Многофакторная аутентификация по-взрослому. Куем серьезный софт с помощью бесплатного инструментария

Описание решения

В ИТ-инфраструктуре современной организации внедрены различные сервисы и информационные системы, имеющие собственные каталоги учетных записей и, соответственно, требующие отдельного ввода учетных данных для авторизации. При этом часть сервисов поддерживает и реализует аутентификацию по цифровым сертификатам, выданным как собственным, так и сторонним удостоверяющим центром. Эти сертификаты могут использоваться для электронного документооборота.

Для безопасного использования парольной аутентификации вводятся соответствующие требования (состав и длина пароля, периодичность обновления, исключение использования популярных последовательностей, например “admin” и “123456”). Соблюдение всех этих требований, даже в случае одного пароля, может быть сложной задачей. Не говоря уже о том, когда сотрудник вынужден помнить несколько логинов и паролей. Кроме того, частой является ситуация, когда смена пароля в разных системах и сервисах происходит в разное время (т.е. нет синхронизации и контрольных дат).

Возможны сценарии, когда у сотрудника имеется несколько аппаратных устройств для защищенного хранения ключей и сертификатов электронной подписи. К примеру, для каждого квалифицированного сертификата — отдельный носитель.

На “бумаге” (во внутренних организационно-распорядительных документах ) указано, что сотрудник самостоятельно обеспечивает требования к безопасному хранению и использованию собственных паролей и устройств — носителей ключевой информации.

Однако на практике возможны следующие проблемы:

  • Игнорирование требований безопасности к составу паролей в системах и сервисах, где не настроены соответствующие политики
  • Преднамеренное или непреднамеренное игнорирование необходимости менять пароли с заданной периодичностью там, где это не настроено автоматически
  • Выполнение всех требований безопасности к ведению паролей, но и одновременная их фиксация на материальном носителе или в текстовом файле
  • Забывание паролей и просьба к специалистам ИТ/ИБ сбросить их (после чего не все их меняют, если нет принудительной смены после первого входа)
  • В случае наличия нескольких устройств — путаница с их использованием или хранение их в небезопасных местах

Более того, каждый аппаратный защищенный носитель требует отдельных вложений на приобретение (или замену). В случае наличия нескольких устройств затраты возрастают. Не говоря уже про сложности их учета и администрирования.

Сложности с использованием и администрированием паролей, с управлением цифровыми сертификатами и их носителями ведут к снижению управляемости ИТ-инфраструктурой и снижению уровня ИБ. Оптимальным решением будет использование связки специализированных программных комплексов классов Public Key Infrastructure Management (PKI-Management), Authentication Management (или Access Management) и Two-Factor Authentication (2FA)

Применение подобных программных комплексов позволит, с одной стороны, повысить эффективность управления аутентификаторами (не только паролями) и инфраструктурой открытых ключей, с другой — повысит общий уровень ИБ.

Использование комплекса программных продуктов, направленных на контроль аутентификации, защиту доступа и управление инфраструктурой открытых ключей (PKI) позволит централизованно решать широко распространенные задачи защиты доступа.

Такие задачи позволит решить совместное применение платформ Indeed Access Manager и Indeed Certificate Manager.

Технологически эти продукты представляют собой две отдельные системы: система управления аутентификацией и система управления инфраструктурой открытых ключей. Между ними реализован обмен данными о пользователях, их действиях, присвоенных им аутентификаторах и выданных сертификатах.

Совместное использование продуктов Indeed AM и Indeed CM позволяет реализовать следующие задачи информационной безопасности:

  • Двухфакторная аутентификация во всех корпоративных ресурсах даже в тех, где не поддерживаются сценарии многофакторной аутентификации и используются только пароли, включая настольные приложения без встроенной поддержки Single Sign-On)
  • Реализация единого защищенного носителя для хранения сертификатов электронной подписи, хранения идентификационной и аутентификационной информации, а также для регистрации и идентификации в СКУД
  • Контроль обращения и использования цифровых сертификатов и защищенных носителей
  • Нейтрализация проблем и уязвимостей технологии парольной аутентификации

С точки зрения пользователей, наличие единого устройства, используемого для идентификации и аутентификации, а также служащего корпоративным удостоверением, несет очевидные преимущества, исключающие затраты рабочего времени не непродуктивные вопросы:

  • Отсутствие необходимости “придумывания” новых паролей для всех корпоративных ресурсов
  • Отсутствие риска забывания паролей и последующего простоя работы
  • Единое универсальное защищенное устройство для всех задач управления доступом и хранения электронных подписей

