Что такое аутентификация?

Если на веб-ресурсе есть учетные записи клиентов, пользователей (а они, как правило, есть), то применяется обычно аутентификация (идентификация) пользователя.

Такая аутентификация может быть однофакторная или многофакторная (как правило, двухфакторная). Однофакторная аутентификация требует лишь однократной идентификации личности, а, например, двухфакторная – два раза, например, парольная информация и дополнительная к ней информация – биометрическая, текстовая, цифровая и т.д. Опцию устанавливают в настройках аккаунта.

аутентификация

Но бывает и аутентификация другого типа – когда невозможно осуществить идентификацию: забыт или утерян пароль, непредвиденная ситуация привела к потере доступа к аккаунту (например, банальная невнимательность и ошибка) и т.д.

В этих случая используют так называемую вторичную аутентификацию. Она помогает вернуть доступ к утерянным учетным данным.

Обычная аутентификация на сайте осуществляется:

  • заполнением стандартной диалоговой формы входа (например, заполнением полей «логин», «e-mail», «пароль»);
  • из папки «Мои сайты», веб-топа (например, для админов первая «логинирование» – из папки «Мои Сайты», а затем из веб-топа);
  • через «Панель Управления» (например, если на сайте отключен модуль «Пользователи», т.е. исчезла стандартная форма для входа).

Используются различные средства и механизмы вторичной аутентификации: пересылка ключа доступа по e-mail или SMS, ответ на контрольный вопрос, попытка восстановления по старому паролю, подтверждение личности третьими лицами.

аутентификация sms

Взламывают не только более сложные механизмы первичной аутентификации, но и системы вторичной аутентификации. В последнее время – часто, так как при этом аккаунт может стать незащищенным.

Как решают проблемы аутентификации?

Рассмотрим несколько часто встречающихся проблем.

Проблема 1. Забыт пароль администратора (пароль «Панели управления») ресурса.

Решение. Для того, чтобы вам напомнили пароль от сайта необходимо зайти на ресурс http://www.unet.com/remind и выполнить процедуру его восстановления, для чего нужно помнить ответ на контрольный вопрос. Если вы выполните процедуру корректно, то получите пароль (при доступе uNet). Аналоги напоминания пароля существуют и на самих сайтах, например, клик на «Забыл пароль» приводит к всплыванию окна для ввода e-mail аккаунта и ответа на секретный вопрос или (на сайтах с локальной только авторизацией) – окно для логина аккаунта для восстановления лишь пользовательского аккаунта.

Проблема 2. Введены правильные логин и пароль, страница перезагрузилась и все (ничего дальше не происходит).

Решение. Возможно, что не исполняется java-скрипт в вашем браузере или некорректно работает cookies. Проверить коды на сайте.

Проблема 3. Вводятся логин и пароль (корректно), но ничего не происходит, авторизация «зациклилась».

Решение. Можно попытаться очистить кэш (Ctrl+F5). После очистки кэша – повторно авторизоваться. Если и после этого есть проблемы – проверить код, возможно, не исполняется java-скрипт в браузере.

Проблема 4. При вводе (корректном) логина и пароля, авторизации не происходит, выдается «Неправильный логин/пароль».

Решение. Очистить кэш и файлы cookies, затем выполнить процедуру напоминания пароля. Если файлы cookies принимаются, то сделать «откат» на предыдущую страницу.

Файлы cookies можно очистить последовательностью действий:

  • Internet Explorer (выбор в меню «Сервис» – выбор «Свойства обозревателя» – выбор «История просмотра» – выбор «Удалить» – выбор закладки «Удалить файлы Cookies»);
  • Mozilla FireFox (выбор «Инструменты» – выбор «Настройки» – выбор «Приватность» – выбор «Показать Cookies» - «Удалить»);
  • Opera (выбор «Инструменты» – выбор «Настройки» – выбор «Дополнительно» – выбор «Cookies» – выбор «Управление Cookies» - «Удалить»).

Есть и другие последовательности действий.

