Комментарии
Рассказываем, чем отличается авторизация от аутентификации и какие есть варианты идентифицировать пользователя на сайте, кроме банального логин-пароля
Авторизация и аутентификация: обзор решений
Сибирикс

Авторизация и аутентификация: обзор решений

Рассказываем, чем отличается авторизация от аутентификации и какие есть варианты идентифицировать пользователя на сайте, кроме банального логина-пароля
Пока мы изучали варианты авторизаций по звонку, стало ясно: тема авторизаций не раскрыта. Поэтому исправляемся — в этом материале посмотрим, какие ещё бывают нестандартные способы авторизоваться и аутентифицировать юзеров, и когда уже наступит мир будущего с царством биометрии без надоедливых паролей (спойлер: возможно, никогда).

Авторизация и аутентификация: ху из ху

Специалисты по кибербезопасности признают: большинство людей часто путают эти понятия (причём, путают их даже те, кто работает в этой сфере). Хотя на самом деле всё проще простого: это два этапа одного процесса — идентификации пользователя:

Авторизация — процесс предоставления доступа. Когда вы входите в любимую соцсеть, в личный кабинет или любой другой защищенный ресурс, вам нужен логин и пароль, чтобы вас распознали как «своего» и дали доступ к информации.

Аутентификация — часть процесса авторизации, суть которого — проверить личность пользователя. Поскольку логин-пароль украсть не так уж сложно, многие сервисы используют двухфакторную аутентификацию: с помощью sms, звонков и прочих механик, потому что так надежнее. Даже если логин с паролем украдут, второй фактор для аутентификации узнать будет уже не так просто.

Но двухфакторную аутентификацию по sms давно критикуют: в лаборатории Касперского о небезопасности одноразовых паролей в смсках писали ещё в 2018-м. Основная их проблема — доступность для злоумышленников. Тут и трояны в смартфонах им в помощь, и перехват сообщений, и даже простая наблюдательность (она же — подглядывание). Для бизнеса коды в sms, как мы выяснили, тоже не манна небесная — это дорого. Поэтому-то на рынке всё больше нестандартных решений.

Аутентификация: если не sms, то что?

Одноразовые пароли можно присылать не только в sms: мы уже рассказывали, что этот канал успешно заменяется мессенджерами, соцсетями или входящим/исходящим телефонным звонком.

Среди других альтернатив:

Токен или смарт-карта
Это может быть флешка или другой носитель — тогда аутентификация предполагает наличие считывающего устройства. Всё, как в шпионских фильмах: есть компьютер, есть флешка — соединяешь вместе, получаешь доступ к супер-секретной информации. Одно из самых популярных решений на рынке — ключи Yubikey.
Правда, цена у такого ключа нескромная
Если вы хотите обезопасить электронный документооборот, или вашим сотрудникам часто приходится работать с налоговой инспекцией или системами вроде СБИС, не обойтись без электронной подписи. Она работает аналогично физическому токену на флешке. Оформляется в ближайшем к вам удостоверяющем центре, подробнее о процессе есть вот тут.

В виртуальном исполнении это выглядит как установленный сертификат на сайте или в онлайн-сервисе - чтобы получить к нему доступ, пользователю придётся ввести PIN-код.


Биометрия
И снова вспоминаем шпионские боевики из Голливуда:) Для биометрической аутентификации может использоваться отпечаток пальца или сканирование сетчатки/лица полностью. Такая технология уже давно будоражит умы фантастов, но и в сегодняшнем мире уже применяется: взять хотя бы Touch ID и Face ID на iPhone.

В некоторых компаниях с помощью биометрической аутентификации решают проблему утечки данных среди сотрудников (и полностью заменяют ей аутентификацию по логину-паролю). Такие решения особенно пользуются спросом в банках, телекоммуникациях, энергетике, транспорте, государственных и учебных заведениях. Если вам интересно узнать подробности, вот ребята, которые такую технологию могут внедрить. А вот у этих биометрическая система уже интегрирована с 1С.

И хотя биометрия уже частично используется в бизнесе, с ней не всё так просто.

Если вы захотите прикрутить такую механику на сайте (скажем, в интернет-магазине), готовьте вагончик-другой памяти для базы данных на бэкенде. Стандартная связка логин-пароль включает каких-то 30-60 текстовых символов, которые занимают совсем немного места. Отпечатки пальцев или сканы лица - полноценные изображения в хорошем качестве. А это уже мегабайты и гигабайты данных на каждого конкретного пользователя. Среднее число юзеров больше 1000 в сутки? Стелите соломку, сервер будет регулярно падать.

Другая проблема биометрии - изменчивость вводимых данных. Сканы одного и того же пальца или лица пользователя всегда будут хоть капельку, но отличаться: всему виной недостаточное нажатие, движения во время сканирования и прочие человеческие факторы. Это затрудняет процесс идентификации юзеров. Как затрудняет его и то, что люди бывают похожи между собой.

Ещё одна опасность: если вдруг кто-то как-то сможет украсть ваши биометрические данные, то биометрический пароль просто так вам уже не поменять. Но одно радует - такое бывает только в кино (по крайней мере, пока).
Сбербанк уже активно внедряет технологию распознавания по лицу: если разрешить эту опцию в приложении, в магазинах-партнёрах с специальными терминалами можно расплачиваться за покупки, даже не доставая банковскую карту — достаточно посмотреть в камеру.
Несмотря на описанные выше сложности, мировой рынок оборудования (считыватели, контроллеры, сканеры, камеры и т. п.) и ПО для биометрии сейчас на подъёме. А к 2027 году ожидается, что расходы на такие продукты достигнут $ 17,28 млрд.
Кстати, аутентификация по голосу тоже относится к биометрической. Но в её надёжности эксперты сомневаются: уже сейчас можно подделать чей угодно голос почти со 100%-ной узнаваемостью.