С точки зрения администраторов ИБ и ИТ, внедрение подобного технологического комплекса также несет выгоды:

  • Повышение уровня информационной безопасности за счет внедрения двухфакторной аутентификации
  • Снятие ответственности за формирование и использование паролей с пользователей, соответственно, невозможности передачи и разглашения паролей
  • Соблюдение требований к генерации паролей в целевых системах, не поддерживающих иные технологии аутентификации
  • Отсутствие необходимости контроля соблюдения требований безопасности и обращения паролей
  • Отсутствие затрат рабочего времени на сброс пользовательских паролей
  • Единые консоли мониторинга и управления устройствами аутентификации и идентификации

Двухфакторная аутентификация

При всей легкости эксплуатации технологии парольной аутентификации обладают существенными недостатками. В то же время использование для аутентификации защищенных аппаратных носителей и цифровых сертификатов нейтрализует недостатки парольных систем защиты:

  • Сложность компрометации устройства и сертификата
  • Факт компрометации (например, через утерю устройства) может быть сразу выявлен, после чего администратор ИБ может принять меры для блокировки скомпрометированного устройства
  • PIN-код от устройства зачастую достаточно просто запомнить, при этом он сам по себе бесполезен без наличия физического доступа к устройству
  • Легкость смены PIN-кода и отсутствие необходимости создания нескольких PIN-кодов, т.к. все сертификаты и аутентификационная информация от всех корпоративных сервисов хранятся на одном устройстве
  • Привязка аутентификации к аппаратному устройству, которое даже в случае компрометации не так просто применить с рабочего места, явно не настроенного для получения доступа к корпоративным ресурсам (исключая публичные веб-ресурсы)

Совместное применение платформ Indeed Access Manager и Indeed Certificate Manager позволяет реализовать в корпоративной ИТ-инфраструктуре специальное аппаратное средство двухфакторной аутентификации в целевых сервисах.

Аутентификация в ОС Windows по сертификатам

Платформа Indeed Certificate Manager поддерживает интеграцию с внутренними удостоверяющими центрами, реализованными на базе Microsoft CA. При этом в доменной инфраструктуре Active Directory “из коробки” поддерживается аутентификация по выпущенным Windows CA сертификатам.

Indeed Certificate Manager позволяет централизованно управлять выпуском и обращением цифровых сертификатов, выпущенных Microsoft CA. Данные сертификаты могут храниться на защищенном устройстве пользователя, где содержатся и иные сертификаты.

Таким образом, защищенное устройство также можно использовать для аутентификации в ОС Windows.

Аутентификация в приложениях по смарт-картам и сертификатам

До сих пор многие информационные системы и сервисы по умолчанию используют парольную аутентификацию. При этом они могут не поддерживать иные сценарии аутентификации или иные протоколы (RADIUS, SAML, ADFS, Active Directory, X.509 и т.п.).

В то же время приложения и веб-приложения поддерживающие аутентификацию по цифровым сертификатам могут требовать предъявления сертификатов, выпущенных сторонним удостоверяющим центром. Это вполне типичная ситуация, например, в случае организации государственного межведомственного документооборота или участия в государственных закупках.

Используя Indeed Certificate Manager возможно поставить под контроль и отслеживать все цифровые сертификаты, в т.ч. выданные сторонними удостоверяющими центрами (включая аккредитованные ).

Платформа Indeed Access Manager позволяет использовать аппаратные устройства с защищенным хранилищем для сквозной аутентификации в любом приложении или веб-приложении с парольной защитой. Это может быть реализовано:

  • через поддержку протоколов аутентификации (RADIUS, ADFS, SAML и т.п.)
  • через модуль Enterprise Single Sign On (ESSO)

ESSO перехватывает графические формы ввода пароля и подставляет в них учетные данные. Далее данный модуль поддерживает защищенное хранение упомянутых учетных данных и отвечает за их обновление (ввод в приложение нового пароля осуществляется также через перехват графических форм ввода пароля).

Таким образом, единое устройство может использоваться для аутентификации во всех корпоративных приложениях и веб-приложениях.

Единый носитель идентификационной и аутентификационной информации

Платформа Indeed Access Manager позволяет реализовать сценарии аутентификации с использованием аппаратного защищенного носителя в любых целевых ресурсах (с помощью соответствующих модулей интеграции). Возможна интеграция со СКУД, тогда используемые пользователями для аутентификации аппаратные носители также можно использовать и для прохода в помещения, защищенные СКУД.

