Идентификация, аутентификация и авторизация — в чем разница?
Объясняем на енотах, в чем разница между идентификацией и авторизацией, а также зачем нужна аутентификация, тем более двухфакторная.
Это происходит с каждым из нас, причем ежедневно: мы постоянно идентифицируемся, аутентифицируемся и авторизуемся в разнообразных системах. И все же многие путают значение этих слов и часто употребляют термин «идентификация» или «авторизация», когда на самом деле речь идет об аутентификации.
Ничего такого уж страшного в этом нет — пока идет бытовое общение и обе стороны диалога по контексту понимают, что в действительности имеется в виду. Но всегда лучше знать и понимать слова, которые употребляешь, а то рано или поздно нарвешься на зануду-специалиста, который вынет всю душу за «авторизацию» вместо «аутентификации», кофе среднего рода и такое душевное, но неуместное в серьезной беседе слово «ихний».
Идентификация, аутентификация и авторизация: серьезные определения
Итак, что же значат термины «идентификация», «аутентификация» и «авторизация» — и чем соответствующие процессы отличаются друг от друга? Для начала проконсультируемся с «Википедией»:
Объясняем идентификацию, аутентификацию и авторизацию на енотах
Выше было очень много умных слов, теперь давайте упростим до конкретных примеров. Скажем, пользователь хочет войти в свой аккаунт Google. Google подходит лучше всего, потому что там процедура входа явным образом разбита на несколько простейших этапов. Вот что при этом происходит:
Аутентификация без предварительной идентификации лишена смысла — пока система не поймет, подлинность чего же надо проверять, совершенно бессмысленно начинать проверку. Для начала надо представиться.
Идентификация без аутентификации — это просто глупо. Потому что мало ли кто ввел существующий в системе логин! Системе обязательно надо удостовериться, что этот кто-то знает еще и пароль. Но пароль могли подсмотреть или подобрать, поэтому лучше подстраховаться и спросить что-то дополнительное, что может быть известно только данному пользователю: например, одноразовый код для подтверждения входа.
А вот авторизация без идентификации и тем более аутентификации очень даже возможна. Например, в Google Документах можно публиковать документы так, чтобы они были доступны вообще кому угодно. В этом случае вы как владелец файла увидите сверху надпись, гласящую, что его читает неопознанный енот. Несмотря на то, что енот совершенно неопознанный, система его все же авторизовала — то есть выдала право прочитать этот документ.
А вот если бы вы открыли этот документ для чтения только определенным пользователям, то еноту в таком случае сперва пришлось бы идентифицироваться (ввести свой логин), потом аутентифицироваться (ввести пароль и одноразовый код) и только потом получить право на чтение документа — авторизоваться.
А уж если речь идет о содержимом вашего почтового ящика, то Google никогда и ни за что не авторизует неопознанного енота на чтение вашей переписки — если, конечно, он не идентифицируется с вашим логином и не аутентифицируется с вашим паролем. Но тогда это уже не будет неопознанный енот, поскольку Google однозначно определит этого енота как вас.
Теперь вы знаете, чем идентификация отличается от аутентификации и авторизации. Что еще важно понимать: аутентификация — пожалуй, самый важный из этих процессов с точки зрения безопасности вашего аккаунта. Если вы ленитесь и используете для аутентификации только слабенький пароль, то какой-нибудь енот может ваш аккаунт угнать. Поэтому:
Подтверждение действия субъекта с помощью смс кода является видом дистанционной идентификации это
В России удаленная биометрическая идентификация в финансовой сфере стала активно обсуждаться после форума Finopolis, прошедшего в октябре 2016 года в Казани — тогда Банк России, Минкомсвязь и Росфинмониторинг объявили о запуске соответствующего пилотного проекта в нескольких российских банках в 2017 году.
Основная задача проекта — повышение доступности финансовых услуг: находясь в другом городе или стране, клиент сможет выполнять операции в разных банках, даже если имеет счет только в каком-то одном из них. Иными словами, удаленная идентификация — это такой универсальный электронный финансовый «паспорт», признаваемый всеми участниками рынка.
После введения государственной системы удаленной идентификации клиенту вначале нужно будет зарегистрироваться в ЕСИА (Единая Система Идентификации и Аутентификации, элемент Электронного Правительства). Для этого нужно будет прийти в отделение банка (их перечень будет устанавливать Банк России) и подписать заявление-согласие на передачу и обработку персональных данных, включая биометрические. После первичной регистрации физическое лицо сможет стать клиентом любого банка дистанционно.
