Аутентифікація, авторизація та ідентифікація: як не сплутати

Для пояснення контролю доступу в кібербезпеці існує три концепції: ідентифікація, аутентифікація та авторизація. Хоча ці терміни тісно пов’язані між собою, вони мають відмінності, які необхідно роз’яснити, щоб добре зрозуміти правильну термінологію. 

Перш ніж пояснювати, що таке ідентифікація, аутентифікація та авторизація, спочатку слід визначити дві інші фундаментальні термінології контролю доступу, тобто суб’єкт і об’єкт.

Суб’єкт – це активна сутність, яка має доступ до об’єкта. У прикладі доступу користувача до файлу суб'єктом є користувач. Однак суб’єкт не обов’язково має бути живою сутністю, він також може бути програмою або процесом, який отримує доступ до об’єкта.

Об’єкт – це пасивний компонент, до якого суб’єкт має доступ. Файли, принтери, комп’ютери, бази даних є прикладами об’єктів у механізмі контролю доступу.

Що таке ідентифікація?

Ідентифікація – це процедура розпізнавання суб'єкта. Цього можна досягти за допомогою ідентифікатора користувача (наприклад, логін), ідентифікатора процесу тощо. Дуже важливо, щоб заявлені облікові дані були унікальними, щоб можна було розрізняти різні суб’єкти в системі. Тобто у системі не може бути зареєстровано два однакових ідентифікатора, два одинакових номери телефону, дві однакові електронні пошти і так далі. Наприклад, при спробі зареєструватись, користувач вводить свої дані в поле логіну, а система підсвічує поле з повідомленням «Такий користувач вже зареєстрований у системі». Це приклад ідентифікації. 

На формі авторизації, показаній на скріншоті, ідентифікатором є номер телефону. 

Що таке аутентифікація?

Після того, як суб’єкт ідентифікує себе, його потрібно аутентифікувати, тобто суб’єкт має довести, що він той, ким себе видає. Цей доказ ідентичності досягається шляхом надання облікових даних механізму контролю доступу. Далі перевіряється дійсність наданих облікових даних перед тим, як затвердити запит на аутентифікацію. Іншими словами, аутентифікація визначає, що суб’єкт як володіє, так і контролює надані облікові дані (аутентифікатори). Деякими прикладами облікових даних, які можна використовувати для підтвердження особи, є паролі, PIN-коди, цифрові підписи, біометричні дані тощо.

Облікові дані, які використовуються для аутентифікації, можна розділити на декілька різних груп, які також називають факторами аутентифікації:

• Щось, що ви знаєте (фактор знання), як-от пароль, персональний ідентифікаційний номер (PIN-код) або парольна фраза. Однак, такий тип є слабозахищеним. Зловмисники знаходять способи дізнатись пароль, а також відповіді на контрольні запитання можуть бути відомі широкому загалу.

Наприклад, на скріншоті зображено метод аутентифікації типу 1, тобто за паролем. 

•  Те, що у вас є (фактор володіння), наприклад смарт-карта, карта пам’яті, смартфор, токен. Цей спосіб є більш захищеним, проте його вартість є високою. 
• Щось, що ви є (біометрія) (фактор властивості), як-от відбиток пальця, топологія долоні, геометрія руки, сканування райдужної оболонки/сітківки або розпізнавання фази. Цей фактор є досить перспективним, але також дороговартісним, оскільки біометрична система має бути вискочутливою. 
• Щось, що ви робите (поведінкова біометрія) (фактор властивості), наприклад шаблон набору тексту (динаміка натискання клавіш), шаблон підпису (динаміка підпису) або шаблон голосу.

Якщо система аутентифікації вимагає принаймні два види облікових даних, які належать до різних категорій аутентифікації, це називається багатофакторною аутентифікацією (multi-factor authentication, MFA). Наприклад, використання паролю (щось, що ви знаєте) і відбитка пальця (те, що ви є) для аутентифікації вважається багатофакторною аутентифікацією, тоді як використання паролю та PIN-коду – ні (оскільки і паролі, і PIN-коди належать до однакового фактору аутентифікації).

Як приклад:

1. Користувач знаходиться на формі авторизації в систему.
2. Користувач вводить своє ім'я та пароль (фактор знання). 
3. Коли система розпізнає користувача, йому буде запропоновано розпочати другий етап процесу входу в обліковий запис. На цьому етапі потрібно підтвердити наявність речі, наприклад посвідчення особи або смартфон, тобто підтвердити фактор володіння. Зазвичай використовується одноразовий код доступу, який надсилається на відповідний номер телефону, що далі використовується для підтвердження особи.
4. Нарешті, користувач вводить код доступу, і після того, як сайт аутентифікує його, йому буде надано доступ.

Що таке авторизація?

Після аутентифікації система дізнається, хто є суб’єктом, який хоче отримати доступ до об’єкта.

Далі авторизація визначає рівень доступу суб’єкта до об’єкта. Іншими словами, авторизація перевіряє наявність прав для взаємодії з об'єктом.

Наприклад, у багаторівневій системі безпеки, де об’єкти позначені різними мітками класифікації (такими як «Цілком таємно», «Секретно», «З обмеженим доступом», «Несекретно»), факт аутентифікації суб’єкта не обов’язково означає, що він може мати повний доступ до будь-якого об’єкта (або повні привілеї над об’єктом). У такій системі суб’єктам надається доступ відповідно до їхніх рівнів доступу. Іншим прикладом є привілеї читання, запису та виконання, призначені суб’єктам керування файловою системою в операційних системах.

Наприклад, ви зайшли в систему як звичайний користувач, але система могла авторизувати вас як адміністратора. У даному випадку система надала право, наприклад, на редагування чи видалення інформації. 

Це дуже важливо з погляду безпеки – наскільки система правильно поводиться на етапі ідентифікації, потім на етапі аутентифікації та в результаті авторизації.

Тестувальник перевіряє, чи все відбувається згідно з вимогами, чи немає помилок, тому що баги на етапах ідентифікації/аутентифікації/авторизації можуть бути критичними.

Підсумовуючи, що таке ідентифікація, аутентифікація та авторизація: ідентифікація відбувається, коли суб’єкт заявляє про свою особу, аутентифікація відбувається, коли цей суб’єкт додатково надає облікові дані, а через авторизацію керуються рівні доступу та привілеї суб’єкта.