Идентификация, аутентификация, авторизация

Понятие информационная безопасность сейчас на слуху, даже те, кто далек от сферы IT, слышали о нем. Защита личных данных пользователей актуальный вопрос для многих сервисов, начиная с почтового сервиса, заканчивая интернет-банкингом. Для сохранения информации используется идентификация, аутентификация, авторизация. С этими терминами пользователи сталкиваются ежедневно, но не каждый понимает, что означает каждый из них. Разберемся, в чем разница между идентификацией, аутентификацией и авторизацией.

Что это такое

Нарушение правил информационной безопасности приводит к катастрофическим последствиям. Приведем простой пример: злоумышленник, выяснив ваши личные данные, начнет свободно пользоваться вашими банковским счетом или переоформлять недвижимость, оформленную на ваше имя.
На сайтах и в приложениях идентификация пользователей, авторизация и аутентификация используется для:

Защиты конфиденциальности. То есть, обеспечение защиты личной информации, не подлежащей разглашению.
Предупреждение финансовых потерь. Нарушения правил информационной безопасности может привести к краже денег или интеллектуальной собственности.
Сохранение деловой репутации. Никто не будет работать с компанией, которая не может гарантировать сохранение личных данных клиента.

Более того в большинстве стран приняты законы, направленные на поддержание информационной безопасности. К компаниям, которые не обеспечивают защиту информации, применяются юридические санкции.

Разберемся, что означают термины авторизация, аутентификация, идентификация, в чем отличия между этими терминами.

Что такое идентификация

Это процесс, во время которого сервис определяет зарегистрирован ли данный человек в системе или нет. Для выяснения этого обстоятельства используется идентификатор.
В качестве идентификатора используется:

логин (имя пользователя, под которым он зарегистрировался в системе);
номер телефона;
электронная почта.

В принципе, для идентификации может быть использован любой признак, при условии, что, что он есть только у одного пользователя. Это самое важное условие, система не может зарегистрировать двух пользователей с одинаковыми признаками. Например, при регистрации нередко появляется сообщение: «Данный логин уже занят», и для продолжения нужно выбрать другой, уникальный для этого приложения или сайта.

Процесс используется для того, чтобы система отличить конкретного пользователя от других посетителей.

Что такое аутентификация

Но поскольку такой признак, как логин или номер телефона может быть известен не только одному человеку, для дополнительной проверки права входа в аккаунт используется аутентификация.

Этот процесс, для которого создается уникальный ключ для подтверждения своего права вхождения в учетную запись. В качестве такого ключа чаще всего используется комбинация буквенных и цифровых символов, то есть, пароль.

Подтверждение своего права на вход путем ввода пароля является однофакторной аутентификации. Этот вариант используется в большинстве ресурсов, которые не содержат конфиденциальной информации. Однако для безопасности в системах, в которых запрашиваются и сохраняются личные данные, требуется прохождение дополнительных этапов, то есть используется двух или трехфазная аутентификация.

Для этого используется дополнительный ключ, это может быть одноразовый код, отправленный в СМС на привязанный номер телефона. В современных системах используют биометрические данные, например, по отпечатку пальца или по лицу.

Для сервисов с повышенными требованиями безопасности используется электронный ключ. Он выдается индивидуально, хранится в специальном хранилище на устройстве или на съемном носителе, и используется только в момент входа.

Что такое авторизация

Теперь разберемся, чем отличается авторизация от аутентификации и идентификации. Это процесс открытия доступа к определенным правам или привилегиям. Этот процесс необходим, чтобы исключить вмешательство обычных пользователей в работу системы. Например, право устанавливать программное обеспечение на ПК корпоративной сети дается администратору, а вот обычные пользователи этой сети сделать это не могут. Чтобы отличить администратора от рядового сотрудника, используется авторизация.

Как связаны процессы авторизации, аутентификации и идентификации

Для получения полного доступа требуется прохождение трех этапов, а иногда добавляется еще и четвертый:

идентификация;
аутентификация;
авторизация;
верификация.

Четвертый процесс – верификация применяется не во всех случаях. Это процесс проверки подлинности. Пример верификации – необходимость подтверждения личности владельца электронного кошелька. Платежные системы предлагают пользователям пройти процедуру, предоставив селфи с паспортом в руке или другими методами. И только после подтверждения подлинности пользователь получает право использовать возможности кошелька в полном объеме.

Еще один пример – верификация профиля в социальной сети. Как правило, к этой процедуре прибегают известные личности. Отметка о прохождении верификации – это зеленая птичка в профиле.

Как правило, процедуры установления личности пользователя и получения доступа к правам используются вместе, то есть применяется единая система идентификации и аутентификации, плюсом может быть добавлена авторизация. Так, ввод логина или номера телефона без использования пароля не имеет особого смысла, так как эти сведения зачастую находятся в открытом доступе и любой человек может войти в аккаунт другого пользователя. Но и использование пароля без идентификатора бесполезно. Авторизация и верификация проводится при необходимости дополнительного подтверждения права доступа субъекта к учетной записи.