Предположим, вы хотите заказать пиццу в офис. Заходите на сайт, направляетесь в личный кабинет. Однако, чтобы зайти в кабинет надо «преодолеть» всплывающее окно с запросом на логин и пароль. Вы верно вводите их, даже с первого раза, и попадаете в личный кабинет с избранными заказами, бонусами, адресами доставки и банковскими картами. Поздравляем, вы только что прошли идентификацию, аутентификацию и авторизацию.
И хоть эти действия мы осуществляем ежедневно и почти не отдаем себе отчет о них, они – ключевые в защите финансовых, корпоративных или персональных данных.
Рассказываем про идентификацию, аутентификацию и авторизацию: что это такое и в чем разница.
Постучаться в дверь: идентификация
Идентификация – это процесс установления личности пользователя или системы, это первый шаг в цепочке защиты данных. На этом этапе система будто задает вопрос: «Кто вы?»
Обычно процесс включает в себя предоставление уникального идентификатора: логин, почта, номер телефона или даже номер паспорта. Системе нужна комбинация, которая существует в единственном экземпляре. Желательно, чтобы ее знал только один пользователь, и чтобы подходила она только для одного ресурса, не дублировалась. За счет этой буквенной или числовой комбинации система «опознает»: кто стучится в дверь.
Зайти через дверь: аутентификация
Вы ввели свой логин, но чтобы впустить вас на сайт, в личный кабинет, у вас запросят пароль. Так система убедится, действительно ли вы тот, кем заявляете себя через логин. Здесь система будто задает вопрос: «Правда ли вы тот, за кого выдаете?».
Аутентификация может ограничится простым введением пароля.
Иногда аутентификация может быть сложнее:
- двухфакторная, когда пользователь вводит, к примеру, код из смс.
- биометрическая, когда нужно показать свои индивидуальные характеристики: отпечаток пальца, лицо или голос.
- аутентификация на основе цифрового сертификата, когда у пользователя есть файл-подтверждение его личности. Обычно цифровой сертификат выдает доверенное третье лицо.
Без успешной аутентификации, система не получает подтверждение, что пользователь имеет право доступа к запрашиваемым данным или ресурсам. Это ведет к том, что лицо «остается в дверях» и не попадает дальше. Таким образом, процесс аутентификации ограждает от несанкционированного доступа к информации.
При этом аутентификация — пожалуй, самый важный из этих процессов с точки зрения безопасности аккаунта. Если пользователь создает слабый пароль или не обновляет текущий долгое время, взлом – дело времени.
Зайти в дом и узнать, что в нем можно: авторизация
После успешной идентификации и аутентификации пользователь попадает в систему под своим уникальным именем. Ключевое отличие авторизации от идентификации и аутентификации в том, что функция не подтверждает личность, как это делали функции ранее. Авторизация определяет именно права и привилегии пользователя в системе, тут звучит уже вопрос: «Что вам можно здесь делать?».
Примерами процесса авторизации могут быть разрешение или запрет на доступ к определенным файлам на сервере, возможность редактирования или удаления записей в базе данных, доступ к функциям веб-сайта.
К примеру, авторизация сисадмина и сотрудника отдела закупок на сайте компании – две совершенно разные авторизации со строго прописанным функционалом.
Роль авторизации в контроле доступа критически важна. Это последний шаг для обеспечения безопасности, благодаря которому каждый пользователь имеет доступ только к нужным для него ресурсам и возможностям. Так авторизация предотвращает несанкционированный доступ и потенциальные злоупотребления данными.
То есть пользователь как бы заходит в дом. Там ему сообщают, шкафы открывать можно, кружки брать в руки можно, но забирать из дома ничего нельзя – нет права доступа.
Также многие приложения или сайты позволяют пользователям войти на их ресурсы через учетные записи в социальных сетях, например, VK ID или Google. Это упрощает процесс идентификации, так как пользователю не нужно запоминать дополнительные имена пользователей и пароли.
Кто в IT следит за идентификацией, аутентификацией и авторизацией?
Данные манипуляции – часть области информационной безопасности. А ИБ – ключевая отрасль в ИТ, поэтому присутствует во всех информационных продуктах.
Часть этих специалистов работают над созданием качественной системы безопасности. Например:
1. Разработчики веб-приложений. Они часто работают над созданием и поддержкой систем аутентификации и авторизации для веб-сайтов и веб-приложений.
2. Пентестер. «Белый» хакер не разрабатывает систему, но проверяет, все ли происходит в соответствии с требованиями, нет ли багов. Потому что ошибки на этапах идентификации, аутентификации, авторизации – критичны для любой организации.
3. Инженеры по безопасности. Эти сотрудники разрабатывают, внедряют политики и процедуры безопасности, включая механизмы аутентификации, авторизации и идентификации.
4. Разработчики мобильных приложений. Они также внедряют системы аутентификации и авторизации в мобильные приложения.
5. Системные администраторы. Специалисты отвечают за настройку и поддержание систем аутентификации и авторизации на серверах и в сетях.
6. Специалисты по управлению идентификационной информацией (Identity Management Specialists). Они специализируются на создании и управлении системами идентификации пользователей.
Хотя все три процесса связаны, важно различать эти термины, чтобы понимать, как они вместе работают для обеспечения безопасности. Так идентификация без аутентификации не обеспечивает безопасности, так как система не сможет подтвердить идентичность пользователя без пароля. А аутентификация без авторизации не будет полезной, так как система не сможет контролировать, что пользователь может делать после входа в систему.
