Все о Цифровых системах - новости, статьи, обзоры, аналитика. Более 1000 компаний, товаров и услуг в каталоге.
Добавить компанию
ГлавнаяКомпанииБрендыКаталогСобытияКонтакты
En
Главная » Статьи » Виды проверки подлинности данных

Виды проверки подлинности данных

Рубрика: «Кибербезопасность»
14.08.2024

Проверка подлинности данных, или аутентификация – процедура, благодаря которой заинтересованная сторона может убедиться в том, что доступ к какому-либо ресурсу получает уполномоченный пользователь или иной субъект.

Это важная составляющая защиты от киберугроз в целом. Как информации, так и различных сервисов, виртуальных и физических сред.

Дело в том, что без эффективной и точной проверки подлинности авторизация – подтверждение прав на выполнение определенных действий – была бы невозможной. Раньше этим охотно пользовались злоумышленники, но сегодня они сильно ограничены в данном смысле.

Процедура проверки подлинности пользователя: основные этапы

Процедура проверки подлинности пользователя

В обыкновенной ситуации проверка подлинности – процесс, укладывающийся в 3 этапа. Они следующие:

  1. Идентификация. Для нее часто достаточно использовать логин, или заранее созданное пользовательское имя. Подойдет и любой другой вероятный идентификатор, скажем, набор цифр или случайное сочетание букв, цифр и знаков препинания.
  2. Непосредственная проверка. В контексте удостоверения подлинности необходимым становится использование дополнительных средств. Примером можно считать обыкновенный пароль. Без него, как предполагается, доступ к данным или какому-либо сервису, приложению становится невозможным. Но процедура проверки не всегда привязана к использованию пароля. Может потребоваться код подтверждения из SMS или аппаратный ключ, а в продвинутых системах за процессом идентификации пользователя и вовсе следует проверка биометрических данных.
  3. Авторизация. Когда конкретная удаленная или физическая система убедится в том, что пользователь соответствует ряду требований и заданным критериям, права доступа к ней будут открыты.

Аналогичный порядок справедлив для любого сценария. Не играет роли, какова цель проверки – уточнение корректности данных, идентификация личности или что-то другое.

Разновидности методов проверки подлинности

Все известные типы проверки подлинности характеризуется отличающимися особенностями, а также некоторыми преимуществами и недостатками. Логин и пароль, сертификаты, биометрические данные, так называемые маркеры (PIN-коды с ограниченным сроком действия) – простые примеры.

Далее рассмотрены представленные и другие варианты, а также средства и инструменты для проверки подлинности.

Двухфакторная аутентификация

Отличительная особенность данного подхода сводится к тому, что используется как минимум 2 способа подтверждения. Банальный пример представлен входом на какой-либо сайт или в мобильное приложение, когда авторизация становится возможной после:

  • указания пары, состоящей из логина и пароля;
  • ввода ответа на секретный вопрос. Второй альтернативный фактор может быть представлен указанием короткого кода из SMS, сканированием отпечатков и т. д.

Сложность конкретной системы двухфакторной аутентификации на практике зависит от требований, к ней предъявляемых.

Многофакторная аутентификация

Подтверждение подлинности многофакторным методом заметно снижает риск вероятной компрометации данных. Это логичная ветвь развития двухфакторной аутентификации, появление которой обусловлено повышением требований к безопасности современных сложных информационных и других систем.

Пример сочетания факторов:

  • пользовательский пароль;
  • специальное устройство, называемое доверенным, скажем, телефон или аппаратный ключ;
  • отпечатки пальцев.

Это именно пример: количество и типы проверяемых факторов могут быть любыми. Но в представленном случае можно говорить именно о трехфакторной аутентификации. Важно понимать, что на практике это не предел. Продвинутые системы способны проверять 4, 5 факторов и даже больше. В каждой подобной ситуации принято употреблять понятие «многофакторная аутентификация».

Проверка с использованием пароля

Это самый простой способ из известных. Многие приложения и сервисы, функционирующие удаленно, основаны на проверке пары, состоящей из логина и пароля. И хотя принято считать, что метод морально устарел, до его замещения другими подходами еще далеко. Это обусловлено как распространенностью, так и простотой представленного способа.

