что значит идентификация и аутентификация

Идентификация, аутентификация и авторизация – в чем разница?

Мы постоянно идентифицируемся, аутентифицируемся и авторизуемся в разнообразных системах. И все же многие путают значение этих слов и часто употребляют термин «идентификация» или «авторизация», хотя на самом деле речь идет об аутентификации. Ничего страшного в этом нет, часто обе стороны диалога понимают, что в действительности имеется в виду. Но всегда лучше знать и понимать слова, которые употребляем.

Определения

Что же значат все эти термины, и чем соответствующие процессы отличаются друг от друга?

Примеры

Пользователь хочет войти в свой аккаунт Google (Google подходит лучше всего, потому что там процедура входа явным образом разбита на несколько простейших этапов). Вот что при этом происходит:

Аутентификация без предварительной идентификации лишена смысла – пока система не поймет, подлинность чего же надо проверять, совершенно бессмысленно начинать проверку. Для начала надо представиться.

Идентификация без аутентификации не работает. Потому что мало ли кто ввел существующий в системе логин! Системе обязательно надо удостовериться, что этот кто-то знает еще и пароль. Но пароль могли подсмотреть или подобрать, поэтому лучше подстраховаться и спросить что-то дополнительное, известное только данному пользователю: например, одноразовый код для подтверждения входа.

А вот авторизация без идентификации и аутентификации очень даже возможна. Например, в Google Документах можно публиковать документы так, чтобы они были доступны всем. В этом случае вы как владелец файла увидите сверху надпись, гласящую, что его читает неопознанный субъект. Несмотря на это, система его все же авторизовала – то есть выдала право прочитать этот документ.

Но если вы открыли этот документ для чтения только определенным пользователям, то им в таком случае сперва пришлось бы идентифицироваться (ввести свой логин), потом аутентифицироваться (ввести пароль и одноразовый код) и только потом получить право на чтение документа – авторизоваться.

Если же речь идет о содержимом вашего почтового ящика, то Google никогда и ни за что не авторизует неопознанного субъекта на чтение вашей переписки.

Что еще важно знать

Аутентификация – пожалуй, самый важный из этих процессов с точки зрения безопасности вашего аккаунта. Если вы ленитесь и используете для аутентификации только простенький пароль, то какой-нибудь злоумышленник может ваш аккаунт угнать. Поэтому:

Источник

Идентификация и аутентификация

Идентификация — это определение пользователя в системе по его признаку. Обычно речь идет о логине, которым является электронная почта, мобильный телефон или комбинация чисел и цифр, придуманная системой или пользователем.

Идентификация, аутентификация и авторизация

Если пользователь намерен зайти в систему под своими учетными данными, он проходит и идентификацию, и аутентификацию. Например, при входе на какой-то сайт, в банкинг, в сервис электронных платежей, в личный кабинет МФО, коммунальной компании.

Как проходит идентификация пользователя:

После идентификации и аутентификации происходит авторизация. Система понимает, что это за пользователь, что это именно он. Далее она определяет, что он может делать, предоставляет ему определенные права. Это и есть авторизация.

Биометрическая аутентификация

Вариантов аутентификации пользователей становится все больше, компании и сервисы активно применяют в этом биометрию человека. На сегодня существуют такие методы:

В последнее время банки стали активно применять аутентификацию клиента по голосу. Они создают базу голосовых данных: если клиент в ней есть, то при звонке он проходит голосовую аутентификацию и получает нужную информацию или услугу без дополнительных подтверждений личности.

Благодаря созданию биометрических способов аутентификации пользователи стали более защищенными. Некоторые системы применяют двойную биометрическую аутентификацию, например, считывают сразу и отпечаток пальцев, и геометрию руки.

