аутентификация что это такое простыми словами на телефоне
Что такое Аутентификация (Authentification): значение, типы, виды и примеры
Всем привет! Сегодня мы простыми словами поговорим про аутентификацию, авторизацию, и про то – как происходит проверка личности в сети. Аутентификация – процедура проверки подлинности, повсеместно встречающаяся в сфере информационных технологий.
Более подробно
Подлинность проверяется и на сайтах, путем сравнения добавленных в текстовое поле «Password» символов и букв с паролями, сохраненными в базе данных, и в сети – для проверки целостности файлов, документов и даже электронных писем. В масштабах современного мира без аутентификации невозможно представить и пары серьезных приложений. А потому важно разобраться, откуда взялась проверка подлинности и до каких вершин добралась в процессе развития.
Но перед стартом важно разобраться в «словах» и в том, что скрывается за «аутентификацией». И начать лучше с примеров, часто вызывающих путаницу:
А вот авторизация уже помогает определить, какие права доступа выданы субъекту, закончившему аутентификацию, и какие функции разблокируются после.
Давайте же разберемся – что же такое аутентификация? Эволюция – от простого к сложному:
HTTP Basic Authentication
Базовый и уже редко применяемый протокол аутентификации, основанный на передаче логина и пароля на конкретный сервер, привязанный к клиенту (приложениям, браузеру и сайтам) для проверки пользователей. Защищается передаваемая информация по стандарту Base64 (двоичная кодировка с помощью 64 символов ASCII), из-за чего и возникает риск столкнуться с утечками и опасностями (вроде атаки «Посредника»). При использовании незащищенных соединений передаваемые логины и пароли с легкостью перехватываются злоумышленниками на этапе передаче к серверу или уже к клиенту.
HTTP Digest Authentication
Альтернативный этап развития технологии аутентификации, связанный с добавлением к логинам и паролям дополнительного 128-битного алгоритма хэширования (генерируется специальный «отпечаток» произвольной длинны, а после – сверяется с данными, хранящимися на сервере). Из преимуществ – мошенникам сложнее подобрать конфиденциальную информацию, и все же уязвимостей достаточно для перехвата.
Forms Authentication
Промежуточная точка развития, исключающая вывод ошибок до аутентификации. У Digest и Basic при запросах на страницах защищенных ресурсов выводится стандартная ошибка о недостатке прав и возможностей, помечаемая – как 401 Unauthorized. При попытке заглянуть на недоступные страницы сайта пользователя перебросит на соседнюю страницу – где и начнется процесс проверки подлинности методом ввода логина и пароля.
В результате формируется специальный HTTP POST-запрос вместе с данными из заполненной веб-формы, и передается на серверное хранилище. Сгенерированные данные изучаются, а после – возвращаются обратно, но уже в форме идентификатора, который хранится в браузере пользователя вместе с «Cookies», и автоматически применяется на всех этапах взаимодействия с защищенным ресурсом.
Token Authentication
Отдельный этап проверки подлинности в сети, основанный на SSO – Single Sign-On, технологии, предусматривающей возможность переключения между ресурсами и приложениями без дополнительного запроса аутентифицироваться.
В Token Authentication «доказательства» (подтверждающие личность) передаются уже другому сервису-посреднику (Identity Provider), который и распределяет токены. Простейших примеров для описания процесса два: первый основан на входе в профиль через аккаунты в социальных сетях (Facebook, VK); а второй – на влиянии паспорта гражданина на остальные государственные службы. Вроде бы, документ выдали в полицейском отделении, но остальные структуры власти с подтверждением личности согласны и на дополнительную проверку уже не претендуют, и даже не пытаются сказать, – что какие-то формы недействительные.
OAuth2 & Open ID Connect.
Усовершенствованная модель аутентификации, добавляющая в цепочку к защищенным соединениям, токенам, сохраняемым в Cookies, и прочим мерам шифрования, еще и специальную поддержку в виде присутствия пользователя. Выдает токены в такой цепочке – «Open ID Connect Provider», предназначенный для проверки пользователей, дальнейшим управлением конфиденциальной информацией и выдачей соответствующего доступа (Access Token).