Используя оба продукта, можно реализовать сценарий, когда один ключевой носитель используется для хранения всех цифровых сертификатов, доступных пользователю, более того, этот же ключевой носитель используется в качестве аутентификатора для рабочих мест на базе ОС Windows и для всех целевых приложений и веб-приложений.

Единое устройство для идентификации и аутентификации позволяет, с одной стороны, существенно повысить эффективность авторизации во всех корпоративных ресурсах, повышает степень лояльности рядовых пользователей, не говоря уже о том, что использование такого устройства повышает общий уровень ИБ организации. В т.ч. за счет мониторинга всех событий аутентификации.

Шифрование и электронная подпись

Платформа Indeed Certificate Manager реализует не только задачи управления внутренними цифровыми сертификатами , но позволяет ставить под контроль сертификаты, выпущенные сторонним удостоверяющим центром, в т.ч. аккредитованным.

Соответственно, хранимые на едином носители цифровые сертификаты могут использоваться не только для аутентификации в целевых системах, но и для иных задач:

  • шифрование и подпись сообщений электронной почты
  • шифрование и подпись электронных документов
  • подпись бизнес-транзакций (например, переводы финансовых средств на счет)
  • шифрование файлов и дисков
  • организация VPN-соединения

Применение квалифицированных цифровых сертификатов позволяет получить юридическую значимость формируемой электронной подписи, что может быть использовано для организации юридически значимого электронного документооборота, для участия в государственных закупках и для получения иных государственных электронных услуг.

Корпоративное удостоверение сотрудника

Совместное использование продуктов Indeed Access Manager и Indeed Certificate Manager позволяет реализовать единый защищенный носитель для идентификации, аутентификации и для иных бизнес-задач:

  • аутентификации на рабочих местах с ОС Windows
  • аутентификация в корпоративных приложениях и веб-приложениях
  • аутентификация в публичных веб-сервисах
  • электронная подпись документов и сообщений почты
  • шифрование сообщений, файлов и дисков
  • организация VPN-соединения
  • идентификация в СКУД
  • корпоративная дебетовая карта, привязанная к счету в банке

Безусловно, конечный перечень возможностей, реализуемых единым устройством, зависит от технических особенностей самого устройства (наличие RFID чипа, наличие защищенного хранилища сертификатов, наличие магнитной полосы или микросхемы для привязки к счету, форм-фактор), получившееся устройство может служить корпоративным удостоверением (или карточкой) сотрудника. Данное удостоверение позволяет сотрудникам получать все “услуги” своей компании, а также доступ ко всем корпоративным сервисам.

Нейтрализация угроз утери или поломки устройства

С одной стороны, наличие единого устройства для получения доступа ко всем корпоративным сервисам и для иных бизнес-задач позволяет получить следующие выгоды для пользователей и для компании:

  • существенно повысить эффективность использования корпоративных ресурсов
  • повысить производительность труда в части получения доступа к ресурсам
  • повысить уровень информационной безопасности за счет использования защищенного носителя идентификационной и аутентификационной информации

С другой стороны, существование подобного устройства может быть критично с точки зрения информационной безопасности в случае его утери или целенаправленного кражи. Ситуация может обостриться, если устройство позволяет получать доступ к корпоративным ресурсам удаленно и злоумышленник прибегает к откровенному грабежу для изъятия его у сотрудника.

Продукты компании Индид реализуют инструментарий централизованного мониторинга использования подобных устройств. Более того, в случае выявления факта компрометации устройство может быть оперативно заблокировано, а сертификаты — отозваны, все это — используя инструментарий Indeed Access Manager и Indeed Certificate Manager. Поддержка интеграции с SIEM позволяет оперативно выявлять инциденты и факты компрометации без обращения сотрудника.