Идентификация — это первичное «знакомство» с пользователем, присвоение ему идентификатора на серверах финансовой организации.
Аутентификация — это подтверждение личности при повторном обращении, то есть ввод логина и пароля при входе в личный кабинет банка.
На этапе идентификации клиенту выдаются логин и пароль, сканируется отпечаток пальца или записывается голос. В России идентификация регулируется Федеральным законом «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» № 115-ФЗ.
Сейчас через ЕСИА уже можно авторизоваться на сайте Госуслуг. Система содержит паспортные данные, адрес, номера ИНН и СНИЛС, номер телефона и другое. Принципиально новым является не создание ЕСИА вообще, а именно ее использование в российской финансовой отрасли.
Предположительно, через ЕСИА физические лица смогут открывать счета или вклады, получать кредиты, переводить деньги и получать информацию по своему счету, однако окончательный список операций пока уточняется. Как сообщает издание «Банковское обозрение» со ссылкой на Ивана Зимина, замначальника Центра финансовых технологий Банка России, сначала для пользователей ЕСИА будут введены лимиты на переводы и платежи, однако по результатам пилота они могут быть смягчены.
Как это будет работать? Будучи дома или за рубежом, вы открываете сайт нужного банка, клиентом которого пока не являетесь, нажимаете кнопку «Войти через ЕСИА», вводите логин и пароль, выданные при первичной регистрации, и проходите биометрическую идентификацию (смотрите в камеру, произносите требуемый текст с экрана). После этого вы становитесь полноправным клиентом этого банка, попадаете в его личный кабинет и получаете от него логин и пароль; теперь вы можете заходить на сайт напрямую, без ЕСИА.
Сроки запуска удаленной идентификации зависят от требований, которые финансовые регуляторы предъявят к банкам, и технической готовности ПАО «Ростелеком» (компания является технологическим оператором ЕСИА). По словам зампреда ЦБ Ольги Скоробогатовой, пилотный проект начнется во втором полугодии 2017 года и, в случае успеха, станет доступен всем финансовым компаниям в 2018 году.
31 марта на конференции «FinTech Russia» Максим Григорьев, начальник Центра финансовых технологий ЦБ РФ, подтвердил, что пилотный проект по удаленной идентификации будет запущен через 3 месяца.
Однако стоит отметить, что банки не только ждут ввода единой удаленной идентификации, но и разрабатывают собственные технологические решения в этой области в своих приложениях и отделениях.
В конце 2016 года банк создал специальную инновационную лабораторию, выступающую в роли внутреннего интегратора решений от сторонних поставщиков технологий удаленной идентификации (вендоров).
В настоящее время лаборатория ведет два пробных проекта по введению удаленной идентификации: тестирование системы распознавания лиц в связке с электронной очередью в трех пилотных московских подразделениях банка (специальный терминал фотографирует клиента, когда тот получает талон на электронную очередь, и сравнивает изображение с банковской базой данных), а также тестирование денежных переводов «P2P» с фотоидентификацией. Кроме того, изучается биометрия по отпечатку пальца и голосу, а также более редкие способы — по венному рисунку ладони или глаза. Пока не решено, станут ли биометрические технологии основным или вспомогательным способом дистанционной идентификации.
Тинькофф Банк предполагает множество вариантов для применения удаленной идентификации.
Во-первых, клиент сможет оформить кредит на покупку товара в магазине, не имея при себе паспорта, а также открыть счет в банке без встречи с представителем. Во-вторых, больше не нужно помнить пароль для входа в мобильный банк — достаточно сделать селфи и загрузить его в приложение. В-третьих, сам банк сможет выявлять неблагонадежных заемщиков с помощью сравнения фото заявителя с базой данных мошенников.
Основными способами удаленной идентификации в Тинькофф Банке, скорее всего, станет распознавание по голосу и лицу. Уже несколько лет банк использует систему NICE Real Time Authentication как дополнительный метод аутентификации. При первом обращении в контактный центр банка NICE RTA делает голосовой «слепок» клиента по аналогии с отпечатком пальцев, при последующем — сверяет его с голосом звонящего. Технология значительно сокращает длительность звонков и повышает уровень сервиса — клиенту теперь не нужно отвечать на однотипные вопросы при идентификации.
Кроме того, банк применяет VisionLabs для расследования инцидентов, связанных с мошенничеством, а также для фотоверификации клиентов, получающих кредит; программа уменьшает время обработки заявок и снижает риски банка.
