Аутентификация

8 мин

Аутентификация, или проверка подлинности, является ключевым элементом в обеспечении безопасности в цифровом мире. Она проверяет, действительно ли пользователь является тем, за кого себя выдает.

По результатам отчета Okta, основанном на опросе 1000 IT-специалистов, показывает, что 70% компаний используют многофакторную аутентификацию (MFA). MFA значительно снижает компрометации учетных записей на 99%.

Приведем классический пример процесса аутентификации в контексте использования интернет-банкинга. Допустим, вы в первый раз пытаетесь войти в свой счет в мобильном приложении вашего банка. Этот процесс начинается с того, что вы вводите свой уникальный идентификатор (как, например, номер счета или логин). Далее, для подтверждения вашей личности, приложение требует пароль или сканирование биометрии — отпечаток пальца или сканирование лица.

После того как представленная вами информация успешно сверяется с данными, хранящимися в системе банка, вы успешно проходите процесс аутентификации и получаете доступ к аккаунту. В случае активации дополнительных мер безопасности, таких как двухэтапная верификация, вам может быть необходимо ввести код, полученный в SMS на ваш телефон.

Доступ к операциям внутри аккаунта, таким как перевод средств, просмотр баланса и изменение личных данных, осуществляется через процесс авторизации. Этот процесс удостоверяет, что у вас есть права на выполнение определенных действий внутри системы после успешной аутентификации.

Виды аутентификации варьируются в зависимости от используемых методов и объема участвующих сторон в процессе проверки:

По числу применяемых доказательств:

• Одноэтапная аутентификация предполагает использование единственного средства подтверждения идентичности, например, только пароля.

• Многоэтапная аутентификация требует нескольких доказательств для входа в систему, сочетая, например, пароль с биометрией или одноразовым кодом, полученным по SMS.

По числу проверяющих сторон:

• Односторонняя аутентификация требуется, когда идентификация нужна только со стороны пользователя перед системой.

• Взаимная аутентификация используется в случаях, когда необходимо, чтобы как пользователь, так и система подтвердили свою подлинность друг перед другом, что актуально для обмена конфиденциальной информацией.

Методы аутентификации классифицируются в зависимости от специфики доступа, требуемой степени безопасности, и применяемых технологий распознавания:

• Для открытого доступа к информации, не представляющей значимой ценности, часто достаточно применения простых многоразовых паролей.

• Данные ограниченного доступа, утечка которых может нанести урон, требуют усиленной защиты, например, через использование одноразовых паролей и дополнительных проверок при доступе к определенным разделам ресурса.

• Для обеспечения безопасности чувствительных данных используются наиболее комплексные методы аутентификации, в том числе многоуровневая верификация и двусторонняя аутентификация.

Методики аутентификации варьируются по степени защищенности, начиная от основных до более продвинутых и эффективных подходов к обеспечению конфиденциальности информации.

Базовая аутентификация

Метод включает в себя передачу логина и пароля напрямую через веб-запрос. Это делает данные уязвимыми для перехвата, поэтому базовая аутентификация рассматривается как не самый безопасный вариант. Из-за высокого риска компрометации личной информации ее использование не рекомендуется даже при отсутствии критически важной информации.

Дайджест-аутентификация

Этот метод усиливает безопасность путем передачи пароля в зашифрованном виде с использованием хеш-функций. Дайджест-аутентификация улучшает безопасность, добавляя к паролю временный хеш, обновляемый с каждым запросом, что затрудняет его дешифровку злоумышленниками.

Аутентификация через HTTPS

Протокол HTTPS обеспечивает зашифрованный канал для передачи данных между пользователем и сервером, включая логин и пароль, что гарантирует высокую степень защиты информации. Несмотря на то что использование HTTPS может немного увеличить время загрузки данных, преимущества в плане безопасности значительно перевешивают этот недостаток.

Аутентификация с использованием цифровых сертификатов

Метод включает в себя обмен уникальными цифровыми сертификатами между пользователем и сервером для подтверждения их подлинности. Такой подход обеспечивает высокий уровень безопасности и используется в таких протоколах, как SSL, Kerberos и RADIUS.

Аутентификация через cookies

Cookies — это файлы, хранящиеся на компьютере пользователя и отправляемые веб-сервером. Они могут использоваться для аутентификации пользователя при каждом подключении к сайту. Несмотря на удобство, cookies имеют относительно низкий уровень защиты и часто дополняются дополнительными мерами безопасности, такими как привязка к IP-адресу пользователя.

Мониторинг процесса аутентификации пользователя играет ключевую роль в обеспечении безопасности личных данных на различных веб-сервисах. Платформы, такие как Google, активно отслеживают необычную активность и информируют пользователя о любых подозрениях. Например, фиксация IP-адресов, использование зашифрованного соединения через HTTPS и мониторинг аномальной активности, включая неожиданные сессии входа, массовую отправку спама или удаление значимых сообщений могут быть настроены для предоставления дополнительной защиты.

Также компания IBM предлагает возможность аудирования сессий пользователей, что предоставляет детальную информацию о времени входа, длительности сеанса, имени пользователя, типе сеанса (с регистрацией или без), результате аутентификации, а также местоположении входа.

Эти методы служат для укрепления защиты аккаунтов, предотвращая неавторизованный доступ к ним.

Многофакторная аутентификация заставляет пользователя подтверждать свою личность, используя более одного метода проверки. Эти методы включают в себя:

• Данные: секретная информация, известная исключительно пользователю, такая как пароль или ответы на секретные вопросы.

• Физический предмет: который находится у пользователя, например, ключ USB, электронный бейдж, банковская карта или устройство для генерации токенов.

• Биометрия: уникальные биологические характеристики пользователя, такие как отпечатки пальцев, голос, скан лица или ириса глаза.

Двухфакторная аутентификация является разновидностью многофакторной проверки и требует от пользователя двойного подтверждения его личности через использование разнородных элементов. Такой подход применяется в сервисах, предоставляемых Google и Microsoft, где для входа в систему с нового устройства к традиционному логину и паролю добавляется необходимость ввести дополнительный код.

Этот код может быть получен различными способами, включая:

• Через SMS-сообщение на мобильный телефон.

• Посредством звонка на фиксированный номер.

• Использование списка предварительно сгенерированных кодов.

• С помощью специализированного приложения для генерации кодов на смартфоне или компьютере.

Такая система обеспечивает высокий уровень безопасности благодаря изменчивости кода и его привязке к физическому устройству, что делает ее удобной в использовании (особенно учитывая, что мобильный телефон обычно всегда находится при себе).

Однако, несмотря на преимущества, двухфакторная аутентификация может столкнуться с проблемами, связанными с задержками в получении SMS из-за сетевых нарушений, а также с риском перехвата сообщения злоумышленниками.