Аутентификация — двухфакторная и трехфакторная простыми словами

В век цифровых технологий новые слова и термины появляются практически каждый день. Одним из них является термин аутентификация, который в наше время встречается всё чаще и чаще. В статье мы расскажем, что такое аутентификация: что это простыми словами, как такая простая функция может защитить ваши денежные средства, персональные данные на телефонах, компьютерах и прочих девайсах, а также все аккаунты в соцсетях, интернет-магазинах, информационных порталах и прочих сайтах.

Аутентификация — что это простыми словами и зачем она нужна

Аутентификация – это особая процедура проверки подлинности. Чаще всего с ней можно столкнуться на сайтах и социальных сетях, где человек для входа в свой профиль вводит логин и пароль, а система сравнивает эти данные со своей базой данных.

Если система смогла аутентифицировать желающего войти, то он получает доступ ко всем возможностям аккаунта.

Чем отличается от идентификации и авторизации

Термины очень просто спутать, потому что аутентификация, идентификация и авторизация являются частями одной процедуры:

1. Когда вы открываете портал, а вас просят ввести логин с паролем – это идентификаторы, по которым система идентифицирует вас.
2. После того как данные введены, информация начинает обрабатываться сайтом, то есть проходит аутентификацию. В этот момент портал проверяет, действительно ли в базе есть юзер с такими данными входа.
3. Если данные входа верные, то аутентификация прошла успешно, начинается авторизация на сайте, и вам стали доступны диалоги, оповещения, лента новостей и т.д.

Элементы

Процедура состоит из следующего:

• Субъектом является гость, желающий авторизоваться;
• Характеристикой субъекта – данные, которые человек передаёт для проверки;
• Владельцем системы считается хозяин ресурса или сайта, на который хочет зайти юзер;
• Механизмом проверки является принцип проверки данных;
• Наконец, механизмом авторизации называют управление доступом.

Методы

Существует 5 методов аутентификации:

1. Парольный.
2. Комбинированный.
3. Биометрический.
4. Информация о пользователе.
5. Пользовательские данные.

Парольные

Самый часто используемый способ. Людей пытаются аутентифицировать по одноразовым или многоразовым паролям.

Одноразовые – это данные, которые меняются с каждым входом. Например, одноразовые коды, которые присылают по SMS для подтверждения оплаты в интернет-магазине.

Многоразовые – это аутентификация по коду доступа, который каждый человек самостоятельно устанавливает для своего профиля, чтобы система могла его аутентифицировать. Многоразовый код не меняется от сессии к сессии и может быть сменен по желанию юзера в любой момент. К списку относятся PIN-код для банковской карты или код от социальной сети.

Комбинированные

Возможность использовать сразу нескольких возможностей аутентифицировать посетителей, скажем, парольный метод и криптографический сертификат. В таком случае для авторизации потребуется особое устройство для считывания информации.

Биометрические

Аутентификация этого вида является очень дорогой для производителей систем безопасности, но высокую цену которого компенсирует чрезмерный уровень безопасности, так как для идентификации применяют физиологические характеристики человека. К примеру: отпечатки пальцев, голос или лицо.

Информация о пользователе

Подобный метод применяют для восстановления потерянных или забытых данных. При регистрации часто спрашивают ответ на секретный вопрос, который поможет аутентифицировать посетителей. Ответом может быть девичья фамилия матери, имя домашнего животного, любимая книга, адрес дома, где пользователь жил в детстве и т.д.

С помощью ответа возможно сбросить пароль или восстановить нужные данные.

Пользовательские данные

Этот способ идентификации основан на сведения о местонахождении человека. С помощью GPS-данных программа находит нужную информацию о пользователе. Минусом этого варианта является возможность подмены данных, если человек будет использовать прокси-сервера, которые помогут указать неверный адрес.

Виды аутентификации

Аутентификация может быть:

1. По количеству методов защиты.
2. По политике безопасности.

