Главная > Глоссарий > Аутентификация: где и как используется

Глоссарий

Аутентификация: где и как используется

Автор Максим Пушкарёв

На чтение 7 минут

Аутентификация - процесс проверки подлинности пользователя или системы при предоставлении защищенных ресурсов. Она служит основным барьером на пути несанкционированного доступа к данным и сервисам. Существуют разные способы аутентификации: от классических паролей и одноразовых кодов до биометрических технологий. Выбор того или иного варианта зависит от требуемого уровня безопасности и удобства для пользователя.

В данной статье мы расскажем:

Разница между аутентификацией и авторизацией
Основные виды аутентификации
Способы аутентификации

Разница между аутентификацией и авторизацией

Процесс аутентификации подразумевает установление достоверности личности или объекта, получающего доступ, а также подтверждение соответствия предоставленных идентификационных данных и информации для аутентификации именно этому субъекту или объекту.

Для начала работы с любым устройством, приложением или информационной системой требуется пройти авторизацию, то есть получить право на выполнение определенных операций. Авторизации всегда предшествуют два этапа:

Идентификация: пользователь сообщает системе свои данные, чтобы представиться.
Пользователь вводит данные для аутентификации, чтобы подтвердить свою личность.

Аутентификация является неотъемлемой частью нашей повседневной жизни, хотя мы часто не осознаем этого. Например, при посещении государственных учреждений мы предъявляем паспорт, содержащий Ф. И. О. (идентификация) и фотографию (аутентификация по внешности). Собираясь в гости, мы звоним в домофон и сообщаем, что это мы. Друг аутентифицирует нас по голосу и открывает дверь.

Рассмотрим распространенную ситуацию, где идентификация и аутентификация неразрывно связаны.

Представьте закрытый прием с эксклюзивным списком приглашенных, где каждому гостю заранее присвоены уникальное имя и секретный пароль аутентификации.

При входе охранник запрашивает ваше имя и секретный пароль. Затем сравнивает предоставленные данные со списком зарегистрированных гостей. В случае совпадения вам выдают конверт, свидетельствующий о вашем допуске.

После прохождения аутентификации вы получаете право посещать основной зал и общие зоны, поскольку для них не требуется дополнительная авторизация. Доступ к званому ужину открыт для всех подтвержденных гостей. Однако если вы захотите попасть в VIP-зону, ситуация изменится.

У входа в VIP-зону другой охранник попросит предъявить ваш конверт, где указаны ваши права и роли. Проверив информацию, он обнаружит, что у вас нет VIP-статуса, и, следовательно, доступ в эту зону вам не разрешен. Проще говоря, аутентификация – это процесс подтверждения личности пользователя или сервиса, запрашивающего доступ. А авторизация определяет, какие действия этот пользователь или сервис может совершать после успешного доступа.

Зачем необходимо внедрять оба механизма – аутентификацию и авторизацию?

Несмотря на различие в сути, как аутентификация, так и авторизация жизненно важны для обеспечения безопасности и поддержания целостности приложения или информационной системы. Эти два процесса функционируют в связке, и отсутствие одного из них делает другой бессмысленным. Предоставление доступа к административной панели без каких-либо ограничений может повлечь за собой катастрофические последствия.

В то же время невозможно предоставить права пользователям, если нет информации об их личности. По этой причине процедура аутентификация доступа всегда предшествует предоставлению прав.

Основные виды аутентификации

Методы подтверждения личности пользователя разнообразны. Обычно выделяют базовый и продвинутый уровни защиты, каждый из которых имеет характерные черты:

Однофакторная. Наиболее часто применяемый и широко известный метод. Классический пример – аутентификация аккаунта посредством пароля.

Этот способ обеспечивает относительно легкий доступ к платформам и службам. Однако в последнее время однофакторная модель теряет популярность. Проблема в том, что с каждым годом подобрать пароль становится все легче. Особенно если пользователь не создает уникальные комбинации, а использует один и тот же пароль для всех своих аккаунтов.

Для обеспечения безопасности личной информации пользователей некоторые платформы применяют так называемые одноразовые пароли. Каждый раз, когда пользователь пытается войти в свой аккаунт, на его телефон или электронную почту высылается уникальная секретная последовательность символов. Этот пароль предназначен только для однократного использования и имеет очень короткий срок действия.

В сущности, это метод авторизации, при котором для входа в систему требуется логин и временный пароль. Примером такого подхода могут служить сайты знакомств и платформы социальных сетей.

Двухфакторная. Этот подход предполагает использование нескольких факторов для подтверждения личности. Одного лишь пароля недостаточно, поскольку даже самый сложный может быть взломан. Злоумышленники часто используют методы подбора для получения доступа к учетным записям, поэтому необходимо разрабатывать более надежные способы защиты.

Наиболее распространена двухфакторная аутентификация пользователя с применением двух паролей:

пользовательского – создается непосредственно самим пользователем;
временного – генерируется системой с целью аутентификации или верификации операции.

Обычно заключительным этапом является получение SMS-оповещения. Пользователь признается полноценным клиентом при наличии одновременно как постоянного, так и одноразового паролей. Наиболее часто временные комбинации отправляются на смартфоны. Таким образом, мобильный телефон становится вторым необходимым элементом аутентификации.

