Разбираемся, что означают термины «идентификация», «аутентификация» и «авторизация» — и чем эти процедуры отличаются одна от другой.
1. Идентификация: «Стой! Кто идет?»
Когда посетитель приходит в офис компании «Доктор Веб», он представляется охраннику на входе. Таким образом человек идентифицирует себя — сообщает, кто он такой. Охраннику неважно, зачем он пришел — работать, забрать посылку или на встречу. Он должен просто проверить, что этот человек находится в списке допущенных к проходу.
Абсолютно так же сначала вы должны представиться, если, например, хотите войти в свой аккаунт в какой-либо системе: онлайн-банкинге, электронной почте или социальной сети. Система запрашивает идентификатор (логин), вы его вводите, и она распознает его как существующий. Это и есть идентификация: проверка того, что указанный пользователь/логин/email существует.
Система знает ограниченный набор идентификаторов. Если вы ввели любую последовательность символов, и она нашла в своей базе запись о пользователе с таким логином, то идентификация завершилась. Это значит, что первый шаг для доступа к информационному ресурсу (почте, аккаунту в социальной сети и т. п.) сделан.
2. Аутентификация: «Предъявите пропуск»
Теперь вам нужно ввести пароль, чтобы доказать, что вы не выдаете себя за другого человека. Когда система удостоверится, что тот, кто знает логин, знает еще и пароль, она согласится с тем, что он — настоящий владелец аккаунта. Это аутентификация: проверка того, соответствует ли пароль пользователю.
Помните человека, который хочет попасть в наш офис? Предположим, охранник нашел его в списке (идентифицировал). Затем он должен проверить документы посетителя, чтобы его аутентифицировать.
Чтобы злоумышленники, которые подсмотрели или подобрали пароль к вашему аккаунту, не смогли в него попасть, система может подстраховаться и дополнительно спросить то, что известно только вам: например, одноразовый СМС-код для подтверждения входа. Если вы правильно введете его, система окончательно убедится, что вы — тот, за кого себя выдаете. Это двухфакторная аутентификация (2FA — 2-factor authentication).
Для серьезных сервисов двухфакторная авторизация обязательна. Обычно это некий токен (одноразовый код с ограниченным временем действия), который отправляется на мобильный телефон пользователя через СМС. Но необязательно. Бывают и другие варианты 2FA — в виде USB-флешек, bluetooth-девайсов, биометрических сканеров и т. п. Даже если злоумышленник получит ваш логин и пароль (с помощью вредоносной программы, кражи записной книжки с паролями или методами социальной инженерии и фишинга), без этого токена он не сможет войти в аккаунт.
3. Авторизация: «Проход разрешен»
После аутентификации система разрешит вам читать письма в вашем почтовом ящике. А пропущенного охранником посетителя примут секретари. Если он пришел устраиваться на работу, они пригласят эйчара, если забрать посылку — отдадут посылку, если на встречу — проводят в переговорную и т. д. Это авторизация: предоставление пользователю прав доступа к определенным ресурсам.
Авторизация не просто дает вам возможность зайти в систему, но и разрешает совершать там определенные операции: читать документы, отправлять письма, изменять данные — под тем самым идентификатором, который вы предъявили в самом начале.
Мы рекомендуем:
- Используйте надежные и уникальные пароли. Они должны состоять из 8 или более символов, содержать цифры, буквы верхнего и нижнего регистров и специальные символы (!, @, #, $ и т.д.). Если для создания пароля доступны только буквы и цифры без специальных знаков, лучше увеличить его длину, чтобы хоть как-то компенсировать это ограничение и усилить безопасность.
- Вопрос о безопасности менеджеров паролей, которые сами генерируют пароли, а потом хранят их и автоматически вводят при аутентификации, достоин отдельного обсуждения. Если коротко: мы в «Доктор Веб» исходим из того, что лучший менеджер паролей — это наш мозг.
- Если держать в голове сложные пароли, состоящие из символов, слишком сложно, можно использовать длинные смысловые фразы. Подобрать такой пароль сложнее, чем короткий набор символов, а запомнить — намного проще.
- Не забывайте периодически обновлять пароли. В идеале — каждые 3-6 месяцев. Если это невозможно, хотя бы раз в год.
- Обязательно включайте двухфакторную аутентификацию во всех сервисах, которые это позволяют. В идеале для этого нужны два разных устройства. 2FA бесполезна, если для входа в интернет-банк в браузере на телефоне нужно ввести код из СМС, который придет на этот же телефон.
- Не делитесь ни с кем логинами и паролями: это увеличивает риск компрометации и утечки данных.
Ну как, понятно, в чем разница между аутентификацией, идентификацией и авторизацией? Если остались вопросы, можно задавать их в комментариях.