Чем авторизация отличается от аутентификации
Перейти к содержимому

Чем авторизация отличается от аутентификации

  • автор:

Авторизация и аутентификация: в чём разница

Авторизацию и аутентификацию легко спутать, но это разные вещи. Их нужно различать и понимать, как использовать, чтобы обезопасить свои данные или данные пользователей.

�� Аутентификация — это проверка, что вы действительно тот человек, за которого себя выдаёте.

Вот простой пример из жизни: представьте, что вам написал друг и попросил занять денег до понедельника. Чтобы убедиться, что это не мошенник, вы проводите аутентификацию — звоните приятелю. И если ваш друг подтвердит, что это ему нужны деньги, он пройдёт проверку.

�� Авторизация — это получение права доступа к чему-то. Например, ваш друг получит доступ к деньгам и потратит их.

Идентификация, аутентификация и авторизация в IT

На самом деле в цепочке проверки есть ещё один пункт — идентификация, то есть распознавание пользователя по его идентификатору. Она помогает понять, для какого субъекта будет выполняться проверка.

Допустим, вы хотите открыть свою страницу в соцсетях. Сначала вводите логин — система опознаёт, что вы пытаетесь войти под именем BossKeks. Это идентификация. Затем вам нужно доказать, что вы тот, за кого себя выдаёте. Для этого вы вводите пароль и нажимаете кнопку «Отправить». Выполняется аутентификация: ваши данные сверяются с паролем, который хранится на сервере. Если всё совпадёт, выполнится авторизация. Вы получите доступ к своему аккаунту и сможете отправлять сообщения, загружать фото или писать комментарии к постам.

�� Научитесь писать безопасный код и защищать сайт от атак на курсе «Протоколы и сети».

Дополнительные проверки при аутентификации

От способа аутентификации зависит, насколько защищены данные пользователей. Самый простой способ защиты — традиционная или однофакторная аутентификация, когда вы проходите одну проверку. Например, вы можете ввести пароль, чтобы попасть в личный кабинет в интернет-магазине. По биометрии, отпечатку пальца или Face ID вы разблокируете смартфон. Используя аппаратный ключ безопасности (ключ U2F), зайдёте в менеджер паролей или на другой сервис. А по разовому коду сможете войти в Телеграм, если не включите дополнительную защиту аккаунта.

У однофакторной аутентификации есть недостаток: злоумышленники могут взломать или украсть пароли, поэтому лучше использовать двухфакторную. Например, вы можете на Госуслугах после ввода пароля запрашивать код из смс. Двухфакторная аутентификация безопаснее — используйте её и в разработке, и при личном использовании веб-сайтов или приложений.

Итоги

Авторизация и аутентификация — два разных процесса. Аутентификация нужна, чтобы проверить право доступа к данным, авторизация — это когда вы получаете доступ.

Проверка всегда начинается с идентификации, за ней идёт аутентификация и в конце авторизация. Все эти этапы защищают ваши персональные данные и деньги. Поэтому подходите к проверке ответственно, чтобы данные не оказались в руках злоумышленников.

Материалы по теме

  • Как защитить приложение от хакеров
  • Основные протоколы передачи данных
  • Как работает HTTP

«Доктайп» — журнал о фронтенде. Читайте, слушайте и учитесь с нами.

Идентификация, Аутентификация, Авторизация. В чем же разница?

Думаю, что каждый тестировщик сталкивался с ситуацией, когда после тестирования одной из таких «форм» с логином и паролем приходилось заводить баг-репорт c использованием слова «Авторизация».

Но ведь задача тестировщика постараться максимально точно и грамотно обозначить проблему!

Возможно ли это? Конечно!

Именно поэтому в данной статье мы разберем такой процесс как «Авторизация», а также поговорим о таких очень близких понятиях как «Идентификация» и «Аутентификация». Разберем, как всё это взаимосвязано и постараемся сделать это максимально просто и доступно для того, чтобы у вас не осталось никаких вопросов после прочтения данной статьи!

Итак, для наглядности и лучшего понимания были подготовлены три экрана мобильного телефона c типичной формой логина в приложениях:

· первый экран (Screen 1) как наглядный пример процесса «Идентификации»;

· второй экран (Screen 2) как наглядный пример процесса «Аутентификации»;

· третий экран (Screen 3) как наглядный пример процесса «Авторизации».

Итак, Screen 1 — на первом экране идет распознавание пользователя по его уникальному идентификатору.

Цель идентификации – понять, кто “стучится в нашу систему”. Чаще всего для идентификации используются: имейл, имя пользователя, телефон…

Бывает возможность выбора. К примеру, залогиниться по имени пользователя или по номеру телефона. Важно то, что этот идентификатор будет являться уникальным значением. В Базе Данных это, вероятнее всего, будет столбец в таблице с уникальными данными (primary key). То есть в системе не может быть зарегистрировано два одинаковых идентификатора, два одинаковых номера телефона, два одинаковых имейла и так далее.

