Идентификация, аутентификация, авторизация - что это и как работает?
Расскажем, что означают термины «идентификация», «аутентификация» и «авторизация» — и чем эти процедуры отличаются одна от другой.
Идентификация
Когда посетитель приходит в офис компании, он представляется охраннику на входе. Таким образом человек идентифицирует себя — сообщает, кто он такой. Охраннику не важно, зачем пришел посетитель, ему нужно проверить, что этот человек находится в списке допущенных к проходу.
Также сначала необходимо представиться, если хотите войти в свой аккаунт в какой-либо системе: онлайн-банкинге, электронной почте или социальной сети. Система запрашивает идентификатор (логин) и распознает его как существующий при вводе. Это и есть идентификация: проверка того, что указанный пользователь/логин/email существует.
Система знает ограниченный набор идентификаторов. Если ввести любую последовательность символов и в базе найдется запись о пользователе с таким логином, то идентификация завершилась. Это значит, что первый шаг для доступа к информационному ресурсу (почте, аккаунту в социальной сети и т. п.) сделан.
Аутентификация
Теперь вам нужно ввести пароль, чтобы доказать, что вы не выдаете себя за другого человека. Когда система удостоверится, что тот, кто знает логин, знает еще и пароль, она согласится с тем, что он настоящий владелец аккаунта. Это аутентификация: проверка того, соответствует ли пароль пользователю.
Помните человека, который хочет попасть в наш офис? Предположим, охранник нашел его в списке (идентифицировал). Затем он должен проверить документы посетителя, чтобы его аутентифицировать.
Чтобы злоумышленники, которые подсмотрели или подобрали пароль к вашему аккаунту, не смогли в него попасть, система может подстраховаться и дополнительно спросить то, что известно только вам: например, одноразовый СМС-код для подтверждения входа. Если вы правильно введете его, система окончательно убедится, что вы тот, за кого себя выдаете. Это двухфакторная аутентификация (2FA — 2-factor authentication).
Для серьезных сервисов двухфакторная авторизация обязательна. Обычно это некий токен (одноразовый код с ограниченным временем действия), который отправляется на мобильный телефон пользователя через СМС. Бывают и другие варианты 2FA: в виде USB-флешек, bluetooth-девайсов, биометрических сканеров и т. п. Даже если злоумышленник получит ваш логин и пароль (с помощью вредоносной программы, кражи записной книжки с паролями или методами социальной инженерии и фишинга), без этого токена он не сможет войти в аккаунт.
Авторизация
После аутентификации система разрешит вам читать письма в вашем почтовом ящике. А пропущенного охранником посетителя примут секретари. Если он пришел устраиваться на работу, они пригласят эйчара, если забрать посылку — отдадут посылку, если на встречу — проводят в переговорную и т. д. Это авторизация - предоставление пользователю прав доступа к определенным ресурсам.
Авторизация не просто дает вам возможность зайти в систему, но и разрешает совершать там определенные операции: читать документы, отправлять письма, изменять данные — под тем самым идентификатором, который вы предъявили в самом начале.
Советы:
-
Используйте надежные и уникальные пароли. Они должны состоять из 8 или более символов, содержать цифры, буквы верхнего и нижнего регистров и специальные символы (!, @, #, $ и т.д.). Если для создания пароля доступны только буквы и цифры без специальных знаков, лучше увеличить его длину, чтобы хоть как-то компенсировать это ограничение и усилить безопасность;
-
Если держать в голове пароли, состоящие из большого количества символов, слишком сложно, используйте длинные смысловые фразы. Подобрать такой пароль сложнее, чем короткий набор символов, а запомнить намного проще;
-
Не забывайте периодически обновлять пароли. В идеале — каждые 3-6 месяцев. Если это невозможно, хотя бы раз в год;
-
Обязательно включайте двухфакторную аутентификацию во всех сервисах, которые это позволяют. В идеале для этого нужны два разных устройства. 2FA бесполезна, если для входа в интернет-банк в браузере на телефоне нужно ввести код из СМС, который придет на этот же телефон;
-
Не делитесь ни с кем логинами и паролями: это увеличивает риск компрометации и утечки данных.
Статья подготовлена по материалам блога ДокторВеб.
-
от 1 499 ₽ Выбрать лицензию
Dr.Web Security Space 12 — максимальная защита Dr.Web для Windows, Android, macOS, Linux. Обеспечивает надёжную броню для сетевого доступа, защищая систему от вирусов, руткитов, почтовых червей, хакерских утилит, спама, фишинга, заражённых веб-страниц.
-
Антивирусы для дома Антивирус Dr.Web Security Space (для Android) для защиты мобильного устройства и SmartTVВ наличии13от 490 ₽ Выбрать лицензию
Защита мобильных устройств от всех типов вредоносных программ для хищений денег и информации, от шифровальщиков-вымогателей, опасного веб-контента, нежелательных звонков и СМС (на ОС Android).
-
от 1 650 ₽ Выбрать лицензию
Dr.Web Комплект для малого и среднего бизнеса входят все продукты Dr.Web Enterprise Security Suite.
-
Антивирусы для организаций Антивирус Dr.Web Desktop Security Suite для комплексной защиты рабочих станций с централизованным управлениемВ наличии10от 1 757 ₽ Выбрать лицензию
Dr.Web Desktop Security Suite — комплексная защита рабочих станций, в том числе в среде виртуализации, клиентов терминальных и виртуальных серверов, клиентов встроенных систем от угроз любого типа: вирусов, руткитов, троянских программ, шпионского и рекламного ПО, хакерских утилит и других вредоносных объектов из любых внешних источников.
-
Защита информации Антивирус Dr.Web Server Security Suite для защиты серверов с централизованным управлениемВ наличии06 500 ₽ Выбрать лицензию
Защита файловых серверов и серверов приложений Windows, macOS и UNIX, в том числе терминальных и виртуальных серверов.
-
Антивирусы для организаций Dr.Web «Малый бизнес» сертифицированный ФСТЭК России (сертификат №3509)В наличии09 900 ₽ Выбрать лицензию
Экономичная, централизованно управляемая комплексная защита enterprise-класса средствами отечественного антивируса Dr.Web Enterprise Security Suite, сертифицированного ФСТЭК России, для компьютерной инфраструктуры малых предприятий.