Чтобы повысить надежность проверки в данном случае, владельцы сервисов и приложений:

  • рекомендуют пользователям создавать уникальные имена, запрещают копировать чужие;
  • советуют генерировать сложные пароли или придумывать их самостоятельно и включать хаотичные последовательности букв, цифр и знаков препинания. Плюсом станет использование смешанных слов, набранных с использованием родной и иноязычной раскладок.

Использование сертификатов

Практика проверки на аутентичность с использованием сертификатов основана на принципах шифрования. Предполагается, что пользователь и сервер обмениваются данными определенным образом. Если заранее записанные зашифрованные сведения, которые хранятся на сервере, соответствуют тому, что передано пользователем и содержится в сертификате, авторизация станет возможной. В ином случае последует отказ.

Другие распространенные способы проверки подлинности

Есть и другие методы, используемые владельцами сервисов, сайтов и приложений, а также более сложных систем, в том числе физических, а не удаленных. Это:

  • анализ биометрических данных. Подход основан на проверке свойств и характеристик конкретного человека, отнесенных к категории биологических. Простой пример – снятие блокировки с экрана телефона посредством отпечатка указательного пальца или сканирования лица. Данный подход существенно усложняет злоумышленникам жизнь: они не могут получить доступ к чему-либо, что становится открытым только после биометрии как инструмента для биологического распознавания;
  • использование маркеров. Если просто, то речь об многоразовых PIN-кодах, действующих в течение ограниченного периода времени. Смежный пример представлен запросом одноразового кода на телефон, когда система отправляет пользователю короткий пароль. После введения последнего или многоразового PIN она убеждается, что устройство, с которого осуществлен запрос, принадлежит конкретному пользователю. Результат – успешная авторизация;
  • push-уведомление. Это альтернатива PIN-кодам и SMS с одноразовыми паролями.

Относительно новый тип проверки подлинности основан на использовании голоса. Предполагается, что доступ к требуемой системе становится возможным, когда пользователь сообщает условному роботу сведения о себе, например, произносит свое имя или ранее сгенерированный PIN. Если голос будет отличаться от эталонного, записанного до попытки авторизации и хранимого в системе, процедура предоставления прав доступа провалится.

Принципы эффективной проверки подлинности

MFA-1.jpg

Эксперты рекомендуют владельцам сайтов, сервисов и приложений, а также более сложных информационных и других систем, в том числе физических, максимально усложнять процедуру. В то числе, повышать уровень киберграмотности сотрудников. Добиться требуемой эффективности можно, если:

  • отдать предпочтение многофакторной аутентификации. Чем больше факторов, тем лучше. Особенно в ситуации, когда максимальная защищенность данных или материальных объектов – высший приоритет;
  • отказаться от паролей, особенно от простых. Современные инструменты генерации на основе искусственного интеллекта способны за считанные минуты перебрать сотни тысяч комбинаций. В перспективе времени это ставит под сомнение надежность даже самого сложного пароля;
  • применять больше критериев в процессе предварительной оценки. Это справедливо для случая, когда, скажем, сотрудник запрашивает доступ к рабочей системе не из типичного места или с нового устройства. В подобных ситуациях рекомендуется активировать дополнительные факторы проверки подлинности. Если в стандартном случае это, например, логин, пароль и персональный PIN, то при изменении всех прочих равных можно дополнить обозначенные способы необходимостью ответа на секретный вопрос. Они должны быть известны только системе и сотруднику.

Заключение

Виды проверки подлинности данных и пользователей многообразны. Одни демонстрируют большую эффективность в сравнении с альтернативными, другие же все чаще становятся бесполезными. В любом из случаев проверка подлинности – процедура, защищающая что-либо от несанкционированного доступа.

Наиболее желательный сценарий, что не зависит от ситуации, сводится к многофакторной аутентификации и отказу от использования простых паролей. Плюсом станет внедрение критериев предварительной оценки при условии, что меняется устройство или обычное местоположение пользователя, запрашивающего доступ к чему-либо.