Авторизация, аутентификация и идентификация

Ох, благодатный пост. Как же у меня горит от тех людей, которые не понимают разницу. А ведь всё очень просто! Давайте разберёмся.

На самом деле чтобы разобраться, достаточно быть хорошо знакомым с этими словами в Английском языке. Но, раз я пишу для русскоязычной аудитории, то поясню в подробностях.

Идентификация

По-английски будет “identification”. Это процесс определения идентичности или индивидуальности.

Что это значит для нас, простых студентов филфака МГУ программистов?

Идентичность и индивидуальность объекта позволяют нам отличить этот объект от любых других.

Например, есть десять экзаменационных листов. Сами по себе листы одинаковые, распечатаны на одном принтере в одно и то же время. Что может их отличать? Например, номер (если такой на листе есть). Или, если по номеру идентифицировать лист мы не можем, то имя и фамилия экзаменующегося (написанные на этом листе) могут служить идентификационными данными.

Другой пример. Группа анонимных фронтендеров алкоголиков. На встрече такой группы каждый называет какое-то имя (не обязательно при этом совпадающее с паспортным). В этой группе все будут друг друга различать по этим именам. Ну, там, Вася, Петя, Крис, Дэвид.

Живой пример из мира IT: идентификатор сессии google analytics. При попадании любого браузера в поле действия google analytics этому браузеру назначается идентификатор, по которому этот браузер будет на стороне GA отличаться от миллиардов других.

Аутентификация

По-английски будет “authentication”. Это процесс определения аутентичности или подлинности.

С объяснением аутентичности уже посложнее, чем с идентичностью. Определение подлинности позволяет нам определить (ух, какой у меня красивый слог-то, а), что какой-то объект является тем, за кого он себя выдаёт.

Всё тот же пример с экзаменационными листами. Как нам подтвердить, что лист, на коротом написано “Крис Маккорд” действительно заполнен Крисом? Мне известен только один способ: экспертиза почерка. Если почерк на этом листе полностью соответствует почерку Криса, то этот лист действительно заполнил он, а не кто-то другой.

Другой пример. Группа (не)анонимных алкоголиков фронтендеров. Как мы можем утверждать, что пришедший на встречу человек является Дэном Абрамовым (а вот этот весёлый парень в кепке представился именно им)? Например, проверить его паспорт. И если там написано “Дэн Абрамов” (ну и совпадают серия, номер, что там ещё), то этот человек в кепке — точно Дэн Абрамов.

Живой пример из мира IT: пароль и логин на форме входа в google account. Если логин является открытой информацией, то пароль — закрытой. И только тот, кто создавал аккаунт, знает этот самый пароль. С помощью пароля он подтверждает свою аутентичность как владельца аккаунта.

Разница между идентификацией и аутентификацией

Если непонятно, чем отличается идентификация от аутентификации, то я попробую в этом пункте разъяснить.

Идентификационные данные доступны всем, и зачастую не принадлежат ни каким образом объекту идентификации. Например, все знают, что меня зовут Валентин. Все могут меня различать по моей внешности и/или имени.

Аутентификационные данные же доступны только объекту аутентификации. Например, только у меня есть мой паспорт. Только у меня есть мой рисунок сетчатки глаза и отпечатки пальцев. Никто, кроме меня, не может предоставить эти данные аутентифицирующему субъекту. Именно по причине доступности только мне по этим данным меня и аутентифицируют.

Являются ли аутентификационные данные идентификационными? Да. Если мы можем проверить аутентичность (оригинальность), то мы можем проверить и идентичность (индивидуальность). Но у вас в базе всё равно же есть user_id , так что зачем светить везде пароль =)

Авторизация

Вот если с разницей идентификации и аутентификации вопрос достаточно тонкий, то не различать аутентификацию и авторизацию — моветон. Я бы даже сказал, что это — грех для тех, кто работает в области IT.

Что же такое авторизация?

Обратимся к английскому варианту — “authorization”, однокоренным словом которого является “authority” — “власть” или “полномочие”.

То есть “авторизация” — процесс определения полномочий объекта.

“Могу ли я узнать состояние счёта в банке Валентина — могу”, — вот типичный процесс авторизации. А вот на вопрос “а действительно ли я тот самый Валентин” будет отвечать уже аутентфикация.

Пример с экзаменационными листами. Кто имеет право проверять экзаменационные листы? Только учитель (ну или проверяющий в случае ЕГЭ).

Другой пример. Кто имеет право отправлять коммиты в репозиторий группы (не)анонимных алкоголиков фронтендеров? Только владелец соответствующего аккаунта на гитхабе.

