâng cao kiến thức của mình.
source: viblo

Nội dung bài viết

Gợi ý câu hỏi phỏng vấn
Không có dữ liệu

Không có dữ liệu

Bài viết được đề xuất
Bài viết cùng tác giả

Bình luận

Chưa có bình luận nào

Chưa có bình luận nào