Сбербанк видит главный положительный эффект от введения удаленной идентификации в сокращении расходов банка на первичную обработку клиентских данных в офисах обслуживания, а также увеличении прироста новых клиентов. Для нынешних клиентов Сбербанка (по мнению компании, это 70% населения РФ) идентификация на расстоянии не станет принципиально новой услугой – открыть счет или управлять вкладом можно дистанционно уже сейчас через Мобильный Банк или Сбербанк-Онлайн.
В первую очередь банк рассматривает удаленную идентификацию по записи голоса и изображению лица клиента, а также по движению губ.
Технологическим партнером Сбербанка выступает дочерняя организация АО «СберТех».
С февраля по апрель этого года ВТБ24 проводит собственный пилотный проект по внедрению биометрической аутентификации в мобильном приложении с фокус-группой более чем из тысячи клиентов. Технологический партнер — Группа ЦРТ (ранее «Центр речевых технологий»).
Основная предпосылка пилота — необходимость перейти от подтверждения личности по знаниям (паролям и пин-кодам) к подтверждению по уникальным физическим характеристикам. ВТБ24 выбрал биометрию по голосу и лицу, так как камеры и встроенные микрофоны есть в большинстве современных устройств, а одновременное использование двух технологий сводит возможность мошенничества к минимуму, принципиально не усложняя процесса.
Клиенту нужно будет создать эталон — модель лица и голоса (нужно произнести цифры от 0 до 9). При каждом последующем входе потребуется ввести логин и пароль, а затем назвать 5 произвольных цифр с экрана. Что очень важно — проверка динамическая, выводимые числа всегда разные, а интеллектуальный детектор живого пользователя следит за мимикой, поэтому ни фотографию, ни запись голоса «подложить» не получится.
По мнению банка, единственно приемлемой технологией удаленной аутентификации —то есть повторным, а не первичным обращением в банк — является биометрия по голосу и видеообразу, так как она не требует от клиента наличия специального дорогостоящего оборудования (сканера отпечатков пальцев или сетчатки глаза).
Основной вопрос – насколько удобны клиенту такие методы удаленной идентификации? Все же пользователю проще ввести пин-код и сразу попасть в личный кабинет банка, чем запустить приложение, получить набор цифр, произнести их, отправить данные на обработку серверами банка и только затем открыть личный кабинет. К тому же неясно, как система голосовой аутентификации проявится осенью в сезон простуд, когда голос может серьезно измениться.
Однако будущее финансов — однозначно за удаленным доступом; по мнению Ильи Титова, IT-директора Модульбанка, уже через 10 лет люди будут идентифицироваться и аутентифицироваться по ДНК-меткам.
По словам Александра Васильева, замдиректора Департамента информационных технологий РосЕвроБанка, целевая аудитория проекта по удаленной идентификации – это маломобильные группы населения и потенциальные клиенты, проживающие в регионах, где банк не представлен своими филиалами.
Идентификация, аутентификация и авторизация – в чем разница?
Мы постоянно идентифицируемся, аутентифицируемся и авторизуемся в разнообразных системах. И все же многие путают значение этих слов и часто употребляют термин «идентификация» или «авторизация», хотя на самом деле речь идет об аутентификации. Ничего страшного в этом нет, часто обе стороны диалога понимают, что в действительности имеется в виду. Но всегда лучше знать и понимать слова, которые употребляем.
Определения
Что же значат все эти термины, и чем соответствующие процессы отличаются друг от друга?
Примеры
Пользователь хочет войти в свой аккаунт Google (Google подходит лучше всего, потому что там процедура входа явным образом разбита на несколько простейших этапов). Вот что при этом происходит:
Аутентификация без предварительной идентификации лишена смысла – пока система не поймет, подлинность чего же надо проверять, совершенно бессмысленно начинать проверку. Для начала надо представиться.
Идентификация без аутентификации не работает. Потому что мало ли кто ввел существующий в системе логин! Системе обязательно надо удостовериться, что этот кто-то знает еще и пароль. Но пароль могли подсмотреть или подобрать, поэтому лучше подстраховаться и спросить что-то дополнительное, известное только данному пользователю: например, одноразовый код для подтверждения входа.
А вот авторизация без идентификации и аутентификации очень даже возможна. Например, в Google Документах можно публиковать документы так, чтобы они были доступны всем. В этом случае вы как владелец файла увидите сверху надпись, гласящую, что его читает неопознанный субъект. Несмотря на это, система его все же авторизовала – то есть выдала право прочитать этот документ.
