Аутентификация

Мария Смирнова-Матрос

28 мая, 2020

Аутентификация — это процесс проверки подлинности. Термин чаще всего используют в среде информационных технологий. Сравнение пароля, введенного пользователем, с паролем, который сохранен в базе данных сервера, — один из примеров аутентификации. Подобная проверка может быть как односторонней, так и взаимной — все зависит от способа защиты и политики безопасности сервиса.

Аутентификация позволяет контролировать доступ к сервисам и ресурсам.

Методы аутентификации

Методы аутентификации делятся в зависимости от типа ресурса, структуры и тонкостей организации сети, удаленности объекта и технологии, которая используется в процессе распознавания. 

На основе степени конфиденциальности можно выделить несколько уровней аутентификации:

  • доступ к информации, утечка которой не несет значимых последствий для пользователя и интернет-ресурса — в такой ситуации достаточно использовать многоразовый пароль;
  • доступ к данным, раскрытие или пропажа которых приведет к существенному ущербу — необходима более строгая аутентификация: одноразовые пароли, дополнительная проверка при попытке доступа к остальным разделам ресурса;
  • доступ к системам конфиденциальных данных — предусматривает использование взаимной аутентификации и многофакторных методов поверки.

Способы аутентификации

Все способы аутентификации можно расположить по возрастанию их сложности.

Базовая аутентификация

При использовании  этого вида аутентификации логин пользователя и пароль входят в состав веб-запроса. Любой перехватчик пакета информации без труда узнает засекреченные данные.

Поэтому базовую аутентификацию не рекомендуется использовать даже в тех ситуациях, когда засекреченные данные не несут существенной информации ни для пользователя, ни для интернет-ресурса. Опасность состоит в том, что похищенные данные могут быть использованы для доступа к другим системам. Так, по данным Sophos (компания-производитель средств информационной безопасности), 41% интернет-пользователей используют один и тот же пароль для регистрации на различных платформах, будь то банковская страница или форум, посвященный их любимому хобби

Дайджест-аутентификация

Подразумевает передачу пользовательских паролей в хешированном состоянии. На первый взгляд может показаться, что уровень защиты в данном случае немногим отличается от базовой проверки. На деле это не так: к каждому паролю добавляется произвольная строка, состоящая из символов (хэш), которая генерируется отдельно на каждый новый веб-запрос. Постоянное обновление хеша не дает злоумышленнику возможности расшифровать пакет данных — каждое новое подключение образует другое значение пароля.

На основе данного метода аутентификации работает большинство интернет-браузеров (Mozilla, Google Chrome, Opera).

HTTPS

Этот протокол дает возможность шифрования не только логина и пароля пользователя, но и всех остальных данных, передаваемых между интернет-клиентом и сервером.

Протокол используется для ввода личной информации:

  • адреса;
  • телефона;
  • реквизитов кредитной карточки;
  • других банковских данных.

У протокола есть один существенный недостаток — он значительно замедляет скорость соединения.

Аутентификация с предъявлением цифрового сертификата

Такой способ подразумевает использование протоколов с запросом и соответствующим ответом на него.

Страница аутентификации направляет к пользователю определенный набор символов («адрес»). Ответом является запрос сервера, который подписан при помощи персонального ключа.

Аутентификация по открытому ключу применяется в качестве защитного механизма в следующих протоколах:

  • SSL;
  • Kerberos;
  • RADIUS.

Аутентификация с использованием cookies

Кукинебольшой массив данных, который отправляется интернет-сервером и хранится на ПК пользователя. Браузер при каждой попытке подключения к данному ресурсу посылает cookies как одну из составных частей HTTP-запроса.

Как средство аутентификации куки используются для систем безопасности чатов, форумов и различных интернет-игр. Cookies обладают низкой степенью защиты — если сессия плохо фильтруется, то похитить их не составит труда. Поэтому дополнительно применяется привязка по IP-адресу, с которого пользователь вошел в систему.

