Хакерские атаки, кража персональных данных, информации и денег — все это часто встречается в современном мире. Поэтому обеспечение сетевой безопасности — первоочередная задача для владельца каждого сайта или мобильного приложения. И она связана с двумя понятиями — аутентификация и авторизации пользователя. Разбираемся, что это такое.
Аутентификация: что это такое, типы
Если вы заходите на какой-либо сайт, аутентификация — проверка, знаете ли вы пароль от учетной записи на сайте. Процедура требуется в том числе для доступа к электронной почте, к социальным сетям, платежным системам, корпоративным сайтам, онлайн-банкингу и к аккаунту в интернет-магазине. Пользователь предъявляет доказательства того, что он — действительно владелец аккаунта, система распознает и принимает его данные. Простыми словами, аутентификация — проверка личности пользователя
Пример: когда вы идете на закрытое мероприятие, сначала устанавливают вашу личность (смотрят паспорт и сверяют фото), и только затем смотрят, включены ли вы в список гостей (есть ли у вас право доступа на мероприятие). То есть сначала вы проходите аутентификацию.
Типов проверки личности пользователя несколько, они подразумевают разный уровень сложности и безопасности.
Однофакторная проверка личности. Использует один уровень защиты — чаще всего введение логина и пароля. Самый традиционный вариант.
2FA/MFA — двухфакторная/многофакторная проверка личности. Здесь для доступа к системе от пользователя уже требуются несколько форм аутентификации одновременно. Это может быть введение логина и пароля, а затем кода из SMS-сообщения. Чаще всего многофакторная система доступа используется в финансовой сфере или в крупных интернет-магазинах.
После этого код присылается на другое устройство, то есть на смартфон.
Единый вход. Это доступ к нескольким сайтам или приложениям с одним набором учетных данных. Используется прежде всего в корпоративных средах для того, чтобы пользователям было удобнее перемещаться между продуктами компании. Например, это различные сервисы Google, куда можно войти с почтой на @gmail.com.
Вход с помощью соцсетей. Этот вид подтверждения личности пользователя дает возможность получить доступ к системе или приложению с помощью учетных данных социальных сетей, например, «ВКонтакте». Социальные сети сами принимают меры по обеспечению безопасности данных аккаунтов, так что в целом этот способ можно признать более безопасным, чем вход по паролю.
Пример: войти в нейросеть Chad можно по данным в социальных сетях.
После прохождения проверки личности становится возможна проверка прав доступа пользователя к информации.
С помощью чего можно пройти аутентификацию
Условно все варианты прохождения процедуры можно разделить на 3 большие группы.
- Вы обозначаете что-то, что знаете только вы. Например, пароль и логин или ответ на секретный вопрос, или PIN-код.
- Вы предъявляете что-то, что есть только у вас. Например, подтверждаете факт одновременного владения компьютером и смартфоном или наличия у вас токена (специального кода).
- Вы подтверждаете свою личность физически. Это проверка личности на основе физических характеристик: отпечаток пальцев, или сетчатки глаза, или просто лица при реализации на сайте функции распознавания лиц.
Рассмотрим частые виды установления истинности пользователя подробнее:
- Проверка личности по паролю. Пользователь вводит логин и пароль, который он раньше сам задал для входа в систему. Логин и пароль задаются при регистрации. Иногда в качестве логина могут выступать номер телефона или адрес электронной почты, пароль всегда задается самостоятельно. На первом этапе регистрации система может предоставить пользователю временный пароль, который он затем меняет на удобный ему и неизвестный никому больше.
- Проверка личности по сертификату. Сертификат — это набор атрибутов, которые идентифицируют владельца, подписанный удостоверяющим центром, то есть специальной компанией, которая занимается выдачей цифровых сертификатов пользователю. Сертификат хранится у пользователя либо в отдельном файле, либо на отдельном физическом устройстве, например, на флешке. Так обеспечивается безопасность доступа к электронной цифровой подписи, которую оформил пользователь через федеральный сервис «Контур». Это подпись предоставляется в виде сертификата на физическом носителе, и требует использования ключа, подтверждающего, что человек владеет именно этой электронной подписью. Зато, получив ее, пользователь может подписывать обращения на Госуслугах и вообще эффективно взаимодействовать с государственными организациями в режиме онлайн.
- Проверка личности по одноразовым паролям. Применяется при двухфакторной схеме. В этом случае пользователь должен предоставить данные двух типов — например, основной пароль и логин и одноразовый пароль для входа, который высылается ему на почту или на смартфон. Как вариант дополнительный пароль может быть запрошен при определенных действиях, например, в онлайн-банке при совершении оплаты. Такой вариант повышает уровень защиты.
- ПРоверка по ключам доступа. Вариант, который нередко используют платежные системы. В этом случае для входа вместе требуется access key — длинные уникальные строки с произвольным набором слов. Например, такие варианты используются в криптокошельках. Ключ в этом случае называется seed-фразой и состоит из нескольких (12, 16, 18 или 24) словарных слов, никах не связанных между собой по смыслу.
- Проверка личности через сторонние сервисы. Чаще всего — через социальные сети. В этом случае соцсети выступают как сторонний сервис подтверждения истинности пользователя.
- Проверка личности по биометрическим показателям. Это самый продвинутый и современный способ подтверждения истинности пользователя. Отпечаток пальца или сетчатку глаза нельзя подделать, а возможность потерять их в результате травм намного ниже чем вероятность потерять смартфон в общественном транспорте.
Фраза может выглядеть так: maximum king wheat fringe trade humor wire gate drive mouse fun obvious.