Приложение
Вы устанавливаете на смартфон приложение для двухфакторной аутентификации, а в настройках безопасности нужного вам сервиса разрешаете использовать это приложение для получения доступа. Сервис показывает QR-код, который вы сканируете приложением. Вуаля, доступ есть!
Как работает аутентификация через приложение-аутентификатор (источник)
Самое популярное приложение для двухфакторной аутентификации — Google Authenticator, поскольку оно считается самым простым и понятным. Как его альтернатива — решения Microsoft Authenticator, «Яндекс.Ключ» или DuoMobile.

Авторизация: если не логин-пароль, то что?

Самый частый сценарий замены ввода логина и пароля — использовать стороннего поставщика. Это та самая быстрая авторизация с помощью Google, Facebook, ВКонтакте, Instagram и прочих экосистем. Удобна пользователю тем, что не нужно вспоминать пароль каждый раз (достаточно быть авторизованным внутри этого сервиса). Ещё один плюс такой механики — если такой способ авторизации висит у вас на сайте, вам не придётся думать о безопасности пользовательских данных или о проверке адресов почты — сервисы уже сделали это за вас.
Летом 2019 Apple представила новый функционал — Sign in with Apple. Это аналог быстрой авторизации, но со своими фишечками. Во-первых, при таком способе авторизоваться сайты и сервисы получат лишь ту информацию, что вы разрешите. Во-вторых, если вы не хотите давать сайту или сервису свою почту или логин, можно создать «одноразовую» почту, которая будет храниться в Apple ID — туда будут сыпаться все рассылки и возможный спам.

Сбербанк не отстаёт: в ноябре 2019-го он запустил единую систему авторизации для совместных с Mail.ru и Rambler Group сервисов — Сбер ID. Для каждого пользователя приложения Сбербанка идентификатор формируется автоматически.

Принцип авторизации по Сбер ID такой же, как с Гуглом или соцсетями: идентификатора от Сбера будет достаточно, чтобы получить доступ ко всем сервисам экосистемы Сбербанка. Туда входят «СберМобайл», «СберЛогистика», маркетплейс «Беру!», онлайн-кинотеатр Okko, агрегатор доставки Delivery Club, агрегатор такси «Ситимобил». Список партнёров постоянно растёт.

Авторизоваться можно через Сбербанк Онлайн с помощью QR-кода, а также через пуш-уведомление, стандартный логин-пароль от Сбербанк Онлайн или с помощью считывания биометрии (в этом случае также понадобится код из смс). С 10 ноября 2020 авторизоваться в Сбер ID также можно по номеру телефона (потому что так пользователям всё-таки привычнее).

Для бизнеса Сбер ID обещает не просто сервис авторизации, но ещё и знания о клиентах. Правда, какие именно, — сервис умалчивает. Чтобы подключить авторизацию с помощью сберовского идентификатора, понадобится подписать договор с банком и прикрутить к сайту одно из готовых интеграционных решений (если у вас сайт на 1С Битрикс или Opencart, вы сможете обойтись даже без кодера). Для приложений есть SDK.

Также вы можете предложить своим пользователям авторизацию через госуслуги (ЕСИА — единую систему идентификации и аутентификации), если у ваш бизнес принадлежит к одной из этих категорий:

  • медицинские учреждения;
  • банки и микрофинансовые организации;
  • страховые компании;
  • лицензированные брокеры, дилеры, финансовые управляющие и другие лица, профессионально работающие с финансовыми инструментами;
  • негосударственные пенсионные фонды;
  • операторы связи.
С ЕСИА идея такая же, как и с авторизацией через любой другой ресурс, — сайт перенаправляет посетителя на форму авторизации портала госуслуг, где нужно ввести логин и пароль. Авторизация с помощью ЕСИА считается особенно надежной, поскольку здесь используется продуманная криптографическая защита.

Чтобы подключить авторизацию через ЕСИА, сначала нужно зарегистрировать организацию и сам ресурс в ЕСИА. Затем нужно будет сгенерировать закрытый ключ и сертификат открытого ключа, зарегистрировать его в технологическом портале и получить доступ к тестовой среде. Если во время тестирования всё пройдёт хорошо, можно запускать авторизацию в работу на реальном сайте.
В маркетплейсе 1С Битрикс есть готовый модуль для авторизации с помощью госуслуг.

Как лучше идентифицировать пользователя?

  • Если вдруг у вас брокерская контора или медицинский центр — можете прикрутить авторизацию через госуслуги.
  • Если вам нравятся сервисы от Сбербанка и вы хотите идти вместе с ним в бизнесе — попробуйте Cбер ID, сервис наверняка ещё предложит что-нибудь новенькое и полезное впоследствии.
  • Если у вас компания со сверхсекретными разработками, можете раскошелиться на биометрию или хотя бы на физические токены, чтобы никто из сотрудников ничего никому не разболтал и не передал.
  • Если безопасность вас беспокоит, но вы хотите обойтись малой кровью — тогда велкам в приложения для двухфакторной аутентификации.
  • Если ни один из пунктов выше не про вас — не выдумывайте велосипед, юзеры давно привыкли к логинам и паролям и авторизациям с помощью одноразовых кодов на смартфон. А если хотите предложить им более современный способ аутентификации, чем одноразовые коды в смс, попробуйте авторизацию по звонку — работает ничуть не хуже, и для бизнеса выгоднее.