Живой пример из мира IT: может ли пользователь с ролью “редактор” удалить запись другого пользователя с ролью “редактор”? Нет. Это может сделать только пользователь с ролью “администратор”.

Заключение

Я считаю, что всё это нужно хорошо понимать как говнокодерам инженерам, так и фронтендерам людям, не пишущим код. Чтобы при возникновении проблем в идентификации, аутентификации и авторизации общение происходило на одном языке, понятном всем.

Поэтому пройдусь по списку ещё раз:

• Идентификация отвечает на вопрос “кто это такой?”
• Аутентификация отвечает на вопрос “он точно тот, за кого себя выдаёт?”
• Авторизация отвечает на вопрос “что ему позволено делать?”

ivalentinee

• ivalentinee
• [email protected]

Прививка от взлома: выбираем метод аутентификации в сети

Пароли больше не в моде, или какой метод аутентификации самый надежный? Если верить исследованиям, в прошлом году на черных киберрынках продавалось более 15 миллиардов украденных личных данных, в том числе имена и пароли для соцсетей, онлайн-банкинга и музыкальных стриминговых сервисов. Как утверждает Microsoft, в 99,9% случаев утечки данных можно было избежать, если бы пользователи уделяли больше внимания аутентификации в сети.

Артур Филатов, руководитель бизнеса кибербезопасности компании Tet (ex-Lattelecom)

Что такое аутентификация?

Простыми словами аутентификация — это подтверждение того, что вы — это вы, а не кто-то другой. Это часть процедуры входа в систему, учетную запись или получения доступа к какому-либо онлайн-ресурсу после идентификации и перед авторизацией. Разобраться в этих «-циях» несложно: идентификация — это проверка вашего логина, имени пользователя или электронной почты, а авторизация — доступ и права, которые вы получаете после прохождения идентификации и авторизации.

Например, вы приходите на большую свадьбу, называете свое имя, и вас находят в списке гостей (это идентификация, такое имя действительно есть в списке). Вас могут попросить показать ваше приглашение или даже паспорт (это аутентификация, вы действительно тот человек, чье имя назвали). Все данные совпадают, вас пропускают в роскошный зал (это авторизация, теперь вы можете приятно провести время в кругу приглашенных).

Для чего это нужно?

В первую очередь, для защиты данных. Ведь если ваша информация попадает в чужие руки, это чревато диапазоном последствий: от попадания личных фото в соцсети до разорения компании, с данными которой вы работаете удаленно. Количество возможных операций в сети увеличивается, растет и кибермошенничество. Поэтому к защите информации стоит относиться со всей серьезностью, даже если это обычная учетная запись в онлайн-магазине.

Методы аутентификации

Выделяют одно- и многофакторную (обычно двухфакторную) аутентификацию. Факторы бывают трех видов:

• уникальное знание (код, пароль, кодовое слово и т.п.);
• уникальное приспособление (токен, электронная подпись, сертификат и т.п.);
• уникальные биометрические характеристики (отпечатки пальцев, черты лица, рисунок сетчатки глаза и т.п.).

Следовательно, в однофакторной аутентификации используется фактор/ры одного вида, а во многофакторной — двух или трех.

Однофакторная аутентификация

Пароли

Согласно исследованию Cybersecurity Ventures, каждый интернет-пользователь в среднем имеет от 25 до 36 паролей для аутентификации. Запомнить такое количество секретных кодов обычному человеку не под силу, поэтому большинство пользователей выбирают простые для запоминания (и взлома) пароли и повторяют их на разных сайтах (упрощая задачу хакерам). Более сложные пароли значительно надежнее, но их непросто запомнить и нужно где-то хранить. А все, что где-то хранится, можно украсть. Поэтому все серьезные организации уже отказались от этого вида аутентификации.

Преимущества:

• быстрый вход в систему.

Недостатки:

• легко взломать;
• если пароли повторяются, одновременно может пострадать личная информация на разных ресурсах.

В среднем, издержки для использования мощности дата-центров составляют 25$ в час. Соответственно, кибер-преступники могут использовать мощности облачных услуг в аренду с целью взлома паролей. Это означает, что становится возможным подбирать более чем 650 миллионов различных комбинаций паролей в секунду. А именно, если какой-то злоумышленник наткнется на «сверхсложный пароль из 7 символов», и у этого злоумышленника в своем распоряжении есть час и 25 $ в запасе, то, скорее всего, ваш пароль будет взломан.