Биометрическое подтверждение истинности владельца есть на современных компьютерах — например, я в свой ноутбук вхожу по отпечатку пальца, который считывается в момент нажатия кнопки «Включить». Всем остальным, чтобы попасть в мой компьютер, нужно знать четырехзначный код, который я, конечно, никому, кроме близких, не передам.
Авторизация: что это такое, типы
Авторизацией называется проверка разрешенного уровня доступа пользователя к информации, то есть к конкретному контенту, размещенному на сайте. В примере с посещением закрытого мероприятия это — процедура поиска вас в списке приглашенных гостей, то есть подтверждение вашего права доступа на мероприятие. Это вторичная процедура, которая проходит после того и если человек успешно прошел аутентификацию в системе. Чаще всего встречаются три типа процедуры.
- Доступ по роли/ролевой доступ. В этом случае разрешенные действия устанавливает владелец файла, сайта или системы. Например, это может быть доступ по должности — только бухгалтер имеет доступ к налоговой отчетности, а, скажем, инженер-технолог той же организации или делопроизводитель — нет. Наглядно это можно продемонстрировать на примере работы в Google Docs…
- Доступ по мандату. Модель характерна для госучреждений где кадровые службы имеют доступ только к кадровой информации, а технические отделы — только к технической.
- Избирательный доступ. В этом случае владелец ресурса сам устанавливает права пользования для сотрудников или посетителей. Например, это можно делать поименно, используя адреса электронной почты.
Как авторизация и аутентификация работают вместе
На одном ресурсе могут одновременно использоваться и аутентификация, и авторизация — вместе их используют для повышения уровня безопасности аккаунтов пользователей и представленной в системе информации.
Пример: у вас есть банковская карта, и вы заходите в десктопную версию онлайн-банка, чтобы управлять балансом. Чтобы удостовериться, что в онлайн-банк входите именно вы, система запрашивает у вас логин (или номер карты) и пароль. Но что если логин, номер карты, пароль стали известны злоумышленникам? Тем более, что номер карты мы обычно и не скрываем, часто переводя и получая деньги именно по этому номеру.
Чтобы обезопасить ваши средства, введена вторая часть аутентификации — вы должны подтвердить, что-то, что украсть мошенники, скорее всего, не могли. Например, код из sms-сообщения, только что отправленного банком. Стандартный срок действия такого кода составляет всего 10 минут.
Таким образом, процедуры контроля доступа, при которых задействованы два или несколько разных технических устройств, обеспечивают максимально возможный уровень безопасности в интернет-среде.
Сравнение авторизации и аутентификации
Аутентификация |
Авторизация |
Проверка истинности пользователя перед предоставлением доступа к системе/сайту |
Проверка того, какие права присвоены пользователю на выполнение определенных действий — например, на редактирование или скачивание какой-то информации |
В рамках одной сессии используется только один раз, повторений не требуется |
Может требоваться каждый раз, когда возникает необходимость что-то сделать в системе — например, перейти в другой раздел — если на сайте не установлен запрет на количество авторизаций |
Обеспечивает доступ к системе или ресурсу только конкретного пользователя |
Обеспечивает авторизованным пользователям соответствующий уровень доступа к ресурсам |
Выполняется перед авторизацией |
Выполняется после аутентификации |
Пользователи могут частично изменять свои учетные данные для аутентификации |
Пользователи не могут самостоятельно изменять уровень своего доступа — это может сделать только владелец файла, сайта, системы |
Пример: Ввод учетных данных для доступа к онлайн-банку |
Пример: Предоставление бухгалтеру компании доступа к финансовой документации, размещенной на корпоративном сайте |
Рекомендации по использованию авторизации и аутентификации
Используйте двухфакторную проверку истинности пользователя и его прав доступа к информации — сегодня это рационально и оправданно. Пользователи могут чувствовать себя более защищенными, когда включена двухфакторная аутентификация. Для повышения комфорта пользователей можно также задавать параметр «доверять этому устройству в течение Х дней», и в этом случае двухфакторная схема будет включаться только по истечении заданного периода.
Подумайте об аутентификации с помощью данных аккаунтов из соцсетей. Конечно, если речь не идет о финансовой информации. В целом такой вариант с точки зрения пользователей упрощает взаимодействие с сайтом.
При установке пароля для входа на сайт задавайте правила его создания и мотивируйте пользователей составлять надежные пароли. Правилами могут быть обязательное наличие строчных и заглавных латинских букв, а также цифр и дополнительных знаков («!», «/» и т. д.). Длина пароля оптимально должна составлять не менее 8 знаков.
Используйте на сайте протоколы зашифрованной передачи данных. Особенно это важно при работе с конфиденциальной информацией.
Периодически проводите аудит безопасности работ с сайтом мобильным приложением или системой. Это поможет обнаружить уязвимости и устранить их до появления проблем у пользователей.
Коротко о главном
- Контроль доступа — вот основная задача, которую решают две рассмотренные процедуры — аутентификация, или проверка личности пользователя, и авторизация, или определение прав доступа к информации после успешной аутентификации.
- Существуют разные методы аутентификации, такие как однофакторная проверка, двухфакторная или многофакторная проверка, единый вход и вход с помощью социальных сетей. Каждый из этих методов имеет свои преимущества и недостатки, и выбор определенного метода зависит от потребностей и уровня безопасности конкретных системы, сайта или мобильного приложения.
- К основным способам авторизации относятся ролевой доступ, доступ по мандату и избирательный доступ.
- Обеспечение безопасности в сети — важная задача для всех владельцев сайтов и мобильных приложений, а грамотная реализация контроля доступа поможет защитить пользователей от хакерских атак и кражи личных данных.
Комментарии