После прочтения комментариев к статье о взломанном iCloud у меня сложилось впечатление, что, как бы так помягче выразиться, некоторые пользователи являются технически безграмотными. Безусловно, TJ не является техническим IT-ресурсом, вдобавок ко всему, нас здесь много и все мы разные. Тем не менее, многие пользователи не отказывают себе в удовольствии принять участие в обсуждении статей, посвящённых абсолютно разным темам: от фотографий котиков в Instagram до возможности межгалактических путешествий - и в этом, на мой взгляд, нет ничего плохого. Плохо лишь то, что некоторые пользователи предпринимают попытки рассуждения над теми вопросами, в которых, как мне порою кажется, они ровным счётом ничего не смыслят. Именно это наблюдение и заставило меня сегодня написать здесь свою первую статью.
Итак, как некоторые уже наверняка догадались, речь сегодня пойдёт об аутентификации и её так называемых факторах. Читая комментарии, какие варианты названий это процедуры я только не повстречал: тут вам и двухфазная аутентификация, и двухфакторная авторизация. В общем, как у Лермонтова: "Смешались в кучу кони, люди, и залпы тысячи орудий". Давайте же постепенно во всём разберёмся.
Аутентификация, как кто-то из вас уже заметил, - это процедура, или, если быть точным, это одна из трёх последовательно выполняемых процедур процесса регистрации субъекта в системе. В роли субъекта могут выступать человек, другая система или процесс.
Первая процедура процесса регистрации - идентификация - это процедура распознавания субъекта по его идентификатору. Тут всё просто: вы представляете себя системе, а система проверяет, "знакомы" ли вы друг с другом.
Вторая процедура - аутентификация - это процедура проверки подлинности субъекта, предназначенная для того, чтобы определить, действительно ли вы являетесь тем, чей идентификатор вы только что предоставили системе. Важно то, что процедура аутентификации не начнётся до тех пор, пока не будет успешно завершена (пройдена) процедура идентификации.
Наконец, третья процедура - авторизация - это процедура предоставления субъекту определённых прав доступа к ресурсам системы. Авторизация не начнётся, пока не будет успешно завершена процедура аутентификации.
Идентификация и авторизация нам не так интересны, как аутентификация. Аутентификация осуществляется следующим образом: субъект, который намеревается зарегистрироваться в системе и уже прошёл процедуру идентификации, теперь должен доказать, что он действительно является тем, за кого себя выдает. Для этого ему необходимо предоставить системе какую-то секретную информацию, которую знают лишь он и система. Эта информация может быть разной: пароль, smart-карта или отпечаток пальца и др. Так вот, вид предоставляемой информации определяет фактор аутентификации.
Как правило, выделяют три фактора аутентификации: на основе знания чего-либо, на основе обладания чем-либо и на основе биометрических характеристик.
Когда в процедуре аутентификации участвуют два или более факторов, такую процедуру аутентификацию называют многофакторной (в частности, двухфакторной или трёхфакторной в зависимости от числа факторов). Многофакторная аутентификация тоже бывает разной: типа 12, типа 13, типа 23, типа 123. Цифры здесь означают вид используемых факторов (1 для "знаний", 2 для "обладания" и 3 для "биометрии"). Таким образом, двухфакторная аутентификация не всегда сочетает такие два фактора, как пароль и одноразовое SMS сообщение с кодом (кстати, вопрос на засыпку: к какому фактору относится SMS с кодом?).
Я вовсе не намеревался писать так много слов, но так уж вышло. Надеюсь, вы простите меня за это. Кроме того, на мой взгляд, было бы здорово, если бы такие познавательные статьи, посвящённые разным тематикам (кто в чём специалист, так сказать), почаще появлялись в блогах участников клуба.
На этом всё. Спасибо за внимание. С наступившим вас всех Новым годом!
Комментарий удален модератором
Поясните, пожалуйста. На эту надпись заменяются удаленные комментарии, я правильно понял ?
На Хабре. Не здесь. Это автор комментария шутит.
Поддерживаю идею разъяснений для чайников и кофеварок.
Так глубоко я не вдумывался в этот вопрос, теперь буду со знанием дела говорить :)
SMS-сообщение - фактор обладания симкой же да?
Скорее не симкой, а номером телефона. Вернее даже возможностью прочитать сообщение, направленное на этот номер (временный физический доступ к аппарату, доступ с соответствующими привилегиями к оборудованию оператора связи, через которое передаются сообщения и т.д.).
Не ну, нюансы могут быть, но суть то я уловил!
Скорее не номером, а конфиденциальной информацией, которая была отправлена на этот номер.