Но если вы открыли этот документ для чтения только определенным пользователям, то им в таком случае сперва пришлось бы идентифицироваться (ввести свой логин), потом аутентифицироваться (ввести пароль и одноразовый код) и только потом получить право на чтение документа – авторизоваться.
Если же речь идет о содержимом вашего почтового ящика, то Google никогда и ни за что не авторизует неопознанного субъекта на чтение вашей переписки.
Что еще важно знать
Аутентификация – пожалуй, самый важный из этих процессов с точки зрения безопасности вашего аккаунта. Если вы ленитесь и используете для аутентификации только простенький пароль, то какой-нибудь злоумышленник может ваш аккаунт угнать. Поэтому:
Удаленная идентификация
О проекте
Механизм удаленной идентификации разработан Банком России в рамках реализации Основных направлений развития финансовых технологий на период 2018 — 2020 годов.
Создание и развитие платформы для удаленной идентификации позволяет перевести финансовые услуги в цифровую среду, повысить доступность финансовых услуг для потребителей, в том числе людей с ограниченными возможностями, пожилого и маломобильного населения, а также увеличить конкуренцию на финансовом рынке.
Получение финансовых услуг:
Для реализации механизма удаленной идентификации разработаны нормативные (правовые) акты, а также сформирована технологическая инфраструктура, в том числе Единая биометрическая система, которая совместно с Единой системой идентификации и аутентификации (ЕСИА) обеспечит достоверную идентификацию пользователей.
Процедура для пользователя является бесплатной и добровольной и будет осуществляться только с согласия клиента.
Как начать использовать удаленную идентификацию
01. Пройти первичную регистрацию биометрических данных
Гражданину нужно прийти в один из уполномоченных банков, обладающих правом проводить регистрацию физических лиц в Единой системе идентификации и аутентификации (ЕСИА) и Единой биометрической системе. Такой Банк проведет идентификацию физического лица при личном присутствии, зарегистрирует его в ЕСИА, а также снимет биометрические параметры (сфотографирует и запишет образец голоса) и направит их в Единую биометрическую систему.
02. Получить банковские услуги с помощью удаленной идентификации
Для получения услуги в новом банке гражданину нужно зайти на сайт или мобильное приложение этого банка и выбрать получение услуги с использованием удаленной идентификации.
Далее необходимо пройти авторизацию в ЕСИА и подтвердить свои биометрические данные с помощью смартфона, планшета, ноутбука или стационарного компьютера с камерой и микрофоном.
Для подтверждения своих биометрических данных с мобильного устройства необходимо скачать мобильное приложение Единой биометрической системы. Приложение доступно для скачивания в Google Play и App Store.
После сравнения лица и голоса гражданина с ранее внесенными в Единую биометрическую систему данными, он сможет открыть счет (вклад), получить кредит, сделать перевод, не приходя в банк.
Этапы реализации проекта
2017 год — обеспечено законодательное закрепления возможности проведения удаленной идентификации. 31 декабря 2017 года подписан Федеральный закон № «О внесении изменений в отдельные законодательные акты Российской Федерации».
I кв. 2018 года — создана Единая биометрическая система, с использованием которой осуществляется проведение биометрической идентификации физических лиц.
II кв. 2018 года — приняты подзаконные акты и проведена тестовая эксплуатация Единой биометрической системы банками.
30 июня 2018 года — запущен механизм удаленной идентификации. С этого момента банки постепенно обеспечивают в своих структурных подразделениях сбор биометрических данных по мере готовности их технологической инфраструктуры. На 1 января 2021 года такой сервис предоставляется в более чем в 13,3 тыс. структурных подразделениях банков.
Двухфакторная аутентификация: что это и зачем оно нужно?
Мы решили посвятить двухфакторной аутентификации отдельную статью и рассказать о том, что это такое, как она работает и почему ее стоит использовать.
Двухфакторная аутентификация — тема, которой мы так или иначе касаемся во многих наших постах. В прошлом году мы даже записали на эту тему целый подкаст. Однако ввиду возрастающего количества разных сервисов и все чаще случающихся атак на пользовательские аккаунты (как, например, перехваты контроля над учетными записями iCloud) мы решили посвятить этому виду аутентификации отдельную статью и рассказать о том, что это такое, как она работает и почему ее стоит использовать везде, где это возможно.
Что такое двухфакторная аутентификация?