Причем клиенту – программе, браузеру или приложению, запрашиваемому токен – придется лишь единожды запросить у пользователя логин и пароль, в дальнейшем Cookies помогут переходить между смежными ресурсами без каких-либо дополнительных действий.
Видео
Аутентификация — это что такое: подробное разъяснение простыми словами
Привет! Сегодня поговорим о том, что такое аутентификация. Разберёмся, откуда мы узнали об этом термине.
А также разберём остальные тонкости, о которых мало говорят.
Как мы встречаем аутентификацию?
Конечно, в первую очередь с аутентификацией мы сталкиваемся при подключении к WiFi.
Увидеть это можно только на планшете или на телефоне. На компьютере просто высвечиваются другие надписи.
Но данная аутентификация – это лишь один из вариантов.
Например, если вы когда-то регистрировались на Youtube или на другом сайте с серьёзной защитой, то встречались с двухфакторной или двухэтапной аутентификацией.
Но её разберём чуть позже, когда разберёмся со стандартным значением термина.
Но не стоит думать, что если вы не встречаете этот термин, то вы никогда не сталкиваетесь с этим. Ведь любой заход на сайт связан с аутентификацией.
И в зависимости от успеха в этом процессе будет зависеть ваш допуск и доступ.
Поэтому получается, что с этим термином сталкивается каждый так или иначе.
Более того, с этим процессом мы сталкиваемся не только в интернете.
Но всё же чаще всего в современном мире мы встречаемся с таким термином при попытке зайти или зарегистрироваться на каком-то сайте.
Аутентификация – это что такое простыми словами?
Аутентификация – это процедура проверки подлинности.
Именно так система узнаёт, что в аккаунт заходит именно тот человек, которому профиль и принадлежит.
У этой процедуры есть множество различных категорий.
Но самая частая – проверка имени пользователя и пароля.
У сайта есть специальная таблица, которая содержит в себе имена пользователей и пароли.
Если вы правильно ввели всё из вышеперечисленного, система понимает, что именно вам аккаунт и принадлежит.
Простыми словами, это примерно то же самое, что вы можете встретить в Телеграмм и Инстаграм.
Но есть и более сложные варианты.
Например, сравнение пароля, логина и электронной почты. Это чуть более углублённая проверка, которая встречалась изначально очень редко.
Чаще используют электронную почту, чтобы отправить туда пароль.
При этом человек может выбрать один из двух вариантов, который ему удобнее.
Но давайте поговорим и о другой аутентификации, которая вообще никак не связана с интернетом.
Она доступна и на айфоне, и на андроид.
Это проверка отпечатков пальцев или сетчатки глаза. Это два самых частых биологических фактора.
Началось всё с банков, которые предлагали такую систему, а потом она перешла и на мобильные телефоны.
Какие ещё есть тонкости?
Самая известная – двухфакторная аутентификация.
В таком случае вы будете сначала проходить проверку логина и пароля, а потом ещё и получать код доступа на телефон или электронную почту. Как только вы его ведёте, вас допустят к аккаунту.
Самый известный пример – Youtube.
Нужна такая аутентификация на тот случай, если хакеры каким-то образом получат доступ к логину и паролю.
Конечно, случается это достаточно редко, поэтому и двухэтапная аутентификация скорее причиняет дискомфорт, ведь она отнимает лишнее время. Но с точки зрения безопасности она, действительно, нужна.
Ну и самое главное – аутентификация – это процесс, который в полной мере можно прочувствовать только в крупных компаниях.
Всё же интернет – это не то место, где пользователям нужна полноценная защита. На сайтах обычно ничего не своруешь.
А вот в банках и крупных компаниях хранится большое количество личных данных, которым нужна защита.
И там аутентификация включает в себя много необычных штук. Например, есть проверка голоса.
Конечно, это мы чаще всего видим в фильмах. Но на базовом уровне все сотрудники банков знают, что нельзя разглашать женские данные мужчине.
Поэтому в каком-то смысле и такая аутентификация нам знакома.