Вопрос был с подвохом. Действительно, SMS с кодом, отправляемая на указанный субъектом номер, способна с некоторой долей вероятности подтвердить, что субъект действительно является тем, за кого себя выдаёт. SMS отправляется на определённый номер, следовательно, можно предположить, что вторым фактором аутентификации является фактор обладания номером/SIM-картой. Однако не стоит забывать о вводимом вами одноразовом пароле. Есть такое понятие - One-Time Password (OTP) - одноразовый пароль. Существуют специализированные устройства - OTP-токены, генерирующие такие пароли. Часто они похожи на обыкновенные USB-флешки, в корпус которых встроен небольшой экран, быть может, кто-то из вас видел. В процессе аутентификации на экране OTP-токена появляется пароль, который вам необходимо ввести, например, в какую-нибудь форму на экране компьютера. Пароль этот генерируется на основе какой-нибудь открытой информации, посылаемой сервером аутентификации OTP-токену, при помощи некоторого механизма генерации паролей (ключей). Когда вы получаете SMS с кодом, ваш телефон, так сказать, выполняет функцию OTP-токена, в котором, однако, отсутствует какой-либо механизм генерации ключей. За вас уже всё сделал сервер аутентификации. Но в общем Вы были правы: SMS с кодом - это фактор "обладания".
Вспомнилось, как мне в универе читали курс защиты информации. Там тоже подробно рассказывали отличия идентификации, аутентификации, авторизации и еще верификации. Абсолютно все (в том числе и я) путали эти понятия. И на них жестко валили на экзамене. :)
Автор, поделись, пожалуйста своим мнением по поводу, какие способы аутентификации придут на встречу паролю. Будут ли использоваться устройства с NFC для этих целей например или УЭК
А что, пароль с кем-то встречается?
Он в активном поиске замены.
Комментарий недоступен
Ну вот, кажется я зря писал статью :)
А для чего Вы используете USB-ключи, если не секрет?
Комментарий недоступен
Не думаю, что в скором времени мы будем наблюдать отказ от использования паролей как одного из средств аутентификации на основе знания. Парольная аутентификация не зря обладает такой популярностью: она относительно проста и недорога в реализации. Пароли используются уже более двух тысяч лет, и в настоящий момент, на мой взгляд, нет ни причин от них отказываться, ни сопоставимых альтернатив. Что касается NFC, то это просто технология беспроводной связи с малым радиусом действия. Это лишь средство для установления связи с сервером аутентификации. Однако в связке со специализированным программным обеспечением NFC может помочь превратить устройство в смарт-карту.
В настоящий момент набирает популярность технология децентрализованной системы аутентификации, когда пользователь создаёт единственную учётную запись в одной системе, а затем с помощью неё регистрируется на других.
К чему я клоню. К тому, пароль какой длины можно считать безопасным. (При условии наличия в нем цифр, букв разного регистра и непохожести на существуюущие слова) Могу ошибаться, но это что-то более 8 символов. (К слову пароли большинства людей что-то типа 06012015 или 1404Artem) То бишь при желании можно сломать пароли нескольких миллионов человек. Как выход:
1. Более длинные пароли
2. Многофакторная аутентификация
3. СМС-пароли
4. ЮСБ-токены
5. Биометрические сканеры (глаза, отпечатка пальцев)
6. Смарт-карты (ну как во многих современных офисных зданиях и предприятиях, отелях и т.п.) Можно зашить в УЭК
7. Как аналог смарт-карты можно в принципе использовать смартфон.
Безопасность пароля зависит не только от его длины, но и от того, как, кем/чем, где и когда он был сгенерирован, а также где и как он хранится. Что касается безопасности, то при плохих обстоятельствах (когда пароль известен лишь серверу и владельцу, а сам владелец, скажем, умер, и получить доступ к серверу невозможно, но нет никаких ограничений на количество попыток) на перебор всех возможных комбинаций восьмисимвольных паролей при условии, например, что за одну секунду можно проверить 1 миллиард паролей, понадобится 64^8 / 10^9 секунд. Стоит увеличить длину на пару символов, и уже можно даже не пытаться.
А есть ли функционал из оффтопа отправлять на главную?)
Комментарий недоступен
Комментарий недоступен
Затем все это дойдет до того, что TJ поделится на оригинальный TJ и какой-нибудь ClubTimes - с оффтоповыми подклубами.
а меня задизлайкали за шутки про гречку(
как найти тонкую грань хорошей шутки про гречу и плохой?
Это дано не каждому
ну вот опять! опять все меня ненавидят( ох уж эта гречка.
хорошие шутки получаются только если шутите о качественной грече (сорт обычно указан на упаковке)