Отличительные стороны вторичной аутентификации

Задачи вторичной аутентификации и методы их решения – другие, чем для первичной аутентификации, так как у нее:

  • нет необходимости запоминать и долго осваивать сложные коды;
  • проблема аутентификации возникает, как правило, из-за проблем, возникших при первичной аутентификации (у пользователя или владельца ресурса);
  • частота использования меньше, чем у первичной;
  • неудача при аутентификации ведет к потере аккаунта (доступа).

При решении задач вторичной аутентификации следует учитывать как поведение «защиты», так и «нападения».

Важные качества механизмов вторичной аутентификации

Несмотря на схожесть общих целей с первичной аутентификацией, вторичная аутентификация аккаунта имеет особенности, например, следующие:

  • защита от «троянских» методов аутентификации (аутентификации «под владельца»);
  • рациональность, выгодность (возможность эффективного осуществления аутентификации с небольшими затратами материальных, энергетических, информационных, организационных, временных и людских ресурсов);
  • адаптивность (перенастраиваемость под другие платформы и среды);
  • минимум конфиденциальных данных, достаточных для аутентификации.

Все используемые на практике процедуры и способы вторичной аутентификации относимы к какому-то одному из двух классов: понятийная (на знаниях) или аутсорсинговая (делегируемая специализированной системе информационной безопасности).

Виды аутентификации

Понятийная аутентификация

Понятийная аутентификация достаточно непритязательная, не затратная. К таким методам относятся:

  • использование контрольного (секретного) вопроса, например, «Фамилия Вашей матери в девичестве?»;
  • распечатанный набор ключей выбираемых системой аутентификации случайным образом (по номерам);
  • ранее использованные пароли.

ключи аутентификации

Аутсорсинговая аутентификация

Механизмы аутсорсинговой (транзитивной) аутентификации базируются на технологиях и процессах:

  • электронной почты (код доступа отправляется на почту владельца аккаунта);
  • мобильной связи (телефонных номеров, отправляемых SMS или голосовым способом);
  • подтверждения третьими лицами;
  • личного заявления (появления).

Положительные и отрицательные стороны аутентификации

У каждого способа вторичной аутентификации есть «плюсы» и «минусы». Например, у понятийных способов аутентификации положительным качеством является то, что такая сложная задача, как аутентификация перекладывается на самого провайдера (например, электронной почты). Ведь это его специфика (обеспечение безопасности), у него есть соответствующий штат профессионалов, техническое и программное обеспечение. Да и решение этой проблемы он обычно осуществляет на высоком уровне шифрования-дешифрования, приема-передачи, протоколирования, контроля (аудита).

Есть и «минус», в частности, банальная человеческая ошибка при наборе адреса (e-mail) может привести к потере аккаунта почты.

аутентификация e-mail

У аутсорсинговых способов, например, положительным моментом является то, что вы этой проблемой совсем не будете заниматься (не будет «голова болеть»), но отрицательным моментом является, в частности, дороговизна этих услуг, да требования к надежности аутсорсера возрастают многократно (все-таки к нему попадают конфиденциальные данные).

Можно ли усилить надежность аутентификации?

Сразу отвечаем – можно, если комбинировать различные способы (процедуры) аутентификации, не обязательно различных классов. Например, аккаунт Gmail – почтового приложения Google, защищается с помощью двухэтапной аутентификации: логин + пароль и код на мобильный телефон.

аутентификация третьими лицами

Как нам «говорит» байесовский подход к вероятности (теорема умножения и формулы Байеса из теории вероятностей), надежность может быть увеличена за счет использования уже двух различных механизмов аутентификации. Почти на порядок.

Можно усиливать механизм аутентификации поэтапно, по мере конверсии (увеличения привлекательности) сайта для целевой аудитории, их активности. Важно чтобы аккаунт невозможно было бы не только взломать, но даже и скомпрометировать (что часто равносильно). Например, можно использовать отсрочку по реализации всех изменений парольной информации, вести электронный журнал (а он должен обязательно вестись, если сисадмин себя уважает) с напоминанием владельцу аккаунта о вносимых изменениях.

Политика безопасности – всегда компромисс: доступность или защищенность? – Выбирайте!