Аутентификация — это процесс проверки пользователя. Например, когда пользователь вводит логин и пароль для доступа к ресурсу и введённый пароль сравнивается с информацией, которая хранится в базе данных. В тексте разберёмся, какие системы и методы аутентификации пользователей существуют.
В этой статье:
- Отличие аутентификации, авторизации и идентификации
- Факторы аутентификации
- Однофакторная
- Многофакторная
- Аутентификация на основе паролей
- Аутентификация на основе цифровых сертификатов
- Различия между цифровыми сертификатами и подписями
- Аутентификация на основе биометрии
- Аутентификация на основе физических носителей
- Коротко об аутентификации в вопросах и ответах
Отличие аутентификации, авторизации и идентификации
Для начала определимся с терминами.
Идентификация — процедура получения учётной записи. Система определяет, существует ли пользователь с текущим идентификатором: логином, почтой, телефоном и так далее.
Аутентификация — процедура проверки аутентичности пользователя. Задача пользователя — доказать системе свою подлинность. Это можно сделать с помощью логина и пароля, биометрии или других методов идентификации.
Авторизация — процедура проверки прав доступа пользователя к запрашиваемому ресурсу.
Двухфакторная аутентификация
ID — защита учетных записей сотрудников: подключений через VPN, RDG, ActiveSync, ADFS (протоколы OpenID Connect, SAML), защита входа в Windows, OWA.
Факторы аутентификации
Фактор аутентификации — комплекс доказательств, который используется для проверки личности пользователя. В роли фактора выступают: материальные объекты: аппаратные устройства, биометрия, либо нематериальные объекты: пароль, цифровой код, файл.
3 основных фактора аутентификации:
- Фактор знания. Что-то, что знает пользователь. Пользователь знает свой пароль.
- Фактор обладания. Что-то, что имеет пользователь. У пользователя есть флешка или мобильное устройство для получения кода.
- Фактор свойства. Что-то, что является уникальной частью пользователя и принадлежит ему — биометрические данные. К этому фактору относятся: отпечатки пальцев, голос, сетчатка глаза.
Аутентификация зависит от количества факторов и разделяется на однофакторную и многофакторную.
Однофакторная
Однофакторная аутентификация применяет один фактор для подтверждения личности.
Пример: Пользователь вводит логин и пароль для входа в электронную почту. Система проверяет соответствие введённой информации с той, что находится в базе данных.
Многофакторная
Для аутентификации используются два и более фактора подтверждения личности. Двухфакторная аутентификация (2FA или 2ФА) предполагает, что проверка подлинности будет состоять из двух отличных друг от друга компонентов.
Пример: Сотрудник входит в корпоративную систему и использует пароль, которым он владеет — первый фактор. Затем пользователь получает на мобильное устройство одноразовый код и вводит его в систему — это второй фактор.
Если устройство пользователя настроено на получение кода для входа в систему и на звонок, такая аутентификация не будет считаться 2ФА. Так как тип фактора один — смартфон.
Подробнее о способах подтверждения второго фактора читайте в статье.
Аутентификация на основе паролей
Распространённый метод удостоверения личности, который предполагает использование символьного пароля.
Минусы:
- пароль может быть раскрыт с помощью программ, которые отслеживают действия пользователя;
- пароль может быть «прослушан» при передаче по сети;
- обладатели паролей могут стать жертвами социального инжиниринга.
Применение временных одноразовых паролей повышает надёжность аутентификации. Пользователь вводит каждый раз новый пароль при входе в систему. На устройство пользователя приходит пароль, который не нужно запоминать или хранить.
Информационная безопасность бизнеса
Контур.Эгида — сервисы информационной безопасности: уменьшение рисков внутренних угроз и утечек конфиденциальных данных, предотвращение атак злоумышленников.
Аутентификация на основе цифровых сертификатов
Аутентификация на основе сертификатов использует два ключа — открытый и закрытый. Открытый ключ — общедоступный. Закрытый ключ принадлежит пользователю и доступен только ему. Данные, зашифрованные с помощью открытого ключа, могут быть расшифрованы только владельцем парного закрытого ключа.
Сертификаты выдаются специализированным уполномоченным органом сертификации — Центром Сертификации. Центр Сертификации выпускает сертификат и заявляет, что открытый ключ принадлежит владельцу, имя которого указано в сертификате.
Цифровые сертификаты содержат: идентификационные данные, информацию об открытом ключе, цифровую подпись издателя.
Пример:
- Пользователь запрашивает доступ к защищённому ресурсу. Сервер предоставляет клиенту сертификат.
- Клиент проверяет сертификат сервера. В случае успеха клиент отправляет запрос на доступ к ресурсу.
- Ресурс настроен на обязательную аутентификацию пользователя и отправляет клиенту доступный метод аутентификации — требование клиентского сертификата.
- Клиент отправляет на сервер открытую часть сертификата и данные, которые подписаны сертификатом клиента. Сервер проверяет сертификат клиента.
- Если учётная запись найдена и сертификат удалось сопоставить с этой записью, сервер устанавливает защищённое соединение. Затем сервер предоставляет пользователю доступ к ресурсу.
Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Пришлем ссылку на результаты исследований о человеческом факторе в ИБ на почту, которую вы указали.
Различия между цифровыми сертификатами и подписями
Цифровой сертификат и цифровая подпись связаны друг с другом, но выполняют разные функции: цифровой сертификат удостоверяет личность владельца сертификата, а цифровая подпись подтверждает происхождение документа и его целостность.
Пример: Сотрудник компании подписывает документ электронной подписью и отправляет файлы в отдел кадров. Для создания уникальной подписи, которой пользователь подписал документ, он использует закрытый ключ. Затем сотрудник отдела кадров использует открытый ключ коллеги, приславшего документ для проверки подлинности и целостности данных.
Аутентификация на основе биометрии
К методу аутентификации, который основан на биометрических данных, относятся распознавание лица и голоса, сканирование отпечатков пальцев и сетчатки глаз. Пользователь проходит процедуру регистрации, затем его биометрические данные сохраняются в базе. При входе в систему пользователь подтверждает каждый раз свою личность.
Аутентификация на основе физических носителей
Метод использует в качестве идентификатора физический носитель: токен, NFC-карту, флеш-карту.
Для установления личности пользователь применяет устройство, которое генерирует одноразовый пароль в сочетании с паролем для входа в систему.
Коротко об аутентификации в вопросах и ответах
Чем отличается аутентификация от идентификации
Идентификация — процедура получения учётной записи. Система определяет, существует ли пользователь с текущим идентификатором: логином, почтой, телефоном и так далее.
Аутентификация — процедура проверки аутентичности пользователя. Задача пользователя — доказать системе свою подлинность. Это можно сделать с помощью логина и пароля, биометрии или других методов идентификации.
Какой метод аутентификации самый безопасный
Многофакторная аутентификация надежнее однофакторной, потому что проверяет подлинность пользователя на нескольких уровнях.