Двухфакторная аутентификация

  • Поддерживаемые Удостоверяющие центры: КриптоПро УЦ, Microsoft CA, Валидата УЦ
  • Поддержка моделей съемных аппаратных носителей сертификатов: Рутокен, компании Актив, eToken, компании SafeNet, ESMART, компании ISBC, JaCarta, компании Аладдин Р.Д. Yubikey, компании Yubico, ID Prime, компании Gemalto, ePass, компании Feitian
  • Поддержка протоколов аутентификации: RADIUS, SAML, ADFS, OpenID Connect, Kerberos (Active Directory)
  • Поддержка аутентификации в целевых системах: Microsoft Windows Logon, Microsoft RDS, MS IIS, VPN, Web-Application, Desktop Application
  • Поддержка интеграции с: средства защиты от НСД (Secret Net Studio), принтеры смарт-карт, средства управления аутентификацией (Indeed Access Manager), средства управления полномочиями и учетными записями — IdM (через API)

Идентификация, аутентификация, авторизация — с этими тремя понятиями сталкивался каждый, но различают их далеко не все. Между тем, в таком деле как защита данных они играют важнейшую роль и заслуживают того, чтобы узнать о них побольше.

Для начала воспользуемся простым примером из повседневной жизни, который поможет в общих чертах понять, чем авторизация отличается от аутентификации и идентификации.

Когда новый сотрудник впервые приходит на службу, он представляется охраннику на входе и говорит, что теперь будет здесь работать — менеджером, допустим. Таким образом он  идентифицирует себя — сообщает, кто он такой.

Охрана обычно не верит на слово и требует предоставить доказательства того, что он действительно новый менеджер и имеет право входа в служебное помещение. Предъявление пропуска с фотографией и сличение его с имеющимся у охранника списком сотрудников решает проблему. Cлужащий подтвердил свою подлинность — прошел аутентификацию.

Наконец-то открывается заветная дверь, и охранник допускает сотрудника к определенной двери. Допуск получен — состоялась авторизация.

image

В виртуальном мире все практически так же, как в реальном. Только имена “персонажей” меняются. Сотрудник охраны — это сервер, контролирующий вход на сайт. А пришедший на работу менеджер — пользователь, который хочет попасть в свой аккаунт.

Следует добавить, что процедура будет повторяться каждый день — даже тогда, когда все охранники будут знать менеджера и в лицо, и по имени. Просто у охраны такая работа. У сервера тоже.

Все три понятия — этапы одного и того же процесса, который управляет доcтупом пользователей к их аккаунтам.

Чтобы выполнить какие-либо действия на сайте, клиент должен “представиться” системе. Идентификация пользователя — предъявление им оснований для входа на сайт или сервис. Обычно в роли идентификаторов выступают логин или адрес электронной почты, указанный при регистрации. Если сервер находит в своей базе данные, совпадающие с указанными, то происходит идентификация клиента.

Логин — это, конечно, прекрасно. Но где гарантия, что ввел его именно тот человек, который зарегистрирован на сайте? Чтобы окончательно убедиться в подлинности пользователя, система обычно проводит аутентификацию.

Чаще всего сегодня используется двухфакторная аутентификация, где в качестве первого фактора выступает обычный многоразовый пароль. А вот второй фактор может быть разным, в зависимости от того, какие способы аутентификации применяются в данном случае:

  • одноразовый пароль или PIN-код;
  • магнитные карты, смарт-карты, сертификаты с цифровой подписью;
  • биометрические параметры: голос, сетчатка глаза, отпечатки пальцев.

image

Несмотря на бурное развитие биометрических способов аутентификации, все же следует признать, что они не очень надежны при удаленном использовании. Не всегда можно гарантировать корректность работы устройств и приложений, осуществляющих сканирование сетчатки глаз или отпечатков пальцев. Нельзя на 100% быть уверенным в том, что  в ходе проверки не используется слепок руки или фотография истинного владельца. Пока этот способ может считаться достоверным только при возможности непосредственного контроля процедуры прохождения аутентификации. Например, при входе сотрудников на предприятие биометрические методы вполне работоспособны.

В условиях же удаленности проверяющего от проверяемого, как это происходит в интернете, гораздо лучше работает метод двухфакторной аутентификации при помощи  одноразовых паролей. Средства аутентификации бывают самыми разными и всегда можно выбрать наиболее удобное в каждом случае. Это может быть авторизация по СМС, генерация одноразовых паролей посредством аппаратных токенов или с помощью специального приложения на смартфон — выбор за пользователем.

Two factor authentication может быть как односторонней — когда только пользователь доказывает системе свою истинность, так и двусторонней — сервер и клиент взаимно подтверждают свою подлинность по системе “запрос-ответ”. Такой тип 2FA используется в токене Protectimus Ultra и позволяет, среди прочего, устранить риск попадания на фишинговые сайты.

Последний этап входа клиента в аккаунт называется авторизацией. В зависимости от того, успешны ли были идентификация и аутентификация, сервер или допускает, или не допускает пользователя к выполнению определенных действий на сайте.