Хотя в банках из запоминающихся методов аутентификации относят кодовое слово. Что интересно, оно постепенно отмирает.
Просто появилось большое количество альтернативных способов. Да и само слово очень часто забывают. Поэтому оно никогда не было единственным вариантом.
Всегда можно было прийти в банк лично, чтобы получить всю необходимую информацию.
Что такое аутентификация и зачем она нужна? — смотреть видео
Заключение
Вот вы и узнали, что такое аутентификация.
Это обычная проверка на подлинность.
Но сейчас есть так много способов подтвердить свою личность, что назвать её обычной, язык не поворачивается.
Например, в последнее время всё популярнее стали биологические факторы. Это скан сетчатки глаза и отпечатков пальцев.
На телефонах стали устанавливать второе, так как дешевле и удобнее.
А ещё есть даже специальные системы, которые проверяют тембр голоса, но это уже внутренняя кухня организаций.
А самая популярная аутентификация – сравнение логина и пароля.
Иногда добавляют второй этап. И тогда нужно ввести ещё и мобильный телефон, чтобы получить код доступа.
А как вы относитесь к такой системе?
P.S. На нашем сайте вы можете получить бесплатно курсы по заработку в интернете. Находятся они на этой странице
P.S.S. Чтобы написать данную статью, было потрачено много сил и времени. И если она принесла пользу вам, то возможно она принесет пользу и вашим друзьям.
Для этого нажмите и поделитесь с друзьями в социальных сетях. А для нас это будет лучшей благодарностью и мотивацией на будущее!
А хотите первыми узнавать об обновлениях? Подписывайтесь на новости блога
Аутентификация в мобильных приложениях
История с предысторией
Идеальный телефон, как верный пёс, должен узнавать хозяина по запаху и охранять имущество от посторонних.
Собаки свой нюхательный аппарат развили за миллионы лет эволюции, а нашим технологиям всего ничего, поэтому телефоны пока неидеальны.
У людей с нюхом намного хуже, поэтому в их естественной среде обитания пришлось разрабатывать искусственные системы опознания, такие как подорожная грамота, условные жесты и конспиративные пароль и отзыв.
Когда же люди стали перекладывать часть своих задач на цифровые плечи, поначалу никакой программной аутентификации не существовало – запускать программный код мог любой желающий, получивший доступ в машинный зал. Но уже тогда этот самый доступ регулировался определёнными правилами, описанными, например, в уставе караульной службы и прочих регламентах с допусками.
Скоро этого стало не хватать. У первобытных программистов появились идентификаторы, затем логин с паролем – и вот перед нами классическая Basic Authentication протокола HTTP.
Логин и пароль
Логин позволяет опознать пользователя, то есть выполнить главную функцию аутентификации.
Пароль предотвращает от несанкционированного доступа, то есть решает главную задачу информационной безопасности.
Таким образом, эта пара выполняет главную собачью задачу, при этом не требует ни выгула, ни кормёжки.
Между прочим, в мобильных телефонах существует понятие PIN-кода. Похоже на пароль? Да. Это защитный механизм, решающий задачу безопасности, при этом прямо не связанный с аутентификацией.
Почему нельзя обойтись только логином? Теоретически можно, а практически очень неудобно. Логин фигурирует в формах запросов и отчётах, его иногда приходится сообщать в службу поддержки. Сделав логин трудным для подбора и скрытым от окружающих, мы уподобим его паролю. А чтобы как-то отображать публичную информацию по нашей учётной записи, придётся добавить новое поле – скажем, ник, – что сделает всё затею не заслуживающей усилий.
Так что сегодня это наиболее привычная схема. Можно даже сказать, что всякий человек, связанный с компьютерами, имеет хотя бы один логин и пароль.
Программисты так много раз реализовывали этот подход, что практически каждая среда разработки содержит специальный тип элемента управления – поле ввода пароля, где символы заменяются звёздочками, скрывая сам пароль от посторонних глаз.
Можно было бы добавить, что всё здесь хорошо и ничего менять не надо, но – нет.
