Что такое аутентификация и как устранить ошибку аутентификации?

Что такое аутентификация?

Чтобы получить доступ к беспроводной сети могли только конкретные лица, была создана специальная технология защиты. Она позволяет обезопасить интернет-канал от использования злоумышленниками. Для обеспечения достойного уровня защиты применяется высококачественное шифрование данных, а также осуществляется проверка подлинности с минимальной вероятностью подбора пароля.

Аутентификация – это процесс идентификации пользователей с использованием определенной политики безопасности.

Процедура проверки проводится с применением шифрования данных. Исходный набор символов преобразуется при помощи специального алгоритма. Существуют различные протоколы шифрования, обеспечивающие разный уровень защиты от несанкционированного доступа.

Способ шифрования данных для сетей Wi-Fi выбирается непосредственно в настройках роутера. Наибольшей популярностью пользуется проверка подлинности по технологии WPA-PSK/WPA2-PSK. Здесь доступны два варианта. В первом из них все участники сети используют разные ключи, а во втором – один и тот же.

Внимание: есть различные способы, позволяющие получить рут-права на Андроид. Для этого могут использоваться как специальные приложения, так и программное обеспечение на персональном компьютере.

Методы и средства аутентификации

Методы аутентификации делятся на четыре основные группы в зависимости от используемых в процессе проверки подлинности средств. Так, различают методы, основанные на:

• Знаниях, которыми владеет субъект (парольные методы).
• Предметах, которые принадлежат субъекту (комбинированные).
• Свойствах данных субъекта (биометрические).
• Информации, которая имеет непосредственное отношение к субъекту.

Парольные методы

Наиболее распространенные методы аутентификации, основанные на секретных характеристиках субъектов — паролях. В процессе проверки подлинности система сравнивает указный пользователем пароль с эталонным паролем, который хранится в ее БД в зашифрованном виде. Для аутентификации посредством данного метода могут использоваться постоянные (многоразовые, неизменные для каждой сессии) или динамические (одноразовые, постоянно меняющиеся для каждой сессии) пароли.

Комбинированные методы

Сущность данного метода заключается в использовании для подтверждения подлинности субъекта помимо пароля дополнительных предметов (мобильных телефонов, смарт-карт, токенов) или атрибутов (криптографических сертификатов). Авторизация при помощи предметов и атрибутов субъекта происходит только при наличии специального устройства, которое может считывать информацию с перечисленных идентификаторов.

Биометрические методы

Для аутентификации посредством биометрического метода субъекты должны пройти сканирование и анализ одного или нескольких физиологических (отпечатки пальцев, радужная оболочка глаза, сетчатка глаза, кисть руки, черты лица) или поведенческих характеристик (подпись, тембр голоса, клавиатурный почерк). Данный метод, как правило, используется только на особо важных объектах и системах, так как требует наличия специальной дорогостоящей техники и оборудования.

Методы, основанные на информации о субъекте

Данная группа методов относится к новейшим механизмам аутентификации: в основе лежит использование спутниковой системы навигации GPS. Основным идентификатором подлинности субъекта является его местонахождение.

Как убрать ошибку аутентификации?

Существуют разные причины, по которым сетевые устройства не могут идентифицировать друг друга. Самая банальная из них — неправильное введение пароля при подключении. Если же с этим проблем нет, то стоит обратить внимание на другие варианты. Их несколько:

1. Ошибка аутентификации часто происходит из-за несовместимости вариантов шифрования сети. Они могут быть выставлены неправильно. Для этого придется войти в настройки роутера и переключить используемый тип шифрования данных на поддерживаемый телефоном.
2. Еще одна причина – неподходящий режим работы сети Wi-Fi. Здесь важную роль играет максимально возможная скорость передачи данных. Некоторые смартфоны не поддерживают высокоскоростные режимы, из-за чего и происходит ошибка. Вместо параметра «b/g/n» нужно попробовать установить «b/g».
3. Часто в настройках роутера вводят пароль с ошибкой, после чего не получается подключить телефон или планшет к сети. Чтобы исключить эту проблему, рекомендуется задать новый пароль, состоящий только из цифр. Его всегда можно поменять в случае необходимости обратно.
4. Иногда аутентификация пользователя невозможна из-за программной ошибки в определенной версии операционной системы Android. Проверить это можно, если полностью отключить шифрование данных в настройках. Если будет выявлено именно это, то придется обновить версию Андроид.

Интересно: многие абоненты используют Интернет Мегафона на компьютере. Модем для подключения можно настроить разными способами, выбрав для себя наиболее оптимальный из них.

Многофакторная аутентификация

Многофакторная аутентификация подразумевает предъявление более чем одного «доказательства» способа аутентификации для доступа к данным. 

Такими «доказательствами» могут быть:

• определенное знание — информация, которой владеет пользователь (пин-код, пароль, кодовое слово);
• владение — предмет, который есть у субъекта (флеш-память, электронный пропуск, магнитная банковская карточка, токен);
• свойство — качество, присущее исключительно субъекту — сюда относят данные биометрии и персональные отличия: форма лица, индивидуальные особенности радужной и сетчатой оболочки глаза, отпечатков пальцев.

Одной из разновидностей многофакторной аутентификации является двухфакторная аутентификация (также называется двухэтапной или двойной). Такой способ подразумевает под собой проверку данных пользователя на основании двух отличных друг от друга компонентов.

Примером двухэтапной аутентификации являются сервисы от Google и Microsoft. При попытке авторизации с нового устройства, помимо логина и пароля, необходимо также ввести код, который состоит из шести (Google) или восьми (Microsoft) знаков. Получить его можно одним из перечисленных способов:

• SMS-сообщение на мобильный телефон;
• голосовой вызов на телефон;
• реестр одноразовых кодов;
• программа-аутентификатор для мобильного или ПК.

Выбрать способ подтверждения можно в личном кабинете вашей учетной записи.

Основными преимуществами двойной аутентификации является удобство (смартфон всегда под рукой) и безопасность (постоянное изменение кода подтверждения).

Данный метод также имеет определенные недостатки. Проблемы с мобильной сетью могут стать помехой для получения кода подтверждения, а само смс-сообщение может быть перехвачено злоумышленниками. Существует также некоторая задержка при получении SMS, которая связана с процедурой проверки подлинности.

Классификация видов аутентификации

В зависимости от количества используемых методов

• Однофакторная. Используется только один метод.
• Многофакторная. Используется несколько методов.

В зависимости от политики безопасности систем и уровня доверия

• Односторонняя. Пользователь доказывает право доступа к ресурсу его владельцу.
• Взаимная. Проверяется подлинность прав доступа и пользователя и владельца сайта. Для этого используют криптографические способы.

Чтобы защитить владельца сайта от злоумышленников, используют криптографические протоколы аутентификации.

Типы протоколов обусловлены тем, где происходит аутентификация — на PC или в сети.

Аутентификация на PC

• Login
• PAP (Password Authentication Protocol) — логин и пароль
• Карта доступа — USB и сертификаты
• Биометрические данные

Аутентификация в сети

• Cookies. Используются для отслеживания сеанса, сохранения предпочтений и сбора статистики. Степень защиты невысокая, однако привязка к IP-адресу решает эту проблему