Наша взаимовыгодная связь https://banwar.org/
Ідентифікація, аутентифікація, авторизація - з цими трьома поняттями стикався кожен, але розрізняють їх далеко не всі. Тим часом, в такій справі як захист даних вони грають найважливішу роль і заслуговують того, щоб дізнатися про них побільше.
Для початку скористаємося простим прикладом з повсякденного життя, який допоможе в загальних рисах зрозуміти, чим авторизація відрізняється від аутентифікації і ідентифікації.
Коли новий співробітник вперше приходить на службу, він представляється охоронцю на вході і каже, що тепер буде тут працювати - менеджером, припустимо. Таким чином він ідентифікує себе - повідомляє, хто він такий.
Охорона зазвичай не вірить на слово і вимагає надати докази того, що він дійсно новий менеджер і має право входу в службове приміщення. Пред'явлення пропуску з фотографією і звірення його з наявним у охоронця списком співробітників вирішує проблему. Cлужащій підтвердив свою справжність - пройшов аутентифікацію.
Нарешті відкривається заповітна двері, і охоронець допускає співробітника до певної двері. Допуск отримано - відбулася авторизація.
У віртуальному світі все практично так само, як в реальному. Тільки імена "персонажів" змінюються. Співробітник охорони - це сервер, який контролює вхід на сайт. А прийшов на роботу менеджер - користувач, який хоче потрапити в свій аккаунт.
Слід додати, що процедура буде повторюватися кожен день - навіть тоді, коли все охоронці будуть знати менеджера і в обличчя, і по імені. Просто у охорони така робота. У сервера теж.
Всі три поняття - етапи одного і того ж процесу, який управляє доcтуп користувачів до їх акаунтів.
Щоб виконати будь-які дії на сайті, клієнт повинен "представитися" системі. Ідентифікація користувача - пред'явлення їм підстав для входу на сайт або сервіс. Зазвичай в ролі ідентифікаторів виступають логін або адресу електронної пошти, вказану при реєстрації. Якщо сервер знаходить в своїй базі дані, що збігаються із зазначеними, то відбувається ідентифікація клієнта.
Логін - це, звичайно, прекрасно. Але де гарантія, що ввів його саме та людина, який зареєстрований на сайті? Щоб остаточно переконатися в достовірності користувача, система зазвичай проводить аутентифікацію.
Найчастіше сьогодні використовується двофакторна аутентифікація, де в якості першого чинника виступає звичайний багаторазовий пароль. А ось другий фактор може бути різним, залежно від того, які способи аутентифікації застосовуються в даному випадку:
- одноразовий пароль або PIN-код;
- магнітні картки, смарт-карти, сертифікати з цифровим підписом;
- біометричні параметри: голос, сітківка ока, відбитки пальців.
Незважаючи на бурхливий розвиток біометричних способів аутентифікації, все ж слід визнати, що вони не дуже надійні при віддаленому використанні. Не завжди можна гарантувати коректність роботи пристроїв і додатків, які здійснюють сканування сітківки очей або відбитків пальців. Не можна на 100% бути впевненим в тому, що в ході перевірки не використовується зліпок руки або фотографія справжнього власника. Поки цей спосіб може вважатися достовірним лише при можливості безпосереднього контролю процедури проходження аутентифікації. Наприклад, при вході співробітників на підприємство біометричні методи цілком працездатні.
В умовах же віддаленості перевіряючого від перевіряється, як це відбувається в інтернеті, набагато краще працює метод двофакторної аутентифікації за допомогою одноразових паролів. Засоби аутентифікації бувають найрізноманітнішими і завжди можна вибрати найбільш зручний в кожному випадку. Це може бути авторизація по СМС, генерація одноразових паролів за допомогою апаратних токенів або за допомогою спеціального додатку на смартфон - вибір за користувачем.
Two factor authentication може бути як односторонньою - коли тільки користувач доводить системі свою істинність, так і двосторонньої - сервер і клієнт взаємно підтверджують свою справжність по системі "запит-відповідь". Такий тип 2FA використовується в токені Protectimus Ultra і дозволяє, серед іншого, усунути ризик потрапляння на фішингові сайти.
Останній етап входу клієнта в обліковий запис називається авторизацією. Залежно від того, успішні чи були ідентифікація і аутентифікація, сервер або допускає, або не допускає користувача до виконання певних дій на сайті.
Між термінами "авторизація" і "аутентифікація" різниця досить значна. Часто можна почути або прочитати в інтернеті вираз "двухфакторная авторизація", але воно, строго кажучи, не є коректним. Адже авторизація користувача - це надання йому повноважень в будь-якій системі, остаточну відповідь на питання: "Чи можна допустити цю людину до тієї чи іншої інформації або функцій?". І в силу своєї однозначності авторизація ніяк не може бути двухфакторной.
Однак, щоб не вносити зайвої плутанини, на цьому відмінності зазвичай не робиться акцент, а обидва поняття вживаються як синоніми.
Чітке розуміння того, що таке ідентифікація, аутентифікація і авторизація дозволить правильно застосовувати функції, які вони позначають. А від цього безпеку всього інтернету і окремих його користувачів тільки виграє.
Але де гарантія, що ввів його саме та людина, який зареєстрований на сайті?Адже авторизація користувача - це надання йому повноважень в будь-якій системі, остаточну відповідь на питання: "Чи можна допустити цю людину до тієї чи іншої інформації або функцій?