Шифрование
С появлением вычислительных сетей выяснилось, что пароль в открытом виде передавать опасно, так как его по дороге может перехватить злоумышленник. Логичным решением было внедрить шифрование пароля. Так появились Digest Authentication и NTLM. Пользователь вводит всё те же данные, но «по проводам» они передаются в закодированном виде. Расшифровать или взломать их, в принципе, специалисты могут, однако это всё равно надёжнее отправки пароля открытым текстом.
Интересующихся защищёнными каналами связи мы отсылаем к изучению протокола HTTPS, SSL и TLS, а сами движемся дальше, к постижению мобильного дао.
Single-Sign-On
Другим неприятным аспектом всеохватного запароливания оказалось, что не очень-то удобно держать в голове больше одной-двух пар логина и пароля, вводить их всякий раз при входе в программу, особенно если этих программ больше одной. Результатом решения проблемы стали аутентификация oAuth и принцип SSO, то есть Single-Sign-On (войти один раз).
Идея oAuth проста. Вместо того чтобы каждый раз требовать у пользователя его логин и пароль, лучше сделать это один раз, на основании полученных сведений получить так называемый токен у доверенного сервера и далее проводить операции уже с этим токеном. Это особенно удобно в контексте обмена данными между мобильным или web приложением и удалённым сервером, где аутентифицирующие сведения (credentials) необходимо передавать с каждым запросом.
SSO решает немного другую задачу.
В рамках web все приложения, использующие один и тот же доверенный сервер для oAuth-аутентификации (например, сайты с Гугль-аккаунтом), автоматически разделяют между собой сведения пользователя (credentials). То есть, введя логин и пароль в одном приложении, в другое пользователь заходит уже опознанным.
Для мобильных приложений данный подход тоже работает, но с оговорками, и требует от разработчиков дополнительных усилий.
Сведения пользователя нужно сохранять на устройстве, чтобы их можно было вычитать при последующем запуске приложения, а также чтобы другие приложения, которым это нужно (и которые имеют право доступа к этим сведениям) могли ими воспользоваться для автоматической аутентификации.
Где хранятся пароли
У читателя, который не просто скользит взглядом по тексту и смог пробиться через предыдущий абзац, должен возникнуть вопрос: а что же это за место такое, где можно безопасно хранить такие чувствительные данные о пользователе, как логин и пароль? Это место специальное, в зависимости от платформы и технологии называемое по-разному, но чаще всего – KeyChain (iOS, Android). Данные здесь шифруются, доступ к ним ограничен – в общем, это самое безопасное место на устройстве, защищённость которого гарантируется на уровне операционной системы.
Где пароли нельзя хранить
Довести офицера Secure Service до истерики можно хранением пароля в базе данных. Плохой идеей также будет отправлять логины с паролями куда-нибудь в системный лог. Замечание средней недопустимости можно получить за временное хранение пароля в публичных переменных – хорошим тоном считается вычитка сведений о пользователе из KeyChain по мере необходимости, без хранения их где-либо ещё.
TouchID/Fingerprints
Широко известно, что человек обладает уникальными отпечатками пальцев. Кроме того, уникальными являются отпечатки носов и ушей, причём если пальцы – атрибут в основном сугубо человеческий, то носы есть и у домашних животных. На практике опознавание по отпечаткам носов используется для идентификации кошек, собак и коров.
Когда-нибудь, возможно, мы научим наши телефоны опознавать хозяина, просто взяв его в руку, но пока что технология сосредоточилась на дактилоскопии, закрепившейся в криминалистической практике ещё сто лет назад (то, что это очень удобно и для АНБ, мы оставим за рамками статьи).
Кроме того, что многие телефончики оснащены сканерами отпечатков пальцев и уже упоминавшимся PIN-кодом, ряд из них дополняется графическим ключом – то есть можно задать вместо цифровой комбинации некий кодовый рисунок, соединяя точки на экране в той или иной последовательности.
Face ID
Последнее новшество от Apple – аутентификация посредством распознавания лица. Если для отпечатков пальцев достаточно теоретически несложной алгоритмической обработки, то для распознавания лиц прибегают к идеям Розенблатта и строят нейросеть.