Децентрализованная аутентификация

Выделяют несколько основных протоколов, работающих по принципу децентрализованной аутентификации:

  • OpenID. Протокол позволяет завести один пароль для нескольких интернет-ресурсов. Безопасность осуществляется за счет цифровой подписи сообщений на основе алгоритма Диффи-Хеллмана. Недостатками является уязвимость перед фишинговыми атаками и атакой «человек посередине». На основе OpenID сейчас работают Google, Яндекс, BBC, PayPal, Microsoft и другие.
  • OpenAuth. Работает по похожему алгоритму с OpenID. Позволяет использовать сервисы AOL и любые другие, надстроенные поверх них. При этом у пользователя не возникает необходимости создавать новую учётную запись на каждом сайте. Информация о сессии сохраняется не в cookies, а сами cookies аутентификации отграничены специфицированным доменом.
  • OAuth. Дает возможность одному веб-ресурсу получить доступ к пользовательским данным на другом веб-ресурсе.

Отслеживание процесса аутентификации пользователем

Безопасность пользовательских данных во многом зависит от поведения самого пользователя. Многие веб-ресурсы отслеживают подозрительную активность и уведомляют об этом владельца учетной записи. К примеру, Google фиксирует IP-адреса, с которых осуществлялся вход в систему, логирует процесс авторизации и предоставляет пользователю произвести следующие настройки:

  • переключиться на передачу информации только через HTTPS;
  • включить функцию отслеживания подозрительных сессий: в данном случае Google будет присылать вам уведомления об активности аккаунта в подозрительное время, большое количество исходящего спама, удаление старых сообщений и т.д.;
  • отслеживать списки третьих сторон, которые имеют доступ к тем же сервисам Google, что и пользователь.

Другой пример — компания IBM. Включив функцию аудита сеансов пользователя, вы получаете доступ к следующей информации:

  • время входа и продолжительность сеанса;
  • имя пользователя;
  • вид сеанса (с использованием регистрации или без него);
  • успешность в аутентификации или невозможность совершить проверку;
  • точка, с которой выполнялся вход в систему.

Многофакторная аутентификация

Многофакторная аутентификация подразумевает предъявление более чем одного «доказательства» способа аутентификации для доступа к данным. 

Такими «доказательствами» могут быть:

  • определенное знание — информация, которой владеет пользователь (пин-код, пароль, кодовое слово);
  • владение — предмет, который есть у субъекта (флеш-память, электронный пропуск, магнитная банковская карточка, токен);
  • свойство — качество, присущее исключительно субъекту — сюда относят данные биометрии и персональные отличия: форма лица, индивидуальные особенности радужной и сетчатой оболочки глаза, отпечатков пальцев.

Одной из разновидностей многофакторной аутентификации является двухфакторная аутентификация (также называется двухэтапной или двойной). Такой способ подразумевает под собой проверку данных пользователя на основании двух отличных друг от друга компонентов.

Примером двухэтапной аутентификации являются сервисы от Google и Microsoft. При попытке авторизации с нового устройства, помимо логина и пароля, необходимо также ввести код, который состоит из шести (Google) или восьми (Microsoft) знаков. Получить его можно одним из перечисленных способов:

  • SMS-сообщение на мобильный телефон;
  • голосовой вызов на телефон;
  • реестр одноразовых кодов;
  • программа-аутентификатор для мобильного или ПК.

Выбрать способ подтверждения можно в личном кабинете вашей учетной записи.

Основными преимуществами двойной аутентификации является удобство (смартфон всегда под рукой) и безопасность (постоянное изменение кода подтверждения).

Данный метод также имеет определенные недостатки. Проблемы с мобильной сетью могут стать помехой для получения кода подтверждения, а само смс-сообщение может быть перехвачено злоумышленниками. Существует также некоторая задержка при получении SMS, которая связана с процедурой проверки подлинности.

Вы нашли ответ?

13
6

Другие материалы словаря