Аутентификация — что это? Быстро и понятно

Аутентификация — это в широком смысле проверка данных пользователя. Она нужна для того, чтобы убедиться, что конкретный пользователь имеет право на получение доступа к учетной записи в каком-либо приложении, в системе, на сайте или в программе. Например, если у вас есть личный кабинет на сайте «М.Видео», система идентифицирует вас с помощью номера телефона и предоставит доступ к балансу бонусных баллов, к товарам из списка избранного, персональным предложениям и данным профиля.

Для чего нужна аутентификация

Аутентификация обеспечивает безопасность пользовательских данных и защищает от несанкционированного доступа к конфиденциальной информации. Без нее любой сможет получить доступ, например, к вашим банковским картам, истории покупок, финансовым сервисам и личным аккаунтам. Аутентификация позволяет идентифицировать вас в системе — будь то аккаунт в одноклассниках, стриминговый сервис, приложение для заказа еды или рабочая учетная запись — и предоставить вам соответствующие права доступа.

Чем аутентификация отличается от авторизации и идентификации

Само слово «аутентификация», которое мы встречаем в технических статьях, на сайтах и в характеристиках программного оборудования, часто в нашем понимании сливается с идентификацией и авторизацией. И первое, и второе, и третье — что-то про контроль доступа к личным профилям на диджитал-ресурсах. Тем не менее это три разных процесса. По сути аутентификация — это комплексная процедура, которая включает в себя идентификацию и авторизацию.

Идентификация — это процесс определения личности пользователя, например, по имени или его адресу электронной почты.

Аутентификация — это сам процесс проверки подлинности пользователя, чтобы убедиться, что он является тем, за кого себя выдает. Для аутентификации пользователи могут вводить логин и пароль, биометрические данные или другие методы идентификации.

Авторизация — это процесс проверки прав доступа пользователя к определенным ресурсам или функциям. Он проводится после успешной аутентификации. В результате авторизации пользователь может получить доступ к определенным файлам, программам и т. д.

Таким образом, идентификация — это определение личности пользователя, аутентификация — проверка подлинности пользователя, а авторизация — определение его прав доступа к какому-то ресурсу.

Из чего состоит аутентификация

В зависимости от методов аутентификации ее этапы могут варьироваться. Вот как зачастую это выглядит:

• 1-й этап: идентификация пользователя — ввод логина, адреса электронной почты или других данных, идентифицирующих учетную запись;

• 2-й этап: процедура проверки подлинности — ввод пароля, биометрических или других подтверждающих данных;

• 3-й этап: авторизация — обращение к базе данных ресурса для определения прав доступа конкретного пользователя.

В некоторых случаях аутентификация может включать использование дополнительных методов проверки подлинности — например, одноразовые пароли или токены безопасности.

Однофакторная или двухфакторная?

Ответ кроется в самом названии: для однофакторной аутентификации при проверке пользователя используется только один тип данных, для двухфакторной их может быть два или более — и тогда это уже многофакторная аутентификация.

Однофакторный вариант проще для пользователя и системы. К примеру, вы вводите связку из логина и многоразового пароля — один фактор аутентификации; база данных ресурса считывает ее и предоставляет вам доступ к личному кабинету форума, интернет-магазина, профилю в социальной сети. Несмотря на то что однофакторная аутентификация является наиболее распространенным методом проверки подлинности, она не обеспечивает высокого уровня информационной безопасности, поскольку пароли могут быть украдены или угаданы, а биометрические данные — подделаны.

Поэтому, когда речь идет о конфиденциальных или секретных данных, утечка которых может принести значительный ущерб кому-либо, используется всё же двухфакторная аутентификация. Она может включать в себя одноразовый пароль, а также уникальный код, отправленный на заранее зарегистрированный телефон или другое устройство пользователя. Другой пример — это использование биометрических данных: например, сканирования отпечатка пальца в сочетании с паролем. В обоих случаях пользователь должен предоставить два элемента для проверки подлинности. Двухфакторная аутентификация повышает уровень безопасности, поскольку злоумышленникам труднее подделать или украсть оба фактора. Это также обеспечивает дополнительный уровень защиты для важных систем и таких данных, как банковские счета, электронная почта и другие онлайн-сервисы.

Односторонняя или взаимная?

Нет, не любовь — всё еще аутентификация. Односторонней аутентификация пользователя считается, когда процесс проверки подлинности проходит только одна из сторон в сетевом соединении. Например, это сервер может проверять клиента на подлинность, но клиент при этом не проверяет сервер. При взаимной аутентификации процедура проверки подлинности проходится и сервером, и пользователем.

