Аутентификация – дверь в цифровой мир

В жизнь обычного человека вошли термины и слова из профессионального жаргона компьютерных специалистов. Это связано с глубоким проникновением цифрового мира в повседневную жизнь.

Тот, кто придумывает, разрабатывает и воплощает компьютерные продукты, тот даёт им названия и объясняет их устройство. Это удобно инженерам и программистам, но часто путает простых пользователей.

Идентификация, аутентификация, авторизация, верификация – примеры таких слов. Все они связаны с одним процессом: с подключением человека к цифровым сервисам. Откуда взялись эти термины, что они обозначают, какая между ними разница и почему понимание их сути важно для любого человека – эта статья.

Узнать

Идентификация – этим словом обозначают «узнавание» конкретного человека, а точнее, его идентификационного номера и связанной с ним записи в базе данных. Вообще, это понятие имеет более широкий и не только компьютерный смысл. В философских рассуждениях, например, оно описывает то, как личность относится к себе и как она определяет себя в этом мире.

От специалистов в компьютерных системах часто можно услышать, что применение понятия «идентификация» к процессу входа пользователя в цифровую систему неверно, ведь существуют более правильные термины – «аутентификация» и «авторизация».

Это разумное замечание, потому что идентификация по своей сути имеет противоположное направление, где распознаваемый объект имеет второстепенное значение, ведь не он инициирует процесс.

Представиться

Аутентификация – это понятие подходит лучше. Оно описывает то, как человек «представляется» системе, которая, анализируя полученные данные, «узнаёт» его.

Слово «аутентификация» происходит от греческого αὐθεντικός – «авторитетный», «подлинный», которое в свою очередь произошло от слова αὐτός – «сам». Таким образом, аутентификация – это процесс, который инициирует человек, когда решает участвовать в каком-либо цифровом сервисе, подключиться к нему.

Для того чтобы компьютерная система могла понять, подлинный ли Джон Смит будет работать с ней, она должна получить информацию. Пользователь представляется – вводит логин, имя или ID. Но этих данных недостаточно для того, чтобы ему поверить, – нужно что-то, известное только мистеру Смиту.

Самое древнее и по сей день распространённое продолжение этой истории – ввод пользователем пароля. Набор символов, которые теоретически знает только настоящий Джон Смит, и есть подтверждение его личности.

В базе данных сервиса есть запись «Джон Смит», с которой связана запись «qwerty». Если в процессе аутентификации человек представился Джоном Смитом и ввёл пароль «qwerty» (специалисты категорически не рекомендуют использовать это сочетание символов, и здесь оно приведено для наглядности), то для компьютерной системы это будет подтверждением его подлинности.

Далее последует предоставление этому пользователю допуска к ресурсам сервиса и прав на какие-либо действия. Именно этот процесс и называется авторизацией.

Допуск

По сути своей авторизация не требует участия человека и происходит, как правило, незаметно для него. Авторизация – это применение к пользователю, который успешно прошёл процедуру аутентификации, политики разрешений и запретов на действия в данной системе.

В компьютерной системе уже сформирован некоторый набор правил и ограничений, который соотносится с конкретным пользователем: ему предоставляется разрешение на просмотр определённой информации и на внесение изменений в какие-либо данные в рамках его полномочий.

Небольшую путаницу в это достаточно простое и понятное определение вносит практика применения авторизации в финансовых сервисах, например, при использовании банковских карт.

При совершении бесконтактных платежей владелец карты прикладывает её к терминалу и не вводит никаких паролей. Для платёжной системы человек, у которого в руках находится карта, – это аутентифицированный пользователь только благодаря самому факту обладания куском пластика с микросхемой внутри.

Однако при оплате покупки на сумму, превышающую некоторый лимит (как правило, это 25 долларов), система потребует ввести пароль: она захочет провести процедуру авторизации пользователя – повышения его уровня полномочий на расходование средств на счету.

Понятно, что в каждом конкретном случае применения связки идентификация-аутентификация-авторизация границы между этими процессами размываются и уследить, где именно один переходит в другой, очень трудно.

Инженеры, специалисты по безопасности, маркетологи и продавцы создают и настраивают свои системы взаимодействия с пользователями, ориентируясь не на строгие определения, а таким образом, чтобы получить максимальную выгоду и предоставить своим клиентам достаточно простой и комфортный сервис.

В этом месте возникает конфликт и противоречия: самый лёгкий способ аутентификации – например, избавиться от пароля вообще. Зачем перегружать клиента необходимостью запоминать или записывать какие-то символы, ведь ввести в форму только своё имя гораздо проще. Однако очевидно, что пароль – это необходимая мера безопасности, которую приходится принимать, усложняя жизнь пользователя и техническую часть сервисов.