Двухфакторная аутентификация — это метод идентификации пользователя в каком-либо сервисе (как правило, в Интернете) при помощи запроса аутентификационных данных двух разных типов, что обеспечивает двухслойную, а значит, более эффективную защиту аккаунта от несанкционированного проникновения. На практике это обычно выглядит так: первый рубеж — это логин и пароль, второй — специальный код, приходящий по SMS или электронной почте. Реже второй «слой» защиты запрашивает специальный USB-ключ или биометрические данные пользователя. В общем, суть подхода очень проста: чтобы куда-то попасть, нужно дважды подтвердить тот факт, что вы — это вы, причем при помощи двух «ключей», одним из которых вы владеете, а другой держите в памяти.
Впрочем, двухфакторная защита не панацея от угона аккаунта, но достаточно надежный барьер, серьезно усложняющий злоумышленникам доступ к чужим данным и в какой-то степени нивелирующий недостатки классической парольной защиты. Ведь у паролей, на которых основано подавляющее большинство авторизационных механизмов в Интернете, есть неизбежные недостатки, которые фактически являются продолжением достоинств: короткие и простые пароли легко запомнить, но так же легко подобрать, а длинные и сложные трудно взломать, но и запомнить непросто. По этой причине многие люди используют довольно тривиальные пароли, причем сразу во многих местах. Второй фактор в подобных случаях оказывается крайне полезен, поскольку, даже если пароль был скомпрометирован, злоумышленнику придется или раздобыть мобильник жертвы, или угнать ее почтовый ящик.
Несмотря на многочисленные попытки современного человечества заменить пароли чем-то поинтереснее, полностью избавиться от этой привычной всем парадигмы оказалось не так просто, так что двухфакторную аутентификацию можно считать одним из самых надежных механизмов защиты на сегодняшний день. Кстати, этот метод удобен еще и тем, что способен предупреждать хозяина аккаунта о попытке взлома: если на ваш телефон или почту вдруг приходит сообщение с одноразовым кодом при том, что вы никаких попыток логина не предпринимали, значит, вас пытаются взломать — самое время менять оказавшийся ненадежным пароль!
Где можно включить двухфакторную аутентификацию?
Ответом на этот вопрос может служить простое правило: если используемый вами сервис содержит важные для вас данные и позволяет включить двухфакторную аутентификацию, активируйте ее не раздумывая! Вот, скажем, какой-нибудь Pinterest. Ну, не знаю… Если бы у меня был аккаунт в этом сервисе, я бы вряд ли захотел каждый раз проходить долгую процедуру двухслойной авторизации. А вот интернет-банкинг, аккаунты в соцсетях, учетка в iCloud, почтовые ящики и особенно ваши служебные учетные записи — все это однозначно стоит защитить двухфакторной аутентификацией. Сервисы Google, Apple и все основные социальные сети позволяют это сделать в настройках без особого труда.
Двухфакторная аутентификация — один из лучших методов защиты ваших аккаунтов #security
К слову, если у вас есть свой сайт, скажем, на базе WordPress или другой подобной платформе, включить в настройках двухфакторную защиту тоже не будет лишним. В общем, повторюсь: если аккаунт и его содержимое вам дороги, не игнорируйте возможность усилить защиту.
Какие еще существуют виды двухфакторной аутентификации?
Выше я уже упомянул рассылку специального кода в виде SMS и email-сообщений и USB-ключи и смарт-карты, используемые преимущественно для доступа к некоторым видам интернет-ресурсов и VPN-сетям. Кроме того, существуют еще генераторы кодов (в виде брелока с кнопкой и небольшим экранчиком), технология SecureID и некоторые другие специфические методы, характерные в основном для корпоративного сектора. Есть и менее современные интерпретации: например, так называемые TAN-пароли (TAN, Transaction Authentication Number — аутентификационный номер транзакции). Возможно, вы даже сталкивались с ними, если были клиентом какого-нибудь не самого прогрессивного банка: при подключении интернет-банкинга клиенту выдавалась бумажка с заранее сформированным списком одноразовых паролей, которые вводятся один за другим при каждом входе в систему и/или совершении транзакции. Кстати, ваша банковская карта и PIN тоже формируют систему двухфакторной аутентификации: карточка — «ключ», которым вы владеете, а PIN-код к ней — «ключ», который вы запоминаете.
Как я уже упомянул выше, существует и биометрический способ идентификации пользователя, который часто выступает в роли вторичного фактора защиты: одни системы подразумевают сканирование отпечатка пальца, другие определяют человека по глазам, есть даже те, которые ориентируются по «рисунку» сердцебиения. Но пока это все довольно экзотические методы, хотя и куда более популярные, чем, скажем, электромагнитные татуировки, которые по примеру радиочипов могут служить вторичным фактором аутентификации пользователя. Я бы от такой не отказался 🙂
