2. Головна
  3. АРХІВ НОМЕРІВ
  4. 2024 рік
  5. Том 46, № 3 (2024)
  6. c. 39-56

Сучасні методи автентифікації та авторизації користувачів розподілених веборієнтованих систем

І.С. Зінов’єва, канд. економ. наук, О.М. Потапчук
Київський національний економічний університет ім. Вадима Гетьмана
Україна, 02022, Київ, Берестейський пр-т, 54/1
тел. +38(098) 599 39 98, e-mail: Ця електронна адреса захищена від спам-ботів. Вам необхідно увімкнути JavaScript, щоб побачити її.,
тел. +38(093) 166 45 57, e-mail: Ця електронна адреса захищена від спам-ботів. Вам необхідно увімкнути JavaScript, щоб побачити її.

Èlektron. model. 2024, 46(3):39-56

https://doi.org/10.15407/emodel.46.03.039

АНОТАЦІЯ

Проведено аналіз та представлено результати порівняльного огляду найбільш пошире­них методів автентифікації та авторизації користувачів веборієнтованих систем з розподі­леною архітектурою. З урахуванням актуальності питань кібербезпеки в епоху цифро­візації, дослідження зосереджено на виявленні ефективних стратегій захисту користу­вацьких даних при розробці розподілених веборієнтованих систем сфери торгівлі. До­слід­жено найбільш вірогідні загрози доступу до даних, що характерні для розподілених веборієнтованих систем, визначені потенційні причини цих вразливостей. Особливу ува­гу приділено оцінці ризиків та переваг різних підходів, включаючи базову автен­ти­фіка­цію, автентифікацію на основі: сесій, JWT-токену, токенів доступу та відновлення (стан­дарт OAuth 2.0). Проаналізовано різні аспекти кожного методу, зокрема їх надій­ність та вразливість до атак. Розглянуто реальні випадки вразливостей в розподілених веборієн­тованих системах і запропоновано практичні рекомендації щодо їх усунення.

КЛЮЧОВІ СЛОВА:

автентифікація, авторизація, безпека, захист даних.

