Системы и методы аутентификации пользователей — Контур.Эгида

Системы и методы аутентификации пользователей

5 декабря 2024

Аутентификация — это процесс проверки пользователя. Например, когда пользователь вводит логин и пароль для доступа к ресурсу и введённый пароль сравнивается с информацией, которая хранится в базе данных. В тексте разберёмся, какие системы и методы аутентификации пользователей существуют.

Фотография Дмитрий Мельников Дмитрий Мельников Руководитель группы

Отличие аутентификации, авторизации и идентификации

Для начала определимся с терминами.

Идентификация — процедура получения учётной записи. Система определяет, существует ли пользователь с текущим идентификатором: логином, почтой, телефоном и так далее.

Аутентификация — процедура проверки аутентичности пользователя. Задача пользователя — доказать системе свою подлинность. Это можно сделать с помощью логина и пароля, биометрии или других методов идентификации.

Авторизация — процедура проверки прав доступа пользователя к запрашиваемому ресурсу.

Факторы аутентификации

Фактор аутентификации — комплекс доказательств, который используется для проверки личности пользователя. В роли фактора выступают: материальные объекты: аппаратные устройства, биометрия, либо нематериальные объекты: пароль, цифровой код, файл.

3 основных фактора аутентификации:

  1. Фактор знания. Что-то, что знает пользователь. Пользователь знает свой пароль. 
  2. Фактор обладания. Что-то, что имеет пользователь. У пользователя есть флешка или мобильное устройство для получения кода. 
  3. Фактор свойства. Что-то, что является уникальной частью пользователя и принадлежит ему — биометрические данные. К этому фактору относятся: отпечатки пальцев, голос, сетчатка глаза.

Аутентификация зависит от количества факторов и разделяется на однофакторную и многофакторную.

Однофакторная

Однофакторная аутентификация применяет один фактор для подтверждения личности.

Пример: Пользователь вводит логин и пароль для входа в электронную почту. Система проверяет соответствие введённой информации с той, что находится в базе данных.

Многофакторная

Для аутентификации используются два и более фактора подтверждения личности. Двухфакторная аутентификация (2FA или 2ФА) предполагает, что проверка подлинности будет состоять из двух отличных друг от друга компонентов.

Пример: Сотрудник входит в корпоративную систему и использует пароль, которым он владеет — первый фактор. Затем пользователь получает на мобильное устройство одноразовый код и вводит его в систему — это второй фактор.

Если устройство пользователя настроено на получение кода для входа в систему и на звонок, такая аутентификация не будет считаться 2ФА. Так как тип фактора один — смартфон.

Подробнее о способах подтверждения второго фактора читайте в статье

Аутентификация на основе паролей

Распространённый метод удостоверения личности, который предполагает использование символьного пароля. 

Минусы:

  • пароль может быть раскрыт с помощью программ, которые отслеживают действия пользователя;
  • пароль может быть «прослушан» при передаче по сети;
  • обладатели паролей могут стать жертвами социального инжиниринга.

Применение временных одноразовых паролей повышает надёжность аутентификации. Пользователь вводит каждый раз новый пароль при входе в систему. На устройство пользователя приходит пароль, который не нужно запоминать или хранить.

Аутентификация на основе цифровых сертификатов 

Аутентификация на основе сертификатов использует два ключа — открытый и закрытый. Открытый ключ — общедоступный. Закрытый ключ принадлежит пользователю и доступен только ему. Данные, зашифрованные с помощью открытого ключа, могут быть расшифрованы только владельцем парного закрытого ключа.

Сертификаты выдаются специализированным уполномоченным органом сертификации — Центром Сертификации. Центр Сертификации выпускает сертификат и заявляет, что открытый ключ принадлежит владельцу, имя которого указано в сертификате. 

Цифровые сертификаты содержат: идентификационные данные, информацию об открытом ключе, цифровую подпись издателя.

Пример: 

  1. Пользователь запрашивает доступ к защищённому ресурсу. Сервер предоставляет клиенту сертификат.
  2. Клиент проверяет сертификат сервера. В случае успеха клиент отправляет запрос на доступ к ресурсу.
  3. Ресурс настроен на обязательную аутентификацию пользователя и отправляет клиенту доступный метод аутентификации — требование клиентского сертификата.
  4. Клиент отправляет на сервер открытую часть сертификата и данные, которые подписаны сертификатом клиента. Сервер проверяет сертификат клиента.
  5. Если учётная запись найдена и сертификат удалось сопоставить с этой записью, сервер устанавливает защищённое соединение. Затем сервер предоставляет пользователю доступ к ресурсу.

Различия между цифровыми сертификатами и подписями

Цифровой сертификат и цифровая подпись связаны друг с другом, но выполняют разные функции: цифровой сертификат удостоверяет личность владельца сертификата, а цифровая подпись подтверждает происхождение документа и его целостность.

Пример: Сотрудник компании подписывает документ электронной подписью и отправляет файлы в отдел кадров. Для создания уникальной подписи, которой пользователь подписал документ, он использует закрытый ключ. Затем сотрудник отдела кадров использует открытый ключ коллеги, приславшего документ для проверки подлинности и целостности данных.

Аутентификация на основе биометрии

К методу аутентификации, который основан на биометрических данных, относятся распознавание лица и голоса, сканирование отпечатков пальцев и сетчатки глаз. Пользователь проходит процедуру регистрации, затем его биометрические данные сохраняются в базе. При входе в систему пользователь подтверждает каждый раз свою личность.

Аутентификация на основе физических носителей

Метод использует в качестве идентификатора физический носитель: токен, NFC-карту, флеш-карту.

Для установления личности пользователь применяет устройство, которое генерирует одноразовый пароль в сочетании с паролем для входа в систему.

Коротко об аутентификации в вопросах и ответах

Чем отличается аутентификация от идентификации
 

Идентификация — процедура получения учётной записи. Система определяет, существует ли пользователь с текущим идентификатором: логином, почтой, телефоном и так далее.

Аутентификация — процедура проверки аутентичности пользователя. Задача пользователя — доказать системе свою подлинность. Это можно сделать с помощью логина и пароля, биометрии или других методов идентификации.

Какой метод аутентификации самый безопасный

Многофакторная аутентификация надежнее однофакторной, потому что проверяет подлинность пользователя на нескольких уровнях.

Фотография Дмитрий Мельников Дмитрий Мельников Руководитель группы
ID

Защита подключений к ресурсам компании

Узнать больше
Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Подписаться

ID

Защита подключений к ресурсам компании

Узнать больше
Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Пришлем ссылку на результаты исследований о человеческом факторе в ИБ на почту, которую вы указали
Подписаться