Хотя и это – небесспорное утверждение: как описано в примере с бесконтактными платежами, освобождение потребителя от необходимости запоминать и вводить коды возможно.

Проблемы

Пользователь, который вводит в форму своё имя и пароль, кроме доступа к возможностям, предоставляемым ему сервисом, отдаёт компьютерной системе возможность распоряжаться своим профилем – цифровым представлением собственной личности.

Любые действия в этой системе и наборы данных теперь ассоциируются с этим конкретным человеком. Например, если это:

• социальная сеть – личные данные, фото, сообщения, список друзей;
• банковский аккаунт – данные о сумме на счету, история операций, официальные сведения о месте жительства, страховые номера, телефоны, документы;
• страховой или медицинский сервис – в дополнение ко всему, история болезни, сведения о текущем состоянии здоровья.

Таким образом, база данных компьютерной системы теперь хранит не только сведения о подключении человека к своему сервису (логин и пароль), но и всю связанную с ними информацию. Связка двух наборов символов – это доступ к личному, к личности. Кроме того, в настоящее время сервисов и компьютерных систем очень много. Каждая из них хранит немало чувствительной личной информации.

То, что придумано и сделано одним умным человеком или компанией, может быть разобрано или взломано другим, не менее умным человеком или группой людей. Личная информация имеет ценность, иногда чрезвычайно высокую. То, что дорого стоит, привлекает злоумышленников.

Итог – сервисы подвергаются атакам, пароли пользователей оказываются в руках умельцев, владеющих знаниями и опытом проникновения в компьютерные системы. Много систем – много потенциальных точек утечки данных.

Один для всех

Самые громкие факты взлома компьютерных систем и утечки данных пользователей известны, и их не становится меньше. Частные случаи и менее массированные утечки, как правило, не афишируются, но для каждого пострадавшего человека они не становятся менее болезненными от этого.

Один из способов борьбы с многообразием компаний, хранящих пароли пользователей, – создание единых систем аутентификации. Примером такого подхода может служить метод подключения к сервисам при помощи аккаунта социальной сети или информационной системы.

Это достаточно распространённый путь: можно один раз ввести логин и пароль в своём профиле Google, Facebook, VK или LinkedIn и более не вспоминать эти символы, при каждом подключении к новому сервису лишь давая разрешение на использование этого аккаунта.

В этом месте пользователи Сети встречаются с таким понятием, как «централизация», со всеми её преимуществами и недостатками. Плюсы – удобство, скорость, комфорт и лёгкость использования. Минусы – более масштабные потери при взломе, риск раскрытия большого объёма информации одному игроку рынка со всеми вытекающими соблазнами для этой компании.

А именно: для торговли личными данными, влияния на группы пользователей, использования собранного материала для собственной выгоды, появления многочисленных третьих лиц, имеющих доступ к информации, – партнёров центрального оператора. И последующие утечки, утечки, утечки...

Сам распоряжаюсь

Относительно новый подход (во всяком случае, он ещё далёк от распространения), решающий проблему централизации – системы распределённого хранения и криптографической защиты данных пользователей. В таких сервисах, как правило, применяются технологии блокчейн.

Человек загружает свои личные данные и документы, которые шифруются при помощи надёжных криптографических алгоритмов и записываются в систему хранения на базе распределённого реестра.

Пользователь получает секретный ключ и интерфейс управления своей информацией. При каждом новом взаимодействии с каким-либо сервисом он самостоятельно решает, какую часть личных данных предоставить и какие права на их использование выделить.

Эти данные не хранятся на централизованном сервере, не поступают в распоряжение компаний, всё регулируется только конкретным человеком – хозяином своей информации. Один из примеров подобных сервисов – проект Sorvin, активным участником которого является корпорация IBM.

Такой способ использования чувствительной информации – один из самых перспективных и надёжных, но и у него есть недостатки. Например, небольшая распространённость. Если количество сервисов, аутентификацию и авторизацию в которых можно получить с использованием хорошей, но малопопулярной технологии ограничено, то польза её невелика.

Другой минус, который, впрочем, свойствен и остальным методам – сама процедура аутентификации, доказательства подлинности человека, определения и подтверждения факта: личность, которая запрашивает доступ, – настоящая, а человек – тот, за кого себя выдаёт.

И рассказу о проблемах и решениях процедуры верификации (ещё одно сложное понятие из жаргона программистов) личности будет посвящена следующая статья.

Иллюстрация: Swoop