Добавьте еще один символ к вашему паролю, и злоумышленнику в нашем сценарии потребуется уже максимум 5 дней и около 3000 $, чтобы взломать ваш пароль (вместе со всеми другими паролями длиной в 8 символов).

Цифровые сертификаты и электронные цифровые подписи

Цифровые сертификаты с открытыми ключами часто используются в сетях с большим количеством пользователей. В таком случае сеть не хранит информацию о пользователях, они сами ее предоставляют в виде сертификатов (электронных форм), выданных специальными центрами. Цифровая подпись преимущественно используется для аутентификации, когда речь идет о важных документах.

Преимущества:

• высокая надежность;
• возможность проверить подлинность сервера, к которому подключаешься.

Недостатки:

• риск кражи сертификата/подписи.

Аппаратные токены

Это специальные устройства (часто в виде флешки) с одноразовыми паролями, которые позволяют пользователю авторизоваться в системе.

Преимущества:

• автоматическое генерирование и ввод кода доступа;
• высокий уровень защиты.

Недостатки:

• дополнительные затраты на приобретение;
• риск кражи или потери.

Двухфакторная аутентификация

Подтверждение по SMS

Хорошо знакомый всем метод, который активно используют в онлайн-банкинге. После того как вы ввели свой логин и пароль на сайте, нужно дополнительно ввести одноразовый пароль, который придет в SMS.

Преимущества:

• более высокая степень защиты.

Недостатки:

• SMS можно перехватить;
• зависимость от качества мобильной связи;
• проблемы в случае кражи или потери телефона.

Подтверждение с помощью смартфона

В этом случае после первого этапа аутентификации для дополнительного подтверждения личности вам либо звонят на ваш номер телефона, либо присылают код в мобильное приложение, установленное на нем.

Преимущества:

• относительно высокий уровень надежности;
• в случае с приложением возможность входить в него с разных устройств.

Недостатки:

• зависимость от качества мобильной сети или интернет-подключения;
• необходимость иметь при себе телефон.

Подтверждение по биометрическим данным

Помимо уже привычной нам разблокировки устройств с помощью отпечатков пальцев или идентификации лица, для аутентификации также используют и другие уникальные характеристики: рисунок сетчатки глаза или вен на руке, голос, характерные жесты при работе с мышкой или клавиатурой и т.п.

Преимущества:

• высокая степень надежности;
• ваши органы и привычки всегда при вас, вы их не забудете дома и не потеряете.

Недостатки:

• несовершенство считывающих устройств, которые можно «обмануть» с помощью 3D-копий или фотографий;
• невозможность передавать биометрические данные на расстоянии;
• возможные проблемы в случае получения пользователем физических увечий.

Краткий, но важный вывод

Самым надежным способом защиты данных на сегодня является многофакторная аутентификация. Подключайте ее при любой возможности, ведь это именно тот случай, когда «лишняя» перестраховка оправдана на все 200%.

Что такое ЕСИА и как работает система

ЕСИА — единая система идентификации и аутентификации. В ней формируются, учитываются и хранятся сведения об участниках системы — физических и юридических лицах, которые прошли регистрацию с созданием учётной записи. Подтверждённая учётная запись в ЕСИА — своего рода электронный паспорт, с помощью которого можно получать доступ к разным сайтам, порталам и системам, не используя дополнительные средства регистрации и авторизации, например логин и пароль.

Система ЕСИА часто ассоциируется с порталом Госуслуги, но технически это не одно и то же. Однако регистрация в ЕСИА — это, по сути, регистрация на Госуслугах, поэтому учётная запись на портале идентична учётной записи в ЕСИА и содержит одинаковые персональные данные пользователя.

В то же время с помощью учётной записи в единой системе идентификации можно получить доступ не только к порталу госуслуг, но и другим государственным и муниципальным системам. Более того, многие коммерческие сайты и порталы в последнее время активно используют для регистрации на ресурсах и (или) доступа к их функциям авторизацию посредством ЕСИА. Это быстро и удобно. Учётная запись в ЕСИА, таким образом, служит надёжным и безопасным средством проверки персональных данных и идентификации конкретного лица.

В целом система ЕСИА служит для:

1. Создания физическими лицами, ИП или юридическими лицами единой учётной записи, которая даёт доступ к различным информационным системам, сайтам и порталам, использующим такой способ регистрации, авторизации и (или) идентификации пользователя.
2. Взаимодействия различных информационных систем на уровне средств подтверждения личности пользователя (идентификации), проверки его данных (аутентификации) и предоставления разрешения на доступ (авторизации).
3. Авторизации пользователей на государственных, региональных и муниципальных ресурсах для получения соответствующих услуг в электронном виде. Например, для запроса и получения информации, справок, оформления документов, совершения регистрационных действий, записи на приём в то или иное ведомство.
4. Авторизации пользователей на негосударственных ресурсах (сайтах, порталах, системах), которые подключены к ЕСИА и используют учётные записи в этой системе (с согласия их владельцев) для разрешения доступа.