Примером взаимной аутентификации может быть процесс установки безопасного соединения между клиентом и сервером по протоколу HTTPS — то есть процедура, которая невидимо для нас происходит постоянно, когда мы заходим на разные сайты. В этом случае клиент и сервер обмениваются цифровыми сертификатами, которые содержат информацию о ключах шифрования и подтверждают их подлинность. Клиент проверяет сертификат сервера, а сервер — сертификат клиента, что и позволяет обеим сторонам пройти двустороннюю — взаимную — аутентификацию. Сейчас такой тип аутентификации используется повсеместно, но особенно он необходим для критически важных систем и для доступа к финансовым услугам, личным данным и другим онлайн-сервисам, где информационная безопасность является первостепенной задачей.

Виды аутентификации

Каждый метод аутентификации имеет свои преимущества и недостатки, и его выбор зависит от конкретных требований безопасности и потребностей ресурса или организации. Расскажем вам о некоторых из них.

С помощью пароля

Пароль — самый широко используемый вариант, но при этом далеко не самый безопасный. Аутентификация пользователя здесь основана на использовании уникальной комбинации имени и пароля. При входе в систему пользователь должен ввести логин (в качестве логина могут выступать электронная почта или номер телефона) и пароль, которые будут проверены на соответствие зарегистрированным в базе данных. Если данные верны, пользователь получает доступ к системе. Пароли можно создавать разные в зависимости от политики безопасности конкретного сайта — тогда будут отличаться требования по длине, использованию цифр и символов, по периодической смене паролей и т. д. Хорошо выбранный пароль может защитить вашу учетную запись от несанкционированного доступа.

Сейчас большая часть крупных онлайн-ресурсов (и «М.Видео», кстати, тоже) в качестве аутентификационных данных использует одноразовые пароли или цифровые коды, которые пользователь получает на свой электронный адрес или телефон. Они генерируются системой под каждый отдельный запрос и обеспечивают высокий уровень информационной безопасности.

Через физический носитель

Этот механизм используется, например, для защиты банковских операций. Он основан на использовании физических носителей — смарт-карт, сертификатов, флешек, электронных подписей — с уникальными характеристиками. Лишь имея доступ к носителю, можно получить доступ к самой системе.

Например, цифровой сертификат выдается удостоверяющим центром и содержит уникальную информацию: имя пользователя, публичный ключ и срок действия. Чтобы всё сработало, пользователь должен иметь доступ не только к своему сертификату, но и к соответствующему приватному ключу. Такой способ аутентификации лидирует в плане надежности, поскольку физический носитель является уникальным и его сложно подделать, однако в использовании он подходит далеко не всем.

Биометрия

К устройствам, которые работают с аутентификацией по биометрическим данным, относятся сканеры отпечатков пальцев и сетчатки глаза, терминалы распознавания лиц и голоса. Иначе говоря — в биометрии задействованы уникальные физические характеристики, присущие каждому человеку. При аутентификации с помощью биометрии пользователь должен пройти процедуру регистрации, где его биометрические данные будут сохранены в базе, а затем при входе в систему каждый раз подтверждать свою личность для авторизации. Рисунок папиллярных линий на кончиках наших пальцев — пожалуй, самый востребованный на сегодня метод аутентификации. Именно им мы пользуемся, когда снимаем блокировку на телефоне или смарт-часах, заходим в банковские приложения или оплачиваем покупки.

С помощью личных данных

Если почтовый сервер хоть раз пытался добиться от вас ответа на вопрос о девичьей фамилии матери, то вы понимаете, о чем идет речь. Этот способ аутентификации применяется совместно с другими идентификационными данными в многофакторной аутентификации. Для доступа в личный кабинет какой-нибудь государственной организации помимо пароля может потребоваться ввести дату рождения или данные паспорта, сайт медицинского учреждения может запросить дополнительно номер страхового полиса, а почтовый сервер — ответ на секретный вопрос, вроде названия любимой футбольной команды.

По местоположению

При использовании аутентификации с помощью местоположения система проверяет геолокацию пользователя и сравнивает ее с заранее определенными критериями. Если местоположение соответствует требованиям, пользователь получает доступ к системе. Такой вариант сбора аутентификационных данных используется, например, во многих игровых онлайн-сервисах: система проверяет, соответствует ли заявленный пользователем регион его действительному физическому местонахождению. Обойти такой метод с помощью VPN не составляет особого труда, поэтому он относится, скорее, к категории вспомогательных.