Источник

Аутентификация и идентификация. Особенности нотифицирования

Оформление разрешительных документов для ввоза и вывоза ШКС:

Пропорционально росту степени информатизации всех сторон жизнедеятельности современного человека растет и угроза утечки, хищения или утраты важной персональной информации. Одной из наиболее очевидных причин данных негативных явлений является умышленный со стороны неавторизованных в системе пользователей несанкционированный доступ к конфиденциальной (персональной) информации и последующие нежелательные с ней манипуляции. В связи с этим решению задачи защиты информации в компьютерных системах придается большое значение.

Основой защиты информационных систем (далее – ИС) являются применение механизмов идентификации и аутентификации объектов (информация и другие информационные ресурсы) и субъектов (пользователи и процессы) ИС, так как основа защиты информации рассчитана на работу с поименованными субъектами и объектами ИС.

Содержание

Определение «идентификация» и «аутентификация»

Идентификация – процесс присвоения субъектам и объектам ИС уникального идентификационного номера (идентификатора), который будет использоваться для сравнения с заданным перечнем существующих идентификаторов. Другими словами, идентификация – это процесс, при котором происходит определение полномочий субъекта при его допуске в ИС, контролирование установленных полномочий в процессе сеанса работы, регистрация действий и др.

Особенности при нотифицировании

Стоит четко разграничивать понятия «идентификация» и «аутентификация» т.к. разница в их основных процессах является ключевой при принятии решения о необходимости оформления разрешительной документации при ввозе (вывозе) оборудования, реализующего функции идентификации и аутентификации.

Пример на основе СКУД

Рассмотрим случай, который поможет объяснить данную разницу, на примере системы контроля и управления доступом [3] (далее – СКУД).

Российский дистрибьютор планирует завести партию товаров, являющимися компонентами СКУД, которая включает: пластиковые идентификационные карточки доступа и считыватели, оснащенные клавиатурой для ввода персонального пароля (PIN-падом).

Пластиковая идентификационная карта представляет собой контактную карту, выполненную на пластиковом основании с расположенным на нем чип-модулем, и предназначена для использования в составе СКУД для хранения идентификационных данных владельца карты. Считывание данных с пластиковой карты происходит контактным способом при взаимодействии со считывателем путем соприкосновения металлической контактной площадки карты с контактами считывателя.

Считыватель же дополнительно оснащен устройством ввода (клавиатурой) персональных данных (PIN-коды) пользователей для осуществления процесса их строгой аутентификации.

Из двух типов устройств к пункту 2.19 (Шифровальные (криптографические) средства) приложения № 2 к Решению Коллегии Евразийской экономической комиссии от 21.04.2015 N 30 можно отнести только считыватель, т.к. он выполняет криптографические функции в рамках процедуры аутентификации, а значит содержит шифровальные средства. Исходя из назначения считыватель можно отнести к п.1 категории 2 перечня [1] категорий товаров, являющихся шифровальными средствами.

Пластиковая же карта является лишь носителем идентификатора пользователя и не выполняет криптографического функционала.

Таким образом, в соответствии с действующим Российским законодательством, дистрибьютору для ввоза данной партии товаров понадобится оформить нотификацию только на считыватели пластиковых карт.

Методы аутентификации

Приведенный выше пример объясняет разницу между идентификацией и аутентификацией на основе самой широко распространённой сферы применения данного типа устройств – физического контроля и управления доступом. В то же время необходимо указать и на другие методы аутентификации, которые можно условно разделить на 3 основные группы:

Методы, основанные на использовании субъектом ИС секретного идентификатора – пароля

Наиболее распространенные и простые методы аутентификации. Механизм реализации: при вводе субъектом своего пароля (секретного идентификатора) подсистема аутентификации сравнивает его с данными, хранящимися в базе эталонных данных в зашифрованном виде. В случае совпадения паролей подсистема аутентификации разрешает доступ к ресурсам ИС.

Методы, основанные на использовании уникального предмета: электронной карточки и др.

Чаще всего встречаются в комбинированном виде: для получения доступа субъекту ИС требуется персональный идентификатор в виде карты, а также дополнительного секретного идентификатора – персонального пароля.