Таким образом, регистрация ЕСИА и создание подтверждённой учётной записи — это возможность получить единый «ключ» для доступа к интернет-ресурсам, которые используют такой способ входа в свою систему. Это сравнимо с использованием электронной подписи для получения доступа к системам и сайтам и напоминает классический доступ через «логин/пароль», однако даёт больше возможностей и при этом не требует создания для каждого ресурса своих логинов и паролей. При этом регистрация в единой системе идентификации абсолютно бесплатна.

Как работает ЕСИА

После регистрации система ЕСИА создает учётную запись пользователя. На первом этапе — только с его контактными данными, а также логином и паролем для входа в систему, и одновременно — личный кабинет на портале Госуслуги. После этого необходимо в ЛК на портале Госуслуги заполнить личные данные пользователя, а также, если необходимо, загрузить личные документы. Все эти операции проходят с помощью программных интерфейсов ЕСИА, которые проведут пользователя по всем шагам регистрации, заполнения личных данных и загрузки документов.

Чтобы получить доступ ко всем возможностям учётной записи ЕСИА, нужно подтвердить личность. Проще всего это сделать через партнёров оператора единой системы идентификации. Например, клиенты Сбербанка могут пройти идентификацию по СберID в режиме онлайн. Подобные сервисы есть и у других банков-партнёров. Подтвердить личность дистанционно также можно с помощью квалифицированной электронной подписи. Если эти варианты недоступны, то идентификацию проходят в центрах обслуживания (нужен паспорт и СНИЛС). Ближайший офис можно найти на карте на портале Госуслуги. И ещё один вариант — заказать в личном кабинете код подтверждения, который придёт заказным письмом Почтой России.

Получите сертификат

Пройдите идентификацию по действующему квалифицированному сертификату и получите сертификат электронной подписи удалённо.

Процесс взаимодействия ЕСИА при авторизации пользователей в различных системах выглядит так:

1. Пользователь хочет получить доступ к какой-либо информационной системе (ресурсу), которая использует авторизацию через ЕСИА, и выбирает этот способ.
2. Ресурс направляет в ЕСИА соответствующий электронный запрос.
3. Для подтверждения подлинности пользователя система перенаправляет его с ресурса на свою страницу входа в систему. Если вход прошёл успешно, система запрашивает у пользователя разрешение на предоставление ресурсу доступа к личным данным.
4. Если пользователь был успешно проверен и разрешил стороннему ресурсу доступ к своим данным, система передаёт ресурсу необходимую информацию для авторизации пользователя.
5. После поступления данных ресурс даёт пользователю доступ в свою систему.

На практике весь процесс занимает несколько секунд.

Как организации подключиться к ЕСИА

Юридические лица подключаются к ЕСИА через личный кабинет руководителя. Для подключения используется функция «Добавить организацию» и выбирается необходимый статус: ИП, организация, орган власти.

Для формирования учётной записи юридического лица необходимо, чтобы у руководителя была подтвержденная учётная запись. Для подключения к системе используется квалифицированная электронная подпись, сертификат которой оформлен на руководителя.

При регистрации юрлица потребуется заполнить все данные об организации, указанные в регистрационной форме. После проверки сведений и их подтверждения (это делается в автоматическом режиме) будет создана учётная запись организации в ЕСИА.

Дополнительная возможность для учётных записей организаций — подключение авторизации пользователей через ЕСИА для доступа к сайту или другому интернет-ресурсу организации. Для этого нужно предоставить сведения о подключаемой системе, при необходимости доработать её под требования ЕСИА, запустить работу подключённой системы в тестовом режиме, а после подтверждения работоспособности — в рабочем режиме.

Чтобы получить электронную подпись, оставьте заявку. Наши специалисты помогут вам оформить электронную подпись для физических и юридических лиц — удалённо, быстро и по выгодной цене.

При подготовке материала использовались источники:
https://ivalentinee.github.io/ru/programming/2018/06/26/authorization-authentication-and-identification.html
https://marketer.ua/ru/hacking-vaccine-choosing-an-authentication-method-on-the-network/
https://uc.iitrust.ru/articles/portal-esia-chto-jeto-takoe-zachem-nuzhna/