Исключительно двухэтапная аутентификация способна обеспечить надежную защиту. Это особенно важно для платформ, работающих с биометрическими данными. В качестве примера можно привести подтверждение личности не только через основной пароль, но и с помощью идентификации клиента по отпечаткам пальцев или сканированию сетчатки глаза.

Многофакторная. Для повышения уровня безопасности аутентификации можно использовать многофакторную аутентификацию, включающую три или более факторов. Обычно такая схема выглядит следующим образом:

Информация, известная пользователю (логин и пароль либо логин, пароль и секретный вопрос с ответом).
Средство доступа, которым владеет пользователь (SMS-код, приложение-аутентификатор, USB-ключ).
Биометрические данные пользователя (отпечаток пальца, распознавание лица).

Многофакторная аутентификация обеспечивает максимальную защиту, так как для доступа требуется предоставить комбинацию факторов, которые сложно скомпрометировать или подделать.

Несмотря на высокую степень защиты, многофакторная система аутентификации не всегда применяется из-за сложности настройки и обслуживания. Поэтому прежде чем внедрять такую систему, необходимо убедиться, что ценность защищаемых данных или системы оправдывает затраты на ее поддержку.

Способы аутентификации

Разнообразие способов подтверждения подлинности пользователя (аутентификации) обусловлено различными подходами к их реализации. Существует несколько основных подходов:

Через пароль. Парольная аутентификация – метод, основанный на применении паролей, является наиболее простым. Пользователь идентифицируется с помощью уникального кода аутентификации, известного только ему. В данном случае идентификатором выступает постоянный пароль, который применяется каждый раз, когда пользователю требуется доступ к сервису или операции.

Более безопасным вариантом является использование одноразовых временных кодов, отправляемых на устройство пользователя или его электронную почту.

Аутентификация с использованием пароля предполагает предварительную установку пароля и является распространенным типом однофакторной аутентификации. Однако она не гарантирует полную подлинность пользователя, так как существует возможность ввода пароля несколькими лицами. Внесение изменений в пароль одним из таких «участников» не представляет сложности.

Для обеспечения безопасности данных и учетных записей применяются разнообразные методы защиты:

Технические параметры – это правила формирования паролей.
Временные рамки. Регулярная смена паролей повышает степень защиты.
Контроль доступа к файлам. В частности, это относится к документам, содержащим пароли.
Ограничение количества попыток ввода. В случае нескольких неверных попыток идентификации система регистрирует это. После превышения допустимого числа попыток пользователь теряет возможность подтвердить свою личность. Система выдает сообщение об ошибке и может предложить подождать некоторое время или временно заблокировать доступ к учетной записи, информации или операциям.
Повышение осведомленности сотрудников в вопросах информационной безопасности.

Для усиления защиты парольной аутентификации рекомендуется использовать специализированные приложения, известные как генераторы, которые автоматически создают сложные пароли.

С физическим носителем. Второй подход к аутентификации предполагает использование физического носителя, что часто применяется в банковской сфере и считается более надежным. В качестве идентификаторов выступают:

цифровые сертификаты;
токены;
смарт-карты;
флеш-карты;
электронные подписи;
магнитные полоски на картах.

Для идентификации пользователя необходимо физически подключить соответствующий носитель к устройству. Несмотря на достаточную степень безопасности, этот метод также не является абсолютно надежным.

По биометрическим параметрам. Использование биометрических данных для подтверждения личности является одним из наиболее безопасных методов. Этот способ аутентификации опирается на уникальные параметры, принадлежащие конкретному пользователю, а именно на его физиологические и поведенческие особенности

К ним следует отнести:

Физиологические данные, такие как отпечатки пальцев, сканирование сетчатки глаза или геометрия лица, которые широко известны.
Динамические характеристики, менее распространенные, например, сила нажатия клавиш, тембр голоса, динамика подписи или особенности моторики.

Такого рода информация не может быть легко скопирована или украдена, поскольку она уникальна для каждого индивида. Именно поэтому биометрическая аутентификация считается одним из самых эффективных способов защиты информации и обеспечения безопасности.

С персональными данными. Личные сведения редко выступают единственным фактором аутентификации, поскольку это весьма уязвимый метод. Как правило, их применяют в связке с другими способами идентификации либо для восстановления забытых логинов/паролей:

номер телефона;
дата рождения;
клички домашних животных;
девичья фамилия матери;
наименования спортивных команд, музыкальных групп или телешоу.

Часто эта информация используется как способ восстановления доступа при аутентификации по паролю. Хорошим примером являются сервисы электронной почты.

По местоположению. Современный метод защиты, основанный на проверке координат пользователя через GPS (систему спутниковой навигации). Человеку требуется отправлять свои геоданные с помощью навигатора. Система определяет местоположение клиента, используя спутниковые сигналы, и принимает решение о предоставлении доступа к информации и ресурсам.

Этот метод отличается повышенной безопасностью благодаря сложности перехвата спутниковых сигналов. При этом использование GPS-навигатора не представляет собой трудной задачи для пользователя.

С помощью ключей. Распространенный метод идентификации пользователей, особенно в беспроводных сетях Wi-Fi. Для подтверждения личности применяются различные типы ключей:

WPA;
WPA2;
MAC-адреса.

Чаще всего система автоматически идентифицирует необходимые данные.

В эпоху растущей сложности киберугроз, аутентификация приобретает критическое значение для обеспечения безопасности. Только внедряя проверенные системы идентификации и аутентификации, можно свести к минимуму риски и защитить информационные активы от потенциальных угроз.