І.С. Зінов’єва, канд. економ. наук, О.М. Потапчук
Київський національний економічний університет ім. Вадима Гетьмана
Україна, 02022, Київ, Берестейський пр-т, 54/1
тел. +38(098) 599 39 98, e-mail:
тел. +38(093) 166 45 57, e-mail:
Èlektron. model. 2024, 46(3):39-56
https://doi.org/10.15407/emodel.46.03.039
АНОТАЦІЯ
Проведено аналіз та представлено результати порівняльного огляду найбільш поширених методів автентифікації та авторизації користувачів веборієнтованих систем з розподіленою архітектурою. З урахуванням актуальності питань кібербезпеки в епоху цифровізації, дослідження зосереджено на виявленні ефективних стратегій захисту користувацьких даних при розробці розподілених веборієнтованих систем сфери торгівлі. Досліджено найбільш вірогідні загрози доступу до даних, що характерні для розподілених веборієнтованих систем, визначені потенційні причини цих вразливостей. Особливу увагу приділено оцінці ризиків та переваг різних підходів, включаючи базову автентифікацію, автентифікацію на основі: сесій, JWT-токену, токенів доступу та відновлення (стандарт OAuth 2.0). Проаналізовано різні аспекти кожного методу, зокрема їх надійність та вразливість до атак. Розглянуто реальні випадки вразливостей в розподілених веборієнтованих системах і запропоновано практичні рекомендації щодо їх усунення.
КЛЮЧОВІ СЛОВА:
автентифікація, авторизація, безпека, захист даних.
СПИСОК ЛІТЕРАТУРИ
- Fruhlinger J. Equifax data breach FAQ: What happened, who was affected, what was the impact? CSO Online. URL: https://www.csoonline.com/article/567833/equifax-data-breach-faq-what-happened-who-was-affected-what-was-the-impact.html (дата звернення: 04.2024).
- Aaron Holmes, Paige Leskin, Tyler Sonnemaker, and Charles R. Davis Hackers took over dozens of high-profile Twitter accounts including those of Barack Obama, Joe Biden, Elon Musk, Kim Kardashian, and Apple and used them to post bitcoin scam links. Business Insider. URL: https://www.businessinsider.com/hackers-bitcoin-crypto-cashapp-gates-ripple- coindesk-twitter-scam-links-2020-7 (дата звернення:04.2024).
- Карпінський М., Войт С., Аляшевич Я. Алгоритми та моделі організації доступу до ВЕБ-ресурсів на основі систем одноразової аутентифікації користувачів. Вісник Тернопільського державного технічного університету. Том 14. С. 115—126.
- Мазниченко Н.І. Підвищення захищеності інформаційних ресурсів комп’ютерних систем на основі систем ідентифікації користувачів. Актуальні питання сучасної науки: матеріали Всеукр. наук.-практ. інтернет-конф. 2017. № 1. С. 236-246. URL: https://dspace.nlu.edu.ua/bitstream/123456789/14290/1/Maznichenko_236-246.pdf (дата звернення: 07.04.2024).
- Ляшенко Г.Є, Астраханцев А.А. Дослідження ефективності методів біометричної автентифікації. Системи обробки інформації. 2017. № 2. С. 111—114. URL: https://www.researchgate.net/publication/323728995_Doslidzenna_efektivnosti_metodiv_biometricnoi_avtentifikacii (дата звернення: 07.04.2024).
- Polishchuk M., Semenyuk O., Polishchuk L., Lomakin, M. Possibilities of authorization and protection of user data during the development of cloud web applications for IoT. Computer-integrated technologies: education, science, production. 2023. № 52, С. 94— URL: https://doi.org/10.36910/6775-2524-0560-2023-52-12 (дата звернення: 07.04.2024).
- Косарева А, Регіда П. Засіб для біометричної автентифікації на основі поведінкових особливостей користувача. Технічні науки та технології. 2021. № 2. С. 114—
- ISO/IEC 27001:2022 «Information security, cybersecurity and privacy protection Information security management systems Requirements». International Organization for Standardization. URL: https://www.iso.org/standard/27001 (дата звернення:04.2024).
- ISO/IEC 27002:2022 «Information security, cybersecurity and privacy protection Information security controls». International Organization for Standardization. URL: https://www.iso.org/standard/75652.html (дата звернення: 04.2024).
