Здравствуйте, дорогие друзья! А знаете, что сегодня намного проще потерять деньги из-за хакеров и других невидимых недоброжелателей, чем когда-либо ранее? Взлом Wi-Fi, кража персональных данных и другие неприятные особенности современного мира — то, с чем уже успели столкнуться многие. Поэтому хочу начать цикл публикаций о сетевой безопасности. И начнем мы сегодня с таких важных вопросов как аутентификация, авторизация и идентификация.
Сегодняшний материал посвящен объяснению сложных понятий простыми словами. Вы узнаете о том, что такое аутентификация, ведь она применяется в разных сферах и на разных устройствах — на телевизоре, на айфоне, на компьютере.
Что такое аутентификация?
Простыми словами, это — проверка подлинности. Но вы ведь можете сказать, что существует такое понятие как авторизация. И это — то же самое. Хорошо, давайте объясню поподробнее.
Например, вы — клиент банка, и у вас есть банковская карта. Вы управляете ее балансом на планшете через мобильный банк.
Как удаленный сервер, то есть мобильный сайт банка, может определить то, что именно вы пытаетесь осуществить вход в очередной раз? Очень просто. Достаточно запросить у вас логин и пароль.
Но что случится тогда, когда злоумышленник каким-либо образом узнает эти данные? Он сможет залогиниться сам и получить полный доступ к управлению вашими средствами — наберет кредитов или просто переведет на другие счета!
Поэтому придумали такую процедуру как двухфакторная авторизация:
● Первый фактор — это проверка логина и пароля;
● Второй фактор — проверка чего-то, что не подвластно взлому, например, сервис требует ввести SMS.
Таким образом, даже если взломщик правильно введет авторизационные данные, то все равно получит информацию о том, что авторизация держателя карты завершена неуспешно, так как просто не сможет подтвердить доступ с помощью SMS.
Но вы ведь скажете, что в случае кражи смартфона злоумышленники легко получат доступ и к SMS, и к браузеру, в котором многие часто хранят авторизационные данные.
Все верно, поэтому двухфакторную аутентификацию следует настраивать правильно, и сейчас я вам это продемонстрирую на примере известного сервиса электронных платежей WebMoney.
Пример 2-факторной аутентификации на примере WebMoney
Друзья, если вы используете сервис WebMoney, то, наверное, заметили, что совершение платежей немножко задерживается из-за необычной процедуры подтверждения. Но мне кажется, что именно благодаря этой процедуре WebMoney и обеспечивают высочайшую безопасность для ваших средств. С ними не сравнятся ни Яндекс Деньги, ни банковские сервисы.
Давайте попробуем залогиниться, и вы сразу поймете, что к чему.
● Захожу на веб-сайт webmoney.ru через ноутбук (это важно!) и вижу предложение ввести свой логин и пароль:
Ввожу, распознаю цифры 76130 и нажимаю Enter. Это — первая часть.
● А теперь получаю запрос: мне необходимо зайти в приложение, которое уже установлено на моем смартфоне, ввести код вопроса и ответ, который будет сгенерирован автоматически. Я не знаю алгоритма, по которому осуществляется генерация ответа, и злоумышленники тоже не знают. Можно упростить, просто распознав QR-код:
● Открываю поэтому приложение и получаю ответ с помощью смартфона:
Итог — авторизация успешная.
Вы поняли, зачем такие сложности?
● Если я вдруг потеряю доступ к смартфону, то злоумышленники все равно не смогут залогиниться в мой аккаунт Webmoney.
● Если же потеряю сам ноутбук, то с одним смартфоном тоже ничего не добьются, потому что не будут знать, какой следует вводить логин и пароль.
Это и есть самая мощная авторизация и идентификация, когда задействовано два разных устройства. Но банки обычно не прибегают к такому, просто потому что это достаточно сложно. Все же хотят удобства, вы же хотите, чтобы управление счетом осуществлялось исключительно с помощью одного устройства — смартфона, не так ли?
Вот поэтому мы так часто читаем в сети отзывы о том, что сняли деньги с карты Сбербанка, взломали доступ в ВК, подобрав пароль и введя полученную SMS, которая была доставлена на тот же смартфон. Помните: даже современные сервисы по типу IDAP, не помогут защитить ваши средства, если вы не используете два разных устройства!
Включить или отключить дополнительную аутентификацию?
Обычно, когда речь заходит о сетевой безопасности, сервисы предлагают нам сделать самостоятельный выбор. Мы можем либо усложнять получение доступа и выполнение платежей, либо отказываться от этого. Ошибка многих пользователей, по моему мнению, — это как раз нежелание обеспечивать свою безопасность.
Поэтому я сторонник того, чтобы потратить лишние пару секунд, но всегда знать, что взломать меня невозможно, ну или это будет очень-очень сложно!
Я думаю, дорогие друзья, теперь вы понимаете, что такое аутентификация и какова её роль. Я не буду вдаваться в чисто технические моменты, например, почему не работает аутентификация Wifi на телефоне и ее как исправить.
Когда речь заходит об использовании онлайн-сервисов, многие также предпочитают прокси, чтобы каждый раз заходить с нового айпи-адреса. Не знаю, насколько это оправданно, но знаю, что жителям Украины приходится делать это вынужденно. Например, когда речь идет о входе в WebMoney, кстати, напишите в комментариях, планируете ли вы в дальнейшем пользоваться этим сервисом, учитывая фактическое уничтожение такой валюты как wmr.
В чем отличие аутентификации от идентификации и авторизации?
У вас все же может возникнуть непонимание и путаница в трех сервисах, которые используются не только хакерами, но сотрудниками банков и обычными пользователями. Объясняю. Предположим, вы хотите открыть дверь. Для этого нужен ключ.
● Так вот, ключ — это средство идентификации или идентификатор. Когда вы открываете дверь, то осуществляете процедуру аутентификации. Вот в этом-то как раз и смысл. Если кто-то сворует ключ, то получит доступ к помещению. Поэтому иногда применяется двухфакторная аутентификация. Например, в данном случае, можно соорудить конструкцию, которая бы предполагала не только открывание дверей, но и необходимость ударить в верхнем правом углу. Таким образом, вторым фактором является действие, пароль, секретное слово или что-то другое.
● А сам факт открывания двери и вхождения в помещение — это уже авторизация. То есть, когда сервис предоставляет вам доступ.
Нет особого смысла разбираться в этих понятиях, только если вы не планируете заниматься веб-разработкой или какими-либо другими высокими технологиями. Данные термины часто путают многие, даже достаточно опытные пользователи сети. Что уж говорить, в них часто не разбираются и банковские работники, которые описывают вам особенности использования их услуг!
Но вникать в это все надо, просто потому, что мы живем в мире, в котором каждый пользователь подвластен кибератакам, попыткам взлома аккаунтов в социальных сетях и другим атакам.
Теперь, друзья, хочу познакомить вас с отличной книгой Ксении Шокиной. Она называется «Миллиарды». Книга будет понятна и тем, кто уже зарабатывает, и тем, кто только начинает свой путь в сети.
На этом прощаюсь и прошу поделиться ссылкой на этот пост со всеми, кому интересны вопросы безопасности. А это, как мне кажется, каждый современный человек.
С интересом прочла вашу статью. Действительно простым языком и все стало понятно.
Безопасность превыше всего. Тоже пользуюсь двухфакторной аутентификацей. Все верно написано.
Предупрежден — значит, защищен!