В зависимости от количества используемых методов

В этом подвиде аутентификации есть два вида:

1. Однофакторная, когда применяют лишь 1 метод из 5.
2. Двухфакторная, когда используют сразу несколько типов повышенной защиты сведений.

В зависимости от политики безопасности систем и уровня доверия

Как и с прошлым подвидом, есть ещё два варианта:

1. Односторонняя аутентификация. В этом случае только гость должен передать данные владельцу ресурса для авторизации.
2. Взаимная аутентификация. Этот вид предполагает, что будут проверены права доступа не только юзера, но и владельца ресурса, для чего используются криптографические способы проверки идентификации.

Аутентификация на PC

На персональных компьютерах существует 4 вида аутентификации:

1. Login – для идентификации нужно лишь логин.
2. PAP (Password Authentication Protocol) – протокол, позволяющий аутентифицировать гостя по логину и паролю.
3. Карта доступа – используются USB и сертификаты.
4. Биометрика – для авторизации необходимо сканирование лица, отпечатка пальца и т.д.

Аутентификация в сети

Система может аутентифицировать гостя 6 разными способами:

1. Cookies. Этот тип используют, чтобы отслеживать действия человека, сбора статистики и данных о его предпочтениях.
2. Kerberos. Это протокол взаимной проверки данных с использованием криптографического ключа.
3. SAML или Security Assertion Markup Language. Язык разметки, при помощи которого стороны могут обмениваться данными для авторизации.
4. SNMP или Simple Network Management Protocol. Способ, контролирующий девайсы, подключённые к сети.
5. Сертификаты X.509. Он содержит сведения о госте или устройстве, а также их соответствующий открытый ключ.
6. OpenID Connect. Вид, используемый для заведения одной учётной записи пользователя на разных ресурсах. С помощью этого способа, человек может авторизоваться на разных ресурсах с одним логином и кодом.

Двухфакторная аутентификация

Теперь вы отлично знаете, что такое аутентификация, разберём усложненный процесс авторизации, который ещё называется двухэтапной аутентификацией, сокращённо – 2FA. Подобная защита подразумевает, что для идентификации юзеру недостаточно базовой защиты, а нужна ещё дополнительная система подтверждения входа.

В качестве второго способа для проверки существует следующее:

1. SMS с разовым кодом. Метод особенно распространён банковскими сервисами, которые таким образом идентифицируют клиента и подтверждают денежные транзакции. Широко применяется и в социальных сетях;
2. Письмо на e-mail. Код присылается не на телефон, а на электронную почту. Считается менее защищённым вариантом, так как мошенники могут подобрать пароль к почте и узнать секретные данные.
3. Подтверждение на сторонних сервисах. В таком случае код будет отправлен не на почту или телефон, а будет сгенерирован в специальном приложении для безопасной авторизации, например, есть приложения от Google и Microsoft.
4. QR-код. Подобная аутентификация присутствует в некоторых современных мессенджерах и позволяет так же проверить версию программного обеспечения и IP-адрес.
5. Биометрические данные. Способ идентификации по биометрии, которая может быть распознана камерой, микрофоном или сканером отпечатка пальцев. Один из самых безопасных вариантов аутентифицировать людей, ведь подделать голос, лицо или отпечатки пальцев почти нереально.
6. Дополнительные способы. Менее распространенные, но существующие дополнительные варианты – NFC-карты, GPS, USB-токена, электронные ключи и прочее.

Примеры

Двухэтапная идентификация пользователей постепенно становится новой нормой, учитывая учащающиеся случаи мошенничества в интернете.