СПИСОК ЛІТЕРАТУРИ

  1. Fruhlinger J. Equifax data breach FAQ: What happened, who was affected, what was the impact? CSO Online. URL: https://www.csoonline.com/article/567833/equifax-data-breach-faq-what-happened-who-was-affected-what-was-the-impact.html (дата звернення: 04.2024).
  2. Aaron Holmes, Paige Leskin, Tyler Sonnemaker, and Charles R. Davis Hackers took over dozens of high-profile Twitter accounts including those of Barack Obama, Joe Biden, Elon Musk, Kim Kardashian, and Apple and used them to post bitcoin scam links. Business Insider. URL: https://www.businessinsider.com/hackers-bitcoin-crypto-cashapp-gates-ripple- coindesk-twitter-scam-links-2020-7 (дата звернення:04.2024).
  3. Карпінський М., Войт С., Аляшевич Я. Алгоритми та моделі організації доступу до ВЕБ-ресурсів на основі систем одноразової аутентифікації користувачів. Вісник Тернопільського державного технічного університету. Том 14. С. 115—126.
  4. Мазниченко Н.І. Підвищення захищеності інформаційних ресурсів комп’ютерних систем на основі систем ідентифікації користувачів. Актуальні питання сучасної науки: матеріали Всеукр. наук.-практ. інтернет-конф. 2017. № 1. С. 236-246. URL: https://dspace.nlu.edu.ua/bitstream/123456789/14290/1/Maznichenko_236-246.pdf (дата звернення: 07.04.2024).
  5. Ляшенко Г.Є, Астраханцев А.А. Дослідження ефективності методів біометричної автентифікації. Системи обробки інформації. 2017. № 2. С. 111—114. URL: https://www.researchgate.net/publication/323728995_Doslidzenna_efektivnosti_metodiv_biometricnoi_avtentifikacii (дата звернення: 07.04.2024).
  6. Polishchuk M., Semenyuk O., Polishchuk L., Lomakin, M. Possibilities of authorization and protection of user data during the development of cloud web applications for IoT. Computer-integrated technologies: education, science, production. 2023. № 52, С. 94— URL: https://doi.org/10.36910/6775-2524-0560-2023-52-12 (дата звернення: 07.04.2024).
  7. Косарева А, Регіда П. Засіб для біометричної автентифікації на основі поведінкових особливостей користувача. Технічні науки та технології. 2021. № 2. С. 114—
  8. ISO/IEC 27001:2022 «Information security, cybersecurity and privacy protection Information security management systems Requirements». International Organization for Standardization. URL: https://www.iso.org/standard/27001 (дата звернення:04.2024).
  9. ISO/IEC 27002:2022 «Information security, cybersecurity and privacy protection Information security controls». International Organization for Standardization. URL: https://www.iso.org/standard/75652.html (дата звернення: 04.2024).
  10. ISO/IEC 29115:2013 «Information technology Security techniques Entity authentication assurance framework». International Organization for Standardization. URL: https://www.iso.org/standard/45138.html (дата звернення:  04.2024).
  11. ISO/IEC 24760-1:2019 «IT Security and Privacy A framework for identity management Part 1: Terminology and concepts». International Organization for Standardization. URL: https://www.iso.org/standard/77582.html (дата звернення: 04.2024).
  12. ISO/IEC 10181-1:1996 «Information technology Open Systems Interconnection Security frameworks for open systems: Overview». International Organization for Standardi­zation. URL: https://www.iso.org/standard/24404.html (дата звернення: 04.2024).
  13. ISO/IEC 10181-2:1996 «Information technology Open Systems Interconnection Security fra­meworks for open systems: Authentication framework». International Organization for Stan­dardization. URL: https://www.iso.org/standard/18198.html (дата звернення: 04.2024).
  14. SQL Injection. W3schools. URL: https://www.w3schools.com/sql/sql_injection.asp (дата звернення: 04.2024).
  15. Cross Site Scripting (XSS). OWASP Foundation. URL: https://owasp.org/www-community/ attacks/xss (date of access: 04.2024).
  16. Cross Site Request Forgery (CSRF). OWASP Foundation. URL: https://owasp.org/www-community/attacks/csrf (дата звернення: 07.04.2024).
  17. Cross-Site Request Forgery Prevention Cheat Sheet. OWASP Foundation. URL: https://cheatsheetseries.owasp.org/cheatsheets/Cross-Site_Request_Forgery_Prevention_ html (дата звернення: 07.04.2024).
  18. Yasar K. Man-in-the-middle attack (MitM). TechTarget. URL: https://www.techtarget.com/ iotagenda/definition/man-in-the-middle-attack-MitM (дата звернення: 07.04.2024).
  19. The OWASP Top 10: Broken Authentication & Session Management. SiteLock. URL: https://www.sitelock.com/blog/owasp-top-10-broken-authentication-session-management/ (дата звернення: 07.04.2024).
  20. Basic Authentication. Twilio. URL: https://www.twilio.com/docs/glossary/what-is-basic-authentication (дата звернення: 07.04.2024).
  21. Kamran A. Session Based Authentication. Roadmap. URL: https://roadmap.sh/guides/ session-based-authentication (дата звернення: 07.04.2024).
  22. What is JWT (JSON Web Token)? How does JWT Authentication work? Miniorange. URL: https://www.miniorange.com/blog/what-is-jwt-json-web-token-how-does-jwt-authentication-work/ (дата звернення: 07.04.2024).
  23. Sobers R. What is OAuth? Definition and How it Works. Varonis. URL: https://www>.varonis. com/blog/what-is-oauth (дата звернення:04.2024).
  24. Password Grant. OAuth. URL: https://www.oauth.com/oauth2-servers/access-tokens/ password-grant/ (дата звернення: 07.04.2024).
  25. Parecki A. What is the OAuth 2.0 Authorization Code Grant Type? Okta. URL: https://developer.okta.com/blog/2018/04/10/oauth-authorization-code-grant-type (дата звернення: 07.04.2024).
  26. Silverman M. Implement the OAuth 2.0 Authorization Code with PKCE Flow. Okta. URL: https://developer.okta.com/blog/2019/08/22/okta-authjs-pkce (дата звернення: 07.04.2024).
  27. OAuth 2.0 Implicit Grant. OAuth. URL: https://oauth.net/2/grant-types/implicit/ (дата звернення: 07.04.2024).
  28. What is OpenID Connect? Okta. URL: https://www.okta.com/openid-connect/ (дата звернення: 07.04.2024).

ЗІНОВ’ЄВА Ірина Сергіївна, канд. економ. наук, доцент кафедри інформаційних систем в економіці Київського національного економічного університету ім. Вадима Гетьмана, котрий закінчила у 2007 р. Область наукових досліджень — сучасні технології інте­грації інформаційних систем, інтелектуальні розподілені системи, діджиталізація у сфери освіти.

ПОТАПЧУК Олексій Михайлович, студент Київського національного економічного уні­верситету ім. Вадима Гетьмана. Область наукових досліджень — розподілені веб­сис­теми, орієнтовані на хмарні технології.

Повний текст: PDF