- ISO/IEC 29115:2013 «Information technology Security techniques Entity authentication assurance framework». International Organization for Standardization. URL: https://www.iso.org/standard/45138.html (дата звернення: 04.2024).
- ISO/IEC 24760-1:2019 «IT Security and Privacy A framework for identity management Part 1: Terminology and concepts». International Organization for Standardization. URL: https://www.iso.org/standard/77582.html (дата звернення: 04.2024).
- ISO/IEC 10181-1:1996 «Information technology Open Systems Interconnection Security frameworks for open systems: Overview». International Organization for Standardization. URL: https://www.iso.org/standard/24404.html (дата звернення: 04.2024).
- ISO/IEC 10181-2:1996 «Information technology Open Systems Interconnection Security frameworks for open systems: Authentication framework». International Organization for Standardization. URL: https://www.iso.org/standard/18198.html (дата звернення: 04.2024).
- SQL Injection. W3schools. URL: https://www.w3schools.com/sql/sql_injection.asp (дата звернення: 04.2024).
- Cross Site Scripting (XSS). OWASP Foundation. URL: https://owasp.org/www-community/ attacks/xss (date of access: 04.2024).
- Cross Site Request Forgery (CSRF). OWASP Foundation. URL: https://owasp.org/www-community/attacks/csrf (дата звернення: 07.04.2024).
- Cross-Site Request Forgery Prevention Cheat Sheet. OWASP Foundation. URL: https://cheatsheetseries.owasp.org/cheatsheets/Cross-Site_Request_Forgery_Prevention_ html (дата звернення: 07.04.2024).
- Yasar K. Man-in-the-middle attack (MitM). TechTarget. URL: https://www.techtarget.com/ iotagenda/definition/man-in-the-middle-attack-MitM (дата звернення: 07.04.2024).
- The OWASP Top 10: Broken Authentication & Session Management. SiteLock. URL: https://www.sitelock.com/blog/owasp-top-10-broken-authentication-session-management/ (дата звернення: 07.04.2024).
- Basic Authentication. Twilio. URL: https://www.twilio.com/docs/glossary/what-is-basic-authentication (дата звернення: 07.04.2024).
- Kamran A. Session Based Authentication. Roadmap. URL: https://roadmap.sh/guides/ session-based-authentication (дата звернення: 07.04.2024).
- What is JWT (JSON Web Token)? How does JWT Authentication work? Miniorange. URL: https://www.miniorange.com/blog/what-is-jwt-json-web-token-how-does-jwt-authentication-work/ (дата звернення: 07.04.2024).
- Sobers R. What is OAuth? Definition and How it Works. Varonis. URL: https://www>.varonis. com/blog/what-is-oauth (дата звернення:04.2024).
- Password Grant. OAuth. URL: https://www.oauth.com/oauth2-servers/access-tokens/ password-grant/ (дата звернення: 07.04.2024).
- Parecki A. What is the OAuth 2.0 Authorization Code Grant Type? Okta. URL: https://developer.okta.com/blog/2018/04/10/oauth-authorization-code-grant-type (дата звернення: 07.04.2024).
- Silverman M. Implement the OAuth 2.0 Authorization Code with PKCE Flow. Okta. URL: https://developer.okta.com/blog/2019/08/22/okta-authjs-pkce (дата звернення: 07.04.2024).
- OAuth 2.0 Implicit Grant. OAuth. URL: https://oauth.net/2/grant-types/implicit/ (дата звернення: 07.04.2024).
- What is OpenID Connect? Okta. URL: https://www.okta.com/openid-connect/ (дата звернення: 07.04.2024).
ЗІНОВ’ЄВА Ірина Сергіївна, канд. економ. наук, доцент кафедри інформаційних систем в економіці Київського національного економічного університету ім. Вадима Гетьмана, котрий закінчила у 2007 р. Область наукових досліджень — сучасні технології інтеграції інформаційних систем, інтелектуальні розподілені системи, діджиталізація у сфери освіти.
ПОТАПЧУК Олексій Михайлович, студент Київського національного економічного університету ім. Вадима Гетьмана. Область наукових досліджень — розподілені вебсистеми, орієнтовані на хмарні технології.