Конечно же, мощности нейросети в iPhone недостаточно для игры в шахматы или го, но со своей задачей она справляется. Телефон теперь может опознать своего хозяина визуально.
Эти последние новшества, как нетрудно представить, бесконечно радуют корпоративных офицеров безопасности и настолько же бесконечно раздражают конечных пользователей. Здесь, на передовом технологическом крае, сходятся щит и меч, добро и зло, и лёд, и пламя. Здесь куётся MFA.
Multifactor authentication
Мы не знаем, в чью именно голову пришла эта светлая мысль, но теперь, когда она воплотилась в цифровой вселенной, нам приходится сначала вводить логин и пароль, а затем подтверждать нашу личность ещё и посредством пин-кода.
Идея заключается в том, что подделать один канал аутентификации проще, чем два. Побочным эффектом является то, что сегодня в типичную корпоративную сеть без телефона войти не удастся: ведь на него приходит пин-код, который нужно ввести для подтверждения своей личности.
Применение данной технологии для мобильных приложений выглядит немного спорным, но вполне возможным.
Блокчейн и китайские куры
После того, как биткоин и прочие криптовалюты произвели ажиотажный общественный резонанс, было бы странно, если бы лежащий в основе трансакций этих валют блокчейн не привлёк внимание разработчиков систем безопасности.
Как же можно задействовать цепочку блоков для аутентификации? Очень просто.
Применительно к человеку, сама по себе технология блокчейн уже сегодня работает в Эстонии как платформа для электронного гражданства; есть подобные попытки в Бразилии и Финляндии. А японская Sony скрестила MFA и блокчейн (U.S. patent 2017/0310653 A1*). Так что теперь, когда в очередной раз вы где-нибудь введёте код подтверждения из SMS-ки, вполне вероятно, что эта ваша активность будет сохранена навечно (в рамках существования нашей цифровой вселенной).
Что же касается других применений, то известно, что в Китае придумали посредством блокчейн отслеживать, что случалось в жизни кур, попадающих на стол особых ценителей высокой кухни.
Проектировщики будущего! Пожалуйста, постарайтесь, чтобы наши гаджеты узнавали своих хозяев не хуже собаки, при этом, по возможности, обходясь без собачьего корма, и чтобы их не нужно было слишком часто выгуливать.
Автор этих строк также выражает надежду на то, что его телефон лет через десять не удастся приманить и облапошить аппетитно пахнущей сосиской.
Двухфакторная аутентификация: что это и зачем оно нужно?
Мы решили посвятить двухфакторной аутентификации отдельную статью и рассказать о том, что это такое, как она работает и почему ее стоит использовать.
Двухфакторная аутентификация — тема, которой мы так или иначе касаемся во многих наших постах. В прошлом году мы даже записали на эту тему целый подкаст. Однако ввиду возрастающего количества разных сервисов и все чаще случающихся атак на пользовательские аккаунты (как, например, перехваты контроля над учетными записями iCloud) мы решили посвятить этому виду аутентификации отдельную статью и рассказать о том, что это такое, как она работает и почему ее стоит использовать везде, где это возможно.
Что такое двухфакторная аутентификация?
Двухфакторная аутентификация — это метод идентификации пользователя в каком-либо сервисе (как правило, в Интернете) при помощи запроса аутентификационных данных двух разных типов, что обеспечивает двухслойную, а значит, более эффективную защиту аккаунта от несанкционированного проникновения. На практике это обычно выглядит так: первый рубеж — это логин и пароль, второй — специальный код, приходящий по SMS или электронной почте. Реже второй «слой» защиты запрашивает специальный USB-ключ или биометрические данные пользователя. В общем, суть подхода очень проста: чтобы куда-то попасть, нужно дважды подтвердить тот факт, что вы — это вы, причем при помощи двух «ключей», одним из которых вы владеете, а другой держите в памяти.
