Идентификация, аутентификация, авторизация — разбираемся в терминологии

Практически каждый день мы проходим идентификацию, аутентификацию и авторизацию в приложениях или на веб-сайтах. Многие думают, что эти три термина обозначают одно действие — установление личности пользователя. На самом деле, это три последовательных процесса. В чем между ними разница и как они работают — давайте разбираться.

Что такое идентификация

Идентификация — это процесс установления личности пользователя, когда ему необходимо указать свой логин-идентификатор. Это может быть имя и фамилия, номер телефона или адрес электронной почты.

Идентификация происходит на начальном этапе настройки учетных записей и сервисов. На первом уровне система должна проассоциировать конкретного человека с заданными данными. Для этого применяют один из видов идентификаторов:

• имя пользователя, которое идентифицирует учетную запись;
• идентификатор пользователя — уникальный набор символов, серия цифр, адрес электронной почты или номер телефона;
• усиленный идентификатор — используют для учетных записей «высокой ценности», например, в банковских или государственных сервисах. Как правило, в роли такого идентификатора выступает удостоверение личности с фотографией (страница паспорта или водительские права);
• идентификатор гостя — одноразовый идентификатор сеанса, который обычно не содержит дополнительной информации. Например, это может быть электронный билет на мероприятие;
• единый идентификатор доступа — метод, распространенный на предприятиях, когда сотрудникам выдают уникальный ID для доступа в различные системы;
• контекстуальный идентификатор — используются файлы cookie в браузере или контекстная информация (IP-адрес, тип устройства или географическое местоположение).

Систему идентификации легко и недорого интегрировать в любые системы с привязкой к аккаунту. Однако в цифровой среде может быть сложно подтвердить личность, просто получив личную информацию. Кто угодно может войти в личный кабинет по логину, украсть адрес электронной почты или подсмотреть номер телефона.

Учитывая эти риски, идентификация — это просто первый шаг к созданию основы для процесса аутентификации.

Что такое аутентификация

Аутентификация пользователя — это проверка подлинности того, кто хочет получить доступ к аккаунту.

На втором этапе аутентификация сопоставляет имя пользователя с его учетной записью через определенный метод:

• на основе пароля — наиболее распространенный способ. Оптимальная защита требует множества разнообразных паролей, состоящих из разных букв, цифр и символов. Однако нередко пользователи заводят одни и те же или похожие пароли для разных учетных записей, что делает их уязвимыми для фишинга и взлома;
• многофакторная аутентификация — процедура, которая требует более чем одну форму аутентификации. Например, запрос Captcha или проверочный код из SMS;
• биометрическая аутентификация — основана на уникальных биологических особенностях человека. Система подтверждает личность через распознавание лица, голоса, отпечаток пальца или сетчатку глаза;
• на основе токенов — аутентификация с помощью уникального USB-ключа или смарт-карты.

Подробнее о том, как работает двухфакторная аутентификация, вы можете узнать в статье нашего блога.

Что такое авторизация

Авторизация пользователя — это третий этап на пути к аккаунту. Здесь система определяет полномочия пользователя или его право выполнять определенные задачи.

Если все используют одну и ту же учетную запись, система не сможете различать пользователей. Однако после того, как пользователь прошел первые два этапа, он получает доступ к различным ресурсам в зависимости от роли или уровней доступа.

Авторизация гарантирует, что пользователи не получат доступ к чужой учетной записи. Кроме того, она предотвращает несанкционированный доступ к закрытой информации.

Для авторизации, как правило, используют следующие методы:

• ключи интерфейса прикладного программирования (API)

Чтобы использовать большинство API, необходимо сначала зарегистрировать ключ — длинную строку, обычно включенную в URL-адрес или заголовок запроса. Ключ API потенциально может быть связан с конкретным приложением, в котором зарегистрировался человек.

• HMAC

Hash-based message authentication code — хеширование ключей для аутентификации сообщений. HMAC — аналог цифровой подписи, которую обычно используют в протоколах безопасной передачи данных (FTPS, SFTP или HTTPS).

Как работают процедуры доступа

Разберем на нескольких примерах, как происходит идентификация пользователя, его аутентификация и авторизация.

Первый этап — самый короткий:

1. Система открывает форму доступа.
2. Пользователь вводит свой личный идентификатор, например, IvanIvanov.

На втором этапе возможны варианты. Если система предусматривает однофакторную аутентификацию, пользователь подтверждает свой логин паролем. Эту комбинацию он может придумать сам, либо использовать пароль, который сгенерировала форма доступа.

При двухфакторной аутентификации в силу вступает второй фактор. Например, это может выглядеть так:

1. Пользователь отправляет в систему свой номер телефона.
2. В SMS приходит код доступа, либо
3. Система звонит с номера, где последние 4 цифры — это код для аутентификации.

Далее наступает третий этап — авторизация. Здесь примером может быть разграничение доступа в Google Doc. Можно настроить документ так, чтобы его смог открыть любой человек с доступом к ссылке. Тогда в контекстном меню система пользователя в виде подписи — например, «неопознанный жираф».

Однако доступ к документу можно предоставить только определенным пользователям. Тогда им после клика по ссылке необходимо ввести логин и пароль, после чего система их авторизует.

Заключение

Идентификация, аутентификация и авторизация — это отдельные, но взаимосвязанные факторы информационной безопасности. Идентификация — это утверждение вашей личности, аутентификация проверяет это утверждение, а авторизация определяет, к каким действиям или ресурсам вы можете получить доступ после установления вашей личности. Вместе эти три элемента составляют основу безопасного и контролируемого доступа к системам и данным.

Сегодня ни один бизнес не обходится без решений для доступа пользователя к учетной записи. И здесь важно, что предлагаемая клиентам система была одновременно надежной, удобной и экономичной. Наглядный пример такого решения — услуга Call Password ID от Нью-Тел.

В отличие от традиционных методов доставки кода в SMS или обратным звонком, Call Password ID верифицирует и авторизует пользователей через бесплатный исходящий звонок. Посетитель сайта или приложения сам подтверждает свою личность с помощью вызова на выданный системой номер. Подробнее узнать об опции Call Password ID можно здесь.