Методы, основанные на измерении биометрических параметров человека

Обеспечивают почти 100% идентификацию, решая проблемы утраты паролей и личных идентификаторов.

Итоги

Безопасность ИС невозможна без применения средств аутентификации, а проникновение в корпоративную среду мобильных устройств и облачных технологий не может не влиять на принципы обеспечения информационной безопасности. Применение механизма аутентификации является самым распространенным и одним из самых эффективных методов обеспечения безопасности. Являясь по своей сути процедурой подтверждения подлинности субъекта в ИС по уникальному идентификатору, аутентификация является криптографическим методом, что обуславливает применение к устройствам, ее поддерживающим, Положения о ввозе и вывозе шифровальных (криптографических) средств, а следовательно – оформление нотификации.

Примечания

Ссылки

Шифровальные средства
Шифровальные (криптографические) средства (ШКС)
Основные НПА
Решение ЕЭК №30 от 21 апреля 2015 г.
Перечень	2.19
Положение	Приложение 9
Услуги IFCG
Энциклопедия IFCG — открытый информационный ресурс для участников и экспертов в области ВЭД. Если Вам требуются услуги по таможенному оформлению, получению разрешительных документов или у Вас есть вопросы, свяжитесь с нами — Контакты IFCG. В частности, мы готовы оказать услуги по оформлению следующих разрешительных документов для ввоза и вывоза товаров с шифровальными функциями: Источник Идентификация и аутентификация, управление доступом Идентификация и аутентификация Основные понятия Идентификацию и аутентификацию можно считать основой программно-технических средств безопасности, поскольку остальные сервисы рассчитаны на обслуживание именованных субъектов. Идентификация и аутентификация – это первая линия обороны, «проходная» информационного пространства организации. Аутентификация бывает односторонней (обычно клиент доказывает свою подлинность серверу) и двусторонней ( взаимной ). Пример односторонней аутентификации – процедура входа пользователя в систему. В сетевой среде, когда стороны идентификации / аутентификации территориально разнесены, у рассматриваемого сервиса есть два основных аспекта: Субъект может подтвердить свою подлинность, предъявив по крайней мере одну из следующих сущностей: Любопытно отметить, что сервис идентификации / аутентификации может стать объектом атак на доступность. Если система сконфигурирована так, что после определенного числа неудачных попыток устройство ввода идентификационной информации (такое, например, как терминал) блокируется, то злоумышленник может остановить работу легального пользователя буквально несколькими нажатиями клавиш. Парольная аутентификация Главное достоинство парольной аутентификации – простота и привычность. Пароли давно встроены в операционные системы и иные сервисы. При правильном использовании пароли могут обеспечить приемлемый для многих организаций уровень безопасности. Тем не менее, по совокупности характеристик их следует признать самым слабым средством проверки подлинности. Чтобы пароль был запоминающимся, его зачастую делают простым (имя подруги, название спортивной команды и т.п.). Однако простой пароль нетрудно угадать, особенно если знать пристрастия данного пользователя. Известна классическая история про советского разведчика Рихарда Зорге, объект внимания которого через слово говорил «карамба»; разумеется, этим же словом открывался сверхсекретный сейф. Иногда пароли с самого начала не хранятся в тайне, так как имеют стандартные значения, указанные в документации, и далеко не всегда после установки системы производится их смена. Ввод пароля можно подсмотреть. Иногда для подглядывания используются даже оптические приборы. Пароли нередко сообщают коллегам, чтобы те могли, например, подменить на некоторое время владельца пароля. Теоретически в подобных случаях более правильно задействовать средства управления доступом, но на практике так никто не поступает; а тайна, которую знают двое, это уже не тайна. Пароль можно угадать «методом грубой силы», используя, скажем, словарь. Если файл паролей зашифрован, но доступен для чтения, его можно скачать к себе