Впрочем, двухфакторная защита не панацея от угона аккаунта, но достаточно надежный барьер, серьезно усложняющий злоумышленникам доступ к чужим данным и в какой-то степени нивелирующий недостатки классической парольной защиты. Ведь у паролей, на которых основано подавляющее большинство авторизационных механизмов в Интернете, есть неизбежные недостатки, которые фактически являются продолжением достоинств: короткие и простые пароли легко запомнить, но так же легко подобрать, а длинные и сложные трудно взломать, но и запомнить непросто. По этой причине многие люди используют довольно тривиальные пароли, причем сразу во многих местах. Второй фактор в подобных случаях оказывается крайне полезен, поскольку, даже если пароль был скомпрометирован, злоумышленнику придется или раздобыть мобильник жертвы, или угнать ее почтовый ящик.
Несмотря на многочисленные попытки современного человечества заменить пароли чем-то поинтереснее, полностью избавиться от этой привычной всем парадигмы оказалось не так просто, так что двухфакторную аутентификацию можно считать одним из самых надежных механизмов защиты на сегодняшний день. Кстати, этот метод удобен еще и тем, что способен предупреждать хозяина аккаунта о попытке взлома: если на ваш телефон или почту вдруг приходит сообщение с одноразовым кодом при том, что вы никаких попыток логина не предпринимали, значит, вас пытаются взломать — самое время менять оказавшийся ненадежным пароль!
Где можно включить двухфакторную аутентификацию?
Ответом на этот вопрос может служить простое правило: если используемый вами сервис содержит важные для вас данные и позволяет включить двухфакторную аутентификацию, активируйте ее не раздумывая! Вот, скажем, какой-нибудь Pinterest. Ну, не знаю… Если бы у меня был аккаунт в этом сервисе, я бы вряд ли захотел каждый раз проходить долгую процедуру двухслойной авторизации. А вот интернет-банкинг, аккаунты в соцсетях, учетка в iCloud, почтовые ящики и особенно ваши служебные учетные записи — все это однозначно стоит защитить двухфакторной аутентификацией. Сервисы Google, Apple и все основные социальные сети позволяют это сделать в настройках без особого труда.
Двухфакторная аутентификация — один из лучших методов защиты ваших аккаунтов #security
К слову, если у вас есть свой сайт, скажем, на базе WordPress или другой подобной платформе, включить в настройках двухфакторную защиту тоже не будет лишним. В общем, повторюсь: если аккаунт и его содержимое вам дороги, не игнорируйте возможность усилить защиту.
Какие еще существуют виды двухфакторной аутентификации?
Выше я уже упомянул рассылку специального кода в виде SMS и email-сообщений и USB-ключи и смарт-карты, используемые преимущественно для доступа к некоторым видам интернет-ресурсов и VPN-сетям. Кроме того, существуют еще генераторы кодов (в виде брелока с кнопкой и небольшим экранчиком), технология SecureID и некоторые другие специфические методы, характерные в основном для корпоративного сектора. Есть и менее современные интерпретации: например, так называемые TAN-пароли (TAN, Transaction Authentication Number — аутентификационный номер транзакции). Возможно, вы даже сталкивались с ними, если были клиентом какого-нибудь не самого прогрессивного банка: при подключении интернет-банкинга клиенту выдавалась бумажка с заранее сформированным списком одноразовых паролей, которые вводятся один за другим при каждом входе в систему и/или совершении транзакции. Кстати, ваша банковская карта и PIN тоже формируют систему двухфакторной аутентификации: карточка — «ключ», которым вы владеете, а PIN-код к ней — «ключ», который вы запоминаете.
Как я уже упомянул выше, существует и биометрический способ идентификации пользователя, который часто выступает в роли вторичного фактора защиты: одни системы подразумевают сканирование отпечатка пальца, другие определяют человека по глазам, есть даже те, которые ориентируются по «рисунку» сердцебиения. Но пока это все довольно экзотические методы, хотя и куда более популярные, чем, скажем, электромагнитные татуировки, которые по примеру радиочипов могут служить вторичным фактором аутентификации пользователя. Я бы от такой не отказался 🙂