Например, при попытке зарегистрировать новый адрес электронной почты пользователь вводит свой идентификатор (логин), например: «Вася92», а система подсвечивает поле красным и сообщает, что такой пользователь уже зарегистрирован в системе, предлагая на выбор несколько других вариантов – именно это и будет пример идентификации.

Screen2 — процесс аутентификации, а именно проверки пользователя на его подлинность, что юзер у нас действительно является тем, кем он представляется системе, пытаясь в нее попасть.

Существует 3 фактора, которые напрямую задействуются в процессе аутентификации:

1. Знание

Например пароль, ПИН-код, секретное слово и так далее.

Главное, что эта информация известна конкретному пользователю.

2. Владение

Второй фактор – это владение, является ли пользователь (который “стучится в систему”) обладателем чего-то, к примеру – уникальных биометрических данных, присущих только ему.

Это очень хорошо распространено в телефонах, к примеру, когда девайс распознает владельца по отпечатку пальца.

3. Свойство

Пользователь имеет какой-то уникальный признак, и система его может аутентифицировать и пропустить дальше. К примеру: в случае использования мобильного банкинга или налогового приложения после его запуска система попросит у пользователя набор ключей. Пользователь использует флешку с электронными ключами, система распознает эти ключи, а затем выдает пользователю доступ к использованию системы.

Обратите внимание! Если доступ к системе предоставляется после введения логина и пароля, то это будет однофакторная аутентификация — самая простая.

Но если система говорит пользователю: «Окей, тебе известен пароль, но возможно ты его украл. Какими-то биометрическими данными ты еще обладаешь? Давай-ка ты, дружочек-пирожочек, покажи свое лицо и докажи системе повторно — что ты есть ты!”, в таком случае система проведет повторную аутентификацию и вот это уже будет наша многофакторная, а конкретнее двухфакторная аутентификация (ДФА, 2FA).

Screen 3 — это завершающий этап, когда:

· система проверила наш идентификатор;

· успешно прошел процесс аутентификации.

После чего следует наделение пользователя определенными правами. Возможно, система авторизовала нас как юзера с уже определенным набором возможностей и показывает нам информацию, который должен видеть обычный пользователь системы.

На 3-м экране мы видим определенные секции в нашем приложении. Представим, что мы можем кликнуть по ним и увидеть информацию, к примеру: кликнуть по иконкам и просмотреть, что там внутри, прокрутить страницу и так далее…

В данном случае мы зашли в систему как обычный пользователь, но ведь система могла авторизовать нас как администратора. Во втором случае система предоставила право, к примеру, на редактирование или удаление информации. С точки зрения тестирования у пользователя появляется просто огромное поле возможностей для проведения тестирования.

Это крайне важно с точки зрения безопасности – на сколько система правильно ведет себя на этапе идентификации, затем на этапе аутентификации и в итоге авторизации.

Тестировщик проверяет, все ли происходит в соответствии с требованиями, нет ли каких-то ошибок, потому что баги на этапах идентификации/аутентификации/авторизации могут быть критичны.

Таким образом, мы разобрали понятия идентификации, аутентификации и авторизации. Надеемся, если раньше у вас возникали какие-то трудности с этим, то теперь все стало более понятно.

Спасибо за внимание!

  • тестирование
  • тестирование веб-приложений
  • тестирование мобильных приложений
  • авторизация
  • идентификация
  • аутентификация
  • authentication
  • identification
  • authorization

Аутентификация, авторизация и идентификация

Идентификация (от латинского identifico — отождествлять): присвоение субъектам и объектам идентификатора и / или сравнение идентификатора с перечнем присвоенных идентификаторов. Например, представление человека по имени отчеству — это идентификация. Аутентификация (от греческого: αυθεντικός ; реальный или подлинный): подтверждение подлинности чего-либо или кого либо. Например, предъявление паспорта — это подтверждение подлинности заявленного имени отчества. Авторизация является функцией определения прав доступа к ресурсам и управления этим доступом. Авторизация — это не то же самое что идентификация и аутентификация: идентификация — это называние лицом себя системе; аутентификация — это установление соответствия лица названному им идентификатору; а авторизация — предоставление этому лицу возможностей в соответствие с положенными ему правами или проверка наличия прав при попытке выполнить какое-либо действие. Например, авторизацией являются лицензии на осуществление определённой деятельности.

Авторизация и аутентификация: что это такое и в чем разница

При использовании e-mail, определенными приложениями, мы сталкиваемся с такими процедурами, как аутентификация и авторизация. Совместная работа этих инструментов позволяет обеспечить защиту чувствительной для нас информации, например, личные данные, хранение, онлайн движение денежных средств в банкинге и т.д. Аутентификация направлена на проверку посетителя ресурса, устройства. Авторизация – отвечает за доступ или в его отказе при предоставлении привилегий, ориентируясь на результаты работы своего «партнера».

