Идентификация, аутентификация, авторизация - что это и как работает?

Расскажем, что означают термины «идентификация», «аутентификация» и «авторизация» — и чем эти процедуры отличаются одна от другой.
Идентификация
Когда посетитель приходит в офис компании, он представляется охраннику на входе. Таким образом человек идентифицирует себя — сообщает, кто он такой. Охраннику не важно, зачем пришел посетитель, ему нужно проверить, что этот человек находится в списке допущенных к проходу.
Также сначала необходимо представиться, если хотите войти в свой аккаунт в какой-либо системе: онлайн-банкинге, электронной почте или социальной сети. Система запрашивает идентификатор (логин) и распознает его как существующий при вводе. Это и есть идентификация: проверка того, что указанный пользователь/логин/email существует.
Система знает ограниченный набор идентификаторов. Если ввести любую последовательность символов и в базе найдется запись о пользователе с таким логином, то идентификация завершилась. Это значит, что первый шаг для доступа к информационному ресурсу (почте, аккаунту в социальной сети и т. п.) сделан.
Аутентификация
Теперь вам нужно ввести пароль, чтобы доказать, что вы не выдаете себя за другого человека. Когда система удостоверится, что тот, кто знает логин, знает еще и пароль, она согласится с тем, что он настоящий владелец аккаунта. Это аутентификация: проверка того, соответствует ли пароль пользователю.
Помните человека, который хочет попасть в наш офис? Предположим, охранник нашел его в списке (идентифицировал). Затем он должен проверить документы посетителя, чтобы его аутентифицировать.
Чтобы злоумышленники, которые подсмотрели или подобрали пароль к вашему аккаунту, не смогли в него попасть, система может подстраховаться и дополнительно спросить то, что известно только вам: например, одноразовый СМС-код для подтверждения входа. Если вы правильно введете его, система окончательно убедится, что вы тот, за кого себя выдаете. Это двухфакторная аутентификация (2FA — 2-factor authentication).
Для серьезных сервисов двухфакторная авторизация обязательна. Обычно это некий токен (одноразовый код с ограниченным временем действия), который отправляется на мобильный телефон пользователя через СМС. Бывают и другие варианты 2FA: в виде USB-флешек, bluetooth-девайсов, биометрических сканеров и т. п. Даже если злоумышленник получит ваш логин и пароль (с помощью вредоносной программы, кражи записной книжки с паролями или методами социальной инженерии и фишинга), без этого токена он не сможет войти в аккаунт.
Авторизация
После аутентификации система разрешит вам читать письма в вашем почтовом ящике. А пропущенного охранником посетителя примут секретари. Если он пришел устраиваться на работу, они пригласят эйчара, если забрать посылку — отдадут посылку, если на встречу — проводят в переговорную и т. д. Это авторизация - предоставление пользователю прав доступа к определенным ресурсам.
Авторизация не просто дает вам возможность зайти в систему, но и разрешает совершать там определенные операции: читать документы, отправлять письма, изменять данные — под тем самым идентификатором, который вы предъявили в самом начале.
Советы:
-
Используйте надежные и уникальные пароли. Они должны состоять из 8 или более символов, содержать цифры, буквы верхнего и нижнего регистров и специальные символы (!, @, #, $ и т.д.). Если для создания пароля доступны только буквы и цифры без специальных знаков, лучше увеличить его длину, чтобы хоть как-то компенсировать это ограничение и усилить безопасность;
-
Если держать в голове пароли, состоящие из большого количества символов, слишком сложно, используйте длинные смысловые фразы. Подобрать такой пароль сложнее, чем короткий набор символов, а запомнить намного проще;
-
Не забывайте периодически обновлять пароли. В идеале — каждые 3-6 месяцев. Если это невозможно, хотя бы раз в год;
-
Обязательно включайте двухфакторную аутентификацию во всех сервисах, которые это позволяют. В идеале для этого нужны два разных устройства. 2FA бесполезна, если для входа в интернет-банк в браузере на телефоне нужно ввести код из СМС, который придет на этот же телефон;
-
Не делитесь ни с кем логинами и паролями: это увеличивает риск компрометации и утечки данных.
Статья подготовлена по материалам блога ДокторВеб.