на компьютер и попытаться подобрать пароль, запрограммировав полный перебор (предполагается, что алгоритм шифрования известен). Тем не менее, следующие меры позволяют значительно повысить надежность парольной защиты: Источник Идентификация, аутентификация, авторизация — в чем разница? Перед серией уроков по информационной безопасности нам нужно разобраться с базовыми определениями. Сегодня мы узнаем, что такое идентификация, аутентификация, авторизация и в чем разница между этими понятиями Что такое идентификация? Сначала давайте прочитаем определение: Идентификация — это процедура распознавания субъекта по его идентификатору (проще говоря, это определение имени, логина или номера). Идентификация выполняется при попытке войти в какую-либо систему (например, в операционную систему или в сервис электронной почты). Сложно? Давайте перейдём к примерам, заодно разберемся, что такое идентификатор. Пример идентификатора в социальной сети ВКонтакте Когда нам звонят с неизвестного номера, что мы делаем? Правильно, спрашиваем “Кто это”, т.е. узнаём имя. Имя в данном случае и есть идентификатор, а ответ вашего собеседника — это будет идентификация. Идентификатором может быть: Подробнее об идентификаторах и ID рекомендую прочитать здесь. Что такое аутентификация? После идентификации производится аутентификация: Аутентификация – это процедура проверки подлинности (пользователя проверяют с помощью пароля, письмо проверяют по электронной подписи и т.д.) Чтобы определить чью-то подлинность, можно воспользоваться тремя факторами: Отпечаток пальца может быть использован в качестве пароля при аутентификации Получается, что каждый раз, когда вы вставляете ключ в замок, вводите пароль или прикладываете палец к сенсору отпечатков пальцев, вы проходите аутентификацию. Ну как, понятно, что такое аутентификация? Если остались вопросы, можно задать их в комментариях, но перед этим разберемся еще с одним термином. Что такое авторизация? Когда определили ID, проверили подлинность, уже можно предоставить и доступ, то есть, выполнить авторизацию. Авторизация – это предоставление доступа к какому-либо ресурсу (например, к электронной почте). Разберемся на примерах, что же это за загадочная авторизация: Дверь открылась? Вы авторизованы! Взаимосвязь идентификации, аутентификации и авторизации Наверное, вы уже догадались, что все три процедуры взаимосвязаны: Инфографика: 1 — Идентификация; 2 — Аутентификация; 3 — Авторизация Проблемы безопасности при авторизации Помните, как в сказке «Красная Шапочка» бабушка разрешает внучке войти в дом? Сначала бабушка спрашивает, кто за дверью, затем говорит Красной Шапочке, как открыть дверь. Волку же оказалось достаточным узнать имя внучки и расположение дома, чтобы пробраться в дом. Какой вывод можно сделать из этой истории? Каждый этап авторизации должен быть тщательно продуман, а идентификатор, пароль и сам принцип авторизации нужно держать в секрете. Заключение Итак, сегодня вы узнали, что такое идентификация, аутентификация и авторизация. Теперь мы можем двигаться дальше: учиться создавать сложные пароли, знакомиться с правилами безопасности в Интернете, настраивать свой компьютер с учетом требований безопасности. А в заключение, занимательная задачка для проверки знаний: посчитайте, сколько раз проходят идентификацию, аутентификацию и авторизацию персонажи замечательного мультфильма «Петя и Красная Шапочка» (ответы в комментариях). P.S. Самые внимательные могут посчитать, сколько раз нарушены рассмотренные в данном уроке процедуры. Копирование запрещено, но можно делиться ссылками: Источник ← что значит идентификационные данные что значит идентификация личности → Вам также понравится чем полезен шалфей для горла 10.04.202210.04.2022 admin 0 что делать если картошка не доварилась а воду слили 19.04.202216.04.2022 admin 0 чем почистить утюг с керамическим покрытием в домашних условиях 11.04.202210.04.2022 admin 0 Добавить комментарий Отменить ответ Ваш адрес email не будет опубликован. Обязательные поля помечены * Комментарий * Имя * Email * Сохранить моё имя, email и адрес сайта в этом браузере для последующих моих комментариев.