В качестве примера двухфакторной аутентификации можно привести следующее решения владельцев ресурсов:

• Вконтакте позволяет активировать целый ряд функций дополнительной защиты, например: аутентификация через номер мобильного телефона для сообщений, сервисы для генерации данных входа, идентификация с помощью мессенджеров, авторизация по геолокации;
• Telegram для идентификации предлагает прикрепить к профилю адрес электронной почты, а также придумать второй код, который будет запрашиваться в качестве дополнения к коду из SMS во время авторизации с нового устройства;
• Instagram привязан к электронной почте, поэтому если ресурс обнаружит подозрительную авторизацию, то в интерфейсе сервиса тут же появится предупреждение и предложение выслать код безопасности на e-mail или мобильный телефон;
• Популярнейший сервис для компьютерных игр Steam перед авторизацией просит ввести 5 символов, случайно генерируемых каждые 30 секунд в мобильном приложении.

Чем двухуровневая проверка лучше одноуровневой

Если говорить грубо, то двухфакторная аутентификация в два раза лучше обычной. Вы не просто вставляет карту в банкомат, но и вводите PIN-код. Не только вводите пароль, чтобы соцсеть вас идентифицировала, но ещё получаете код на смартфон, который привязан к аккаунту.

Считается, что одноуровневую защиту легко взломать, а трёхфакторная и более высокоуровневая авторизация уже лишняя, ведь будет замедлять работу. Поэтому принято, что аутентифицировать лучше всего с помощью двухуровневой защиты.

Протоколы аутентификации

Для проверки аутентификации требуется использование особых криптографических протоколов, служащих для защиты пользователей и владельцев ресурса от действий мошенников.

Протоколы разделены на три вида по принципу работы:

1. Доступ к паролю. Это самые элементарные протоколы, когда ресурс может аутентифицировать человека по логину и паролю.
2. Вызов-ответ. Протокол CHAP (Challenge Handshake Authentication Protocol) действует на основе косвенного согласования. Алгоритм проверяет идентификацию, используя не код доступа юзера, а косвенные данные о нём.
3. Взаимная аутентификация. К примеру, протокол Kerberos помогает безопасно аутентифицировать клиента и сервер, учитывая возможность перехвата пакета данных злоумышленниками.

Ошибки

К сожалению, даже используя самые безопасные способы авторизации на ресурсах и идентификации юзеров, возможно появление ошибок.

Например, человек хочет подключить новый смартфон к точке Wi-Fi в доме. Чтобы это осуществить, нужно ввести на телефоне имя точки, то есть идентификатор, а также пароль, он же аутентификатор. Если данные введены верно, то смартфон подключится к точке беспроводной сети. Однако иногда на дисплее может выскочить ошибка авторизации.

Что можно предпринять в данной ситуации:

• Самая вероятная причина провала – неправильно введённый пароль. Обычно он скрывается звёздочками, поэтому невозможно определить ошибку;
• Чаще всего сайты и соцсети требуют заводить сложные пароли не только с разными символами, но ещё с разными регистрами, то есть с большими и маленькими буквами. Возможно, что ошибка идентификации произошла именно из-за регистра;
• Более сложной причиной неудачи может быть двухфакторная система авторизации пользователя. На роутере может быть активирована блокировка доступа по MAC-адресам. Если это так, то роутер будет пытаться аутентифицировать вас не только по логину и паролю, но и по MAC-адресу гаджета, с которого вы пытаетесь подключиться. Если адрес устройства не входит в список разрешённых адресов, то нужно открыть настройки роутера через браузер компьютера, подключённого по Lan, и там вручную добавить MAC-адрес гаджета в список безопасных адресов.
• Аутентификация по биометрии может выдавать ошибку в случае временного или постоянного изменения биометрических данных. Например, если болит горло, и вы охрипли, то голос изменится, а система не сможет аутентифицировать вас по голосу, а если порезали палец, то отпечаток возможно не будет распознан.

Часто задают следующие вопросы

Заключение

Аутентификация является спасением в 21 веке, когда злоумышленники постоянно пытаются украсть банковские данные или взломать профили в соцсетях. С каждым днём процедура идентификации становится безопаснее, что не может не радовать.