Часто значения этих терминов путают, но мы предлагаем раз и навсегда разобраться, чем отличается авторизация от аутентификации.

Что такое аутентификация

Понятие подразумевает процедуру использования определенного набора символов в качестве ключа, пин-кода. Это служит доказательством того, что пользователь, вводящий пароль, имеет право на вход в свой аккаунт, учетную запись и использование имеющейся там информации.

Типы аутентификации

В зависимости от степени предоставляемой безопасности, протоколы подразделяются на три типа:

  • Однофакторные – часто встречающийся вариант, который базируется только на введение одного пароля.
  • Двухфакторные – применяются в случаях, когда доступ запрашивается в систему, хранящую важную информацию, например, в онлайн-банк. При входе может быть запрошены не только пароль, но и код из электронного письма, СМС, биометрия.
  • Трехфакторные – используются при повышенной степени безопасности. Помимо ключа, повторного подтверждения личности в дело идут электронные ключи. Они хранятся на USB-накопителе и активируются для подтверждения права на вход.

Техники аутентификации

Проверка подлинности личности посредством пароля – популярный способ. Посетитель ресурса интернет-площадки вводит логин или e-mail, пароль. Ресурс сравнивает введенное с хранящимся на платформе хэшем. Далее, в зависимости от результата, вход разрешается или нет.

Проверка без использования ключа упрощает значительно жизнь. Вместо него применяются биометрика (например, отпечаток пальца), смарт-карты.

Что такое авторизация

С авторизацией (authorization) связано разрешение на определенные действия для того, кто успешно прошел проверку подлинности. Это значит, что появляется возможность отправлять/получать уведомления, ознакамливаться с содержанием веб-страниц, производить другие действия.

Еще одна функция данного протокола – предотвращать попытки внести в систему какие-либо изменения, которые могут отразиться на ее работе. Что разрешается сисадмину под его логином и паролем, то запрещено обыкновенному сотруднику (например, устанавливать новый софт).

Типы авторизации

Существуют 5 типов, которые отличаются выполняемыми функциями:

  • RBAC – предоставление доступа на основе ролей, например, управление привилегиями от посетителя/сотрудника компании к системе.
  • ABAC – обеспечивает вход, основываясь на таких атрибутах, как локальное местонахождение, название отдела, должности.
  • MAC – базируется на общих правилах системы, которые регулируют, кто и к каким ресурсам может иметь доступ.
  • DAC – дает приоритет в контроле доступа к ресурсам тем, кто ими управляет.
  • RBAC – происходит на базе правил, которые создаются сисадминами, лицами, имеющими на это право.

Аутентификация vs Авторизация

Хотя функции этих процессов на первый взгляд сходны, но существенная разница есть, так как они преследуют разные задачи. Аутентификация направлена на проверку реальности личности, авторизация определяет объем привилегий прошедшего проверку посетителя.

Различия между аутентификацией и авторизацией

Разница заключаются в том, что одна процедура устанавливает, можно ли доверять входящему, а вторая определяет, что ему разрешается делать на ресурсе. Понятия взаимосвязаны, но имеют весомые отличия. Вот некоторые:

Действия Аутентификация Авторизация
Подтверждение Мониторинг подлинности личности Определение полномочий
Запрос информация Ник (логин), пароль Привилегии, степень защиты
Изменения Выборочное изменение в личном кабинете, учетных записях Запрет на изменения предоставленных привилегий

Аутентификация vs Авторизация.

Изображение от storyset на Freepik.

Как аутентификация и авторизация работают вместе

Чтобы достичь конечного результата и начать пользоваться «благами» сайта, системы, необходимо пройти обе ступени допуска. Например, чтобы попасть в онлайн-банкинг и проделать там несколько действий, нужно ввести пароль, то есть аутентифицироваться. Если подлинность посетителя подтверждается, только тогда платформа начинает определять, какими полномочиями он владеет. Без первой процедуры вторая не запустится.

Важность правильной аутентификации и авторизации

Важное направление современности – безопасность данных. Именно здесь значимо применение таких инструментов, как аутентификация и авторизация, осознание разницы между ними. Они помогают противостоять киберугрозам, пресекают попытки нарушения конфиденциальности, вмешательства в работу бизнес-проекта.

Неадекватное использование протоколов могут привести к несанкционированному проникновению в систему лиц, которые могут нарушить работу ресурса, привести к потере, утечке информации.

Заключение

Мы рассмотрели 2 самых весомых понятия в области IT-безопасности. Но необходимо помнить, что существует много других инструментов для защиты конфиденциальности. Поэтому стратегия в этом направлении должна быть комплексной и профессиональной.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *