Сегодня сложно найти человека, который не пользовался бы электронной почтой или социальными сетями. В них пользователь встречается с несколькими крайне важными процессами, а именно: идентификацией, авторизацией и аутентификацией. Они имеют прямое отношение к безопасности персональных данных и другой важной информации. Данные понятия схожи, и поэтому их часто путают. Чтобы этого не происходило, нужно понимать их значение.
Идентификация
Процесс идентификации заключается в проверке существования пользователя. Заходя в личный кабинет или приложение, информационная система проверяет, зарегистрирован ли пользователь. Для этого используется идентификатор, в качестве которого может выступать номер телефона, email, логин или любой другой уникальный признак, закрепленный за конкретным человеком. С помощью идентификатора веб-ресурсы и приложения различают зарегистрированных людей.
Система идентификации основывается на одном простом принципе – существование двух одинаковых идентификаторов невозможно. Многие сталкивались с ситуацией, когда при попытке зарегистрироваться, ресурс выдавал ошибку, в которой говорилось, что введенный логин занят.
Аутентификация
После того, как информационная система проверила наличие пользователя в базе данных, перед ним возникает другая задача. Необходимо узнать, есть ли у него право заходить в аккаунт. Для решения проблемы была разработана аутентификация.
Под аутентификацией понимают процесс ввода и последующей проверки пин-кода или пароля. Если он верен, открывается доступ к учетной записи и хранящейся там информации. Аутентификация бывает трех видов:
- однофакторная – право на доступ необходимо подтвердить лишь одним способом, например, введя пароль от учетной записи. Такая разновидность является наиболее распространенной;
- двухфакторная – чтобы войти в аккаунт одного пароля недостаточно, от пользователя могут потребовать ввести код из уведомления или другую дополнительную информацию. Такой вид применяется в системах, хранящих персональные и прочие важные данные;
- трехфакторная – здесь используются более продвинутые методы обеспечения безопасности данных, например, электронные ключи доступа. Как правило они представляют собой отдельные флэш-накопители, которые подключаются к устройству в момент входа в аккаунт. Подобные способы проверки часто встречаются в банковских приложениях.
Авторизация
Присвоение конкретной учетной записи определенных привилегий называется авторизацией. Если этот процесс прошел успешно, для пользователя открывается доступ к учетной записи. Перед авторизацией стоит еще одна задача – защита системы от изменений, которые могут быть внесены пользователем.
Многие компании ограничивают возможности рабочих компьютеров. Например, работники не могут самостоятельно устанавливать на ПК какой-либо софт. Это может сделать системный администратор, обладающий соответствующими привилегиями. Он входит в систему под своим логином и самостоятельно устанавливает необходимо программное обеспечение.
Как идентификация связана с авторизацией и аутентификацией
Эти процессы зависят друг от друга. Один следует за другим: вначале – идентификация, после – аутентификация, и в конце – авторизация. А что произойдет, если один из этапов из этой цепочки убрать?
Без аутентификации проходить идентификацию просто бесполезно. Более того, это может иметь негативные последствия, как для пользователей, так и для владельца ресурса. Если бы не было аутентификации, злоумышленники могли бы без труда получить доступ ко всем личным данным. Для этого им понадобился бы лишь один идентификатор. К примеру, зайти в электронную почту можно было бы без пароля, зная лишь сам адрес. Найти его на просторах всемирной паутины не составляет труда.
Убрав идентификацию, получить доступ к информационной системе станет невозможно. Сайт или приложение просто не поймет, каким образом проводить авторизацию. К слову без авторизации не работает ни один сервис. Все из-за того, что данный процесс тесно связан с функционалом самого ресурса. Если пользователь успешно прошел два предыдущих пункта, но не смог авторизоваться, возникает путаница с правами, которые ему должны быть присвоены. Кроме этого, повышается риск возникновения проблем, связанных с конфиденциальностью.
Предположим, что любой человек может зайти в свой профиль в социальной сети, не проходя при этом авторизации и автоматически получая всевозможные привилегии. В этом случае, каждый сможет просматривать диалоги других пользователей, управлять их профилями, менять настройки и т.д. Именно поэтому везде, где есть личный кабинет, есть и авторизация.
Единственный вариант – авторизация без аутентификации и идентификации. Яркий пример – «Google Документы». Пользователь может разрешить просмотр и изменение документа всем, у кого есть на него ссылка. При ее наличии человек может работать с документом, не проходя аутентификацию и идентификацию.
Заключение
Идентификация, авторизация и аутентификация – крайне важные понятия в разрезе безопасности данных. Все три процесса связаны друг с другом и за редким исключением, отсутствие одного – полностью обесценивает оставшиеся.
Для проверки существования пользователя в системе используется идентификация, для подтверждения прав доступа – аутентификация, а для определения и выдачи привилегий – авторизация.