Между терминами “авторизация” и “аутентификация” разница довольно значительна. Часто можно услышать или прочитать в интернете выражение “двухфакторная авторизация”, но оно, строго говоря, не является корректным. Ведь авторизация пользователя — это предоставление ему полномочий в какой-либо системе, окончательный ответ на вопрос: “Можно ли допустить этого человека к той или иной информации или функциям?”. И в силу своей однозначности авторизация никак не может быть двухфакторной.

Однако, чтобы не вносить лишней путаницы, на этом различии обычно не делается акцент, а оба понятия употребляются как синонимы.

Четкое понимание того, что такое идентификация, аутентификация и авторизация позволит верно использовать функции, которые они обозначают. А от этого безопасность всего интернета и отдельных его пользователей только выиграет.

Summary Article Name Идентификация, аутентификация, авторизация — в чем разница? Description Идентификация, аутентификация, авторизация — с этими тремя понятиями сталкивался каждый, но различают их далеко не все. Давайте разберемся что есть что. Author Olga Geo Publisher Name Protectimus.com Publisher Logo

Subscribe To Our Newsletter

Join our mailing list to receive the latest news and updates from our team.

You have Successfully Subscribed!

С проблемой аутентификации беспроводной сети периодически сталкиваются разные пользователи гаджетов на платформе Андроид. Сразу сообщим, что проблема не критичная и выходов из ситуации сразу несколько, в зависимости от причины возникновения. В сегодняшней статье мы разберёмся что такое ошибка аутентификации при подключении к WiFi на Андроид, что делать, если она возникла и почему она периодически напоминает о себе. Итак, обо всём по порядку.

Содержание

Что такое аутентификация

Когда смартфон или планшет на платформе Андроид пытается подключиться к точке доступа WiFi, один из этапов процесса называется аутентификация. Именно на нём чаще всего возникают проблемы.

 Аутентификация  – это проверка ключа безопасности. Иными словами, сеть проверяет нового пользователя на возможность пользоваться данным подключением. Подобное решение необходимо для обеспечения безопасности сети и исключения подключения к ней злоумышленников.

Всем известно, что WiFi имеет довольно обширную территорию покрытия сигнала, благодаря чему возникает возможность и удалённого подключения. Технология шифрования данных, предотвращает попытки несанкционированного подключения и перехвата данных, но для этого необходимо пройти аутентификацию.

Причины возникновения ошибки

Итак, возникла ошибка аутентификации при подключении к WiFi на Андроид, что делать мы разберём в следующем разделе. Сейчас выясним причины появления такой ошибки.

  • Самая распространённая причина, которая актуальна для 80% случаев, — неверно введённый пароль для подключения. Чтобы не нагружать сеть и исключить подключение к ней сторонних устройств пользователь устанавливает пароль. Для того чтобы подключиться клиент должен выбрать нужную сеть и ввести ключ. В идеале он должен состоять не менее чем из 8 символов и содержать в себе только цифры. В этом случае ниже вероятность ошибиться, так как ввод пароля чувствителен не только к раскладке, но и к регистру букв.
  • Вторая распространённая причина – несоответствие выбранного типа шифрования. В этом случае устройство просто не поддерживает установленный в настройках маршрутизатора тип, поэтому аутентификация не может пройти успешно.

Гораздо реже причиной возникновения подобного оповещения может стать неисправность или нестабильность маршрутизатора. Поэтому первое, что рекомендуют сделать опытные пользователи – это перезагрузить сам роутер, чтобы исключить этот вариант. Обычно такие ситуации характерны для бюджетных моделей роутеров. Сказывается на работе устройства и проблемы на линии провайдера, нестабильность электропитания, нагрузка при большом количестве пользователей. Если проблема не ушла, то способы устранения читаем дальше.

Ошибка аутентификации при подключении к WiFi на Андроид, что делать?

И вот мы перешли к основной части нашей статьи. Ошибка аутентификации при подключении к WiFi на Андроид, что делать? как уже было описано выше проблема может носить разный характер, а соответственно и подходить к её решению следует с разных сторон. Мы разберёмся как исправить ошибку в системе Андроид, а также выясним, как действовать, если необходимо изменить настройки маршрутизатора.

Решение проблемы со стороны Андроида

Для начала выясним, как действовать, если просто не совпадает ключ для подключения. В этом случае проблема решается через Андроид и не требует особых навыков от пользователя.

  1. Активируйте модуль WiFi на планшете или телефоне и дождитесь пока гаджет найдёт всё доступные подключения.
  2. Среди предложенных вариантов выберите ту сеть, к которой Андроид не может подключиться.
  3. Нажмите на неё и удерживайте до появления контекстного меню.
  4. Выберите пункт «Удалить сеть» или «Забыть сеть», в зависимости от модели гаджета и версии прошивки. Не беспокойтесь, она всё так же будет появляться в списке доступных для подключения, просто, устройство удалит все данные об этой точке доступа и позволит произвести подключение с нуля.
  5. Затем вновь запустите сканер доступных подключений и найдите среди предложенных доступных вариантов нужную сеть.
  6. Чуть ниже формы для ввода пароля поставьте галочку на пункте «Показать пароль». В некоторых смартфонах и планшетах эта команда представлена значком в виде глаза, в зависимости открыт он или нет определяется видимость символов.
  7. Внимательно введите ключ для подключения. Уточнить пароль можно в веб-интерфейсе настроек роутера.

Если вы выполнили алгоритм по шагам, но желаемого результата это не принесло, пароль точно указан верно, а ошибка аутентификации всё ещё возникает, значит, проблема в другом.

Корректировка настроек маршрутизатора

Если всё предыдущие манипуляции не дали нужного результата, значит, проблему нужно искать в настройках маршрутизатора. Точнее, в несоответствии типа шифрования роутера и Андроида.

Чтобы внести изменения в настройку маршрутизатора, необходимо организовать подключение. Сделать это можно и по WiFi, но надёжнее, если для этого будет использоваться специальный кабель. Подключаться для внесения корректировок можно с компьютера или ноутбука. Для того чтобы попасть в веб-интерфейс достаточно открыть браузер и прописать Ip-адрес нужной точки доступа. Уточнить последний можно на самом роутере, коробке от маршрутизатора или панели управления доступными сетями.

Чтобы узнать IP для доступа через раздел «Управления сетями» нажмите в панели задач на кнопку «Центр управления сетями». В разделе тип подключения найдите беспроводное соединение и, открыв окно, найдите раздел «Сведения». В пункте «Шлюз по умолчанию IPv4» будет прописан нужный адрес.

Итак, мы вносим данные в адресную строку и оказываемся на странице авторизации. Если вы не меняли данные, то в полях логин и пароль прописываем admin, admin. Внутренний интерфейс веб-сервиса различается в зависимости от модели маршрутизатора, но общая суть остается идентичной.

Перейдите в расширенные настройки роутера и в разделе WiFi откройте настройки безопасности. В разделе «Сетевая аутентификация» прописан текущий тип аутентификации или шифрования, который может не поддерживать Андроид. Если ваш роутер поддерживает миксованную систему шифрования (с пометкой mixed), то это будет идеальным вариантом выбора. Если такого параметра нет, то стоит экспериментальным методом выбрать тот тип шифрования, который понятен вашему устройству. Для этого выберите один из вариантов, сохраните изменения, перезагрузите маршрутизатор и предпримите попытку подключения. Возможно, описанное действие придётся повторить несколько раз, чтобы устранить первоначальную проблему.

Мы разобрали почему возникает ошибка аутентификации при подключении к WiFi на Андроид, что делать, если это произошло. Пишите в комментариях, как вы избавились от ошибки, а также если у вас возникнут проблемы, попытаемся их решить. Делитесь статьёй в социальных сетях и оставайтесь с нами.

Всем нам знакома процедура входа в собственный аккаунт в соцсети, онлайн-игре или электронной почте: сообщаем логин и пароль – получаем доступ к личной страничке. В Рунете и локализованных системах это часто называется авторизацией, что с технической точки зрения в корне неверно: нажатие Enter в форме ввода запускает два совершенно разных процесса – аутентификацию и авторизацию. При возникновении ошибок необходимо четко понимать, на каком этапе происходит сбой.

Содержание статьи

Определение

Аутентификация – прохождение проверки подлинности.

Авторизация – предоставление и проверка прав на совершение каких-либо действий в системе.

Естественно, и аутентификацию, и авторизацию используют не только в процессе получения доступа к сетевым аккаунтам. Автоматизированные системы, EDI, передача данных, пластиковые банковские карты – мы не один раз в день проходим эти процедуры в автоматическом режиме.

В англоязычных системах путаницы с терминологией не возникает: пользователь вообще не задумывается, чем отличается аутентификация от авторизации, ведь обе процедуры от его глаз скрыты. Предлагается «войти в систему» – «log in, logging in».

Реклама к содержанию ↑

Сравнение

Как проходит процедура аутентификации? Вот некий пользователь вознамерился прочитать свежий спам в своем электронном почтовом ящике. Он заходит на сайт почтового сервиса, читает рекламу и новости, но никаких писем ему пока не показывают – система не знает ни о его личности, ни о его намерениях. Когда в форму ввода логина и пароля он впишет свои «username/qwerty» и отправит эту информацию, начнется процесс аутентификации. Система проверит, существует ли пользователь с таким именем, совпадает ли введенный пароль с его учетной записью. Во многих случаях соответствия подобных идентификаторов достаточно, однако сервисы, где безопасность данных в приоритете, могут запрашивать и другие сведения: наличие сертификата, определенный IP-адрес или дополнительный код верификации.

Пройденная аутентификация означает, что пользователь действительно тот, кем представляется. Однако этого мало для предоставления ему доступа к данным – начинается процесс авторизации. В случае с почтовыми сервисами клиенты имеют равные права: каждый из них может просматривать письма и документы, редактировать их и создавать новые. А вот в социальных сетях или на форумах посетители принадлежат к определенной группе, и авторизация помогает системе определить, что позволено Юпитеру и не позволено быку. К примеру, у вас нет права писать сообщения пользователю, который добавил вас в черный список; вы не можете добавлять в сообщения ссылки на видео, пока не набрали определенное количество постов; вы можете просматривать фотографии человека, добавившего вас «в друзья». В локальных системах у учетной записи пользователя может не быть доступа к некоторым программам, стоять запрет на редактирование или копирование документов.

В процессе авторизации проверяется наличие прав на конкретные действия у владельца аккаунта или учетки. Это происходит не только во время входа в систему, но и при любой попытке совершить какие-либо манипуляции с данными. В этом состоит отличие аутентификации от авторизации: первая – процедура одноразовая для текущей сессии, вторую пользователь проходит постоянно перед запуском любого процесса.

Запомнить, в чем разница между аутентификацией и авторизацией, обычно позволяет аналогия с закрытыми объектами промышленных комплексов. При входе посетитель предъявляет удостоверение личности (ввод логина и пароля), а сотрудник охраны проверяет по базе данных, можно ли этого человека впустить. Если документ подлинный и фамилия есть в списке – вход на территорию объекта разрешен. Чтобы попасть в лабораторию, нужен один пропуск, в пресс-центр – другой, на вывоз мусора – третий. Служба безопасности проверяет право на доступ к объектам и разрешает или запрещает персоналу определенные действия. Так проходит авторизация.

Процесс аутентификации запускается пользователем при входе в систему: он предоставляет идентификационные данные, будь то пара логин/пароль, отпечаток пальца, установленный сертификат, карта и ее PIN-код. При этом возможны ошибки со стороны клиента. Авторизация запускается сервером автоматически, если аутентификация завершена успешно, и действия пользователя на данный процесс не влияют.

к содержанию ↑

Таблица

Аутентификация Авторизация
Процедура проверки подлинности субъекта Процедура присвоения и проверки прав на совершение определенных действий субъектом
Зависит от предоставляемой пользователем информации Не зависит от действий клиента
Запускается один раз для текущей сессии Происходит при попытке совершения любых действий пользователем

Дата публикации: 29.01.2017

Если вашу учетку защищает только пароль, это часто небезопасно. Мошенникам не сложно взломать его и получить доступ к конфиденциальным данными. Поэтому двухфакторная аутентификация стала одним из основных способов сделать онлайн-услуги безопасными. Сегодня почти каждый сайт с формой входа предлагает пользователям включить двухфакторную аутентификацию.

В статье расскажем, что значит двухфакторная аутентификация, какая она бывает и как ее использовать.

image

Что такое двухфакторная аутентификация

Двухфакторная аутентификация — это дополнительный уровень защиты учетной записи. Кроме ввода пароля, нужно также ввести одноразовый код, который приходит на почту или телефон, или отпечаток пальца. Этим вы подтверждаете свою личностья. Когда вы активируете эту опцию, кроме пароля хакеру нужно также ввести код, чтобы зайти в ваш аккаунт. Вы также получите уведомление, если кто-то попытается получить доступ в вашу учетку.

Одноразовый код действует только пару минут или часов, после чего он самоуничтожается. Таким образом, благодаря двухфакторной аутентификации ваши онлайн-аккаунты становятся неуязвимыми для киберпреступников.

Виды двухфакторной аутентификации

В двухфакторной аутентификации пользователи должны ввести такие данные:

Шаг 1:

  • То, что вы уже знаете: имя пользователя и пароль;

Шаг 2:

  • Сгенерированный код из телефона, почты или другого ПО; или
  • Биометрические данные — отпечаток пальца, скан сетчатки или голосовая проверка.

Двухфакторная аутентификация с помощью смартфона или ПО — самый распространенный метод.

Двухфакторная аутентификация по SMS

Секретный одноразовый пароль приходит на мобильный пользователя в SMS-сообщении.

Преимущества:

  • Так как приходит SMS, каждый может воспользоваться этой опцией — вне зависимости от наличия интернета.

Недостатки:

  • Сигнал сети — главный фактор, чтобы получить SMS с кодом.
  • Если вы потеряли SIM-карту или телефон, вы не сможете пройти аутентификацию.

Двухфакторная аутентификация по телефону

Пользователи получают проверочный код по звонку после того, как они правильно ввели пароль и имя пользователя.

Преимущества:

  • Так как это звонок, каждый может воспользоваться этой опцией — вне зависимости от наличия интернета.

Недостатки:

  • Сигнал сети — главный фактор, чтобы вам дозвонились.
  • Если вы в роуминге, это будет дорого стоить.
  • Если вы потеряли SIM-карту или телефон, вы не сможете пройти аутентификацию.

Двухфакторная аутентификация по почте

Пользователи получают проверочный код или уникальную ссылку на почту после того, как они правильно ввели пароль и имя пользователя.

Преимущества:

  • Доступно на компьютерах и телефонах.

Недостатки:

  • В отличие от SMS или звонка, для получения кода нужен интернет.
  • Письмо может попасть в спам или не дойти из-за проблемы с сервером.
  • Если хакеры взломали ваши почтовые учетные записи, они также могут получить доступ к коду.

Двухфакторная аутентификация через ПО

Это более продвинутый метод, который набирает популярность.

Пользователям нужно установить приложение на компьютер или смартфон, чтобы получить код. ПО динамически генерирует коды для пользователя на короткий период времени. После успешного входа в учетную запись пользователю нужно открыть приложение и ввести код, который сгенерировало приложение.

Примеры ПО для двухфакторной аутентификации — Google Authenticator, Authy, Microsoft Authenticator.

Преимущества:

  • Легко использовать.
  • Код автоматически генерируется в приложении аутентификации.
  • Кроссплатформенная поддержка — программа работает и на компьютере, и на смартфоне. Даже если вы потеряли смартфон, вы все равно сможете сгенерировать код на компьютере.

Недостатки:

  • Любой с доступом к вашему телефону или компьютеру может взломать вашу учетку.

Двухфакторная аутентификация через аппаратное обеспечение

Этот метод используется в основном в корпорациях, но его также можно использовать на персональных компьютерах. В этом случае код аутентификации генерируется с помощью оборудования — брелока или электронного ключа. На оборудовании есть экран, где каждые 30-60 секунд динамически генерируется код.

Преимущества:

  • Легко использовать.
  • Не нужно интернет-соединение.
  • Очень безопасный метод, потому что код генерируется с помощью стороннего оборудования.

Недостатки:

  • Дорого в установке и поддержке.
  • Устройство можно потерять.

Двухфакторная аутентификация по биометрическим данным

При биометрической проверке пользователь сам становится кодом. Ваши отпечатки, сетчатка, распознавание вашего голоса или лица может быть проверочным ключом при аутентификации.

Преимущества:

  • Безопасный метод, потому что никто не сможет скопировать ваши отпечатки, голос или лицо.
  • Легко использовать.
  • Не нужно интернет-соединение.

Недостатки:

  • В то же время хранить биометрические данные на сторонних серверах может быть небезопасным.
  • Нужны специальные устройства типа сканеров или камер.

Вам решать, какой метод аутентификации использовать. Но советуем не избегать аутентификации совсем и использовать хотя бы самую простую ее вариацию — по почте или телефону.

Источник: статья в издании TechLog360

Оцените статью
Рейтинг автора
5
Материал подготовил
Илья Коршунов
Наш эксперт
Написано статей
134
А как считаете Вы?
Напишите в комментариях, что вы думаете – согласны
ли со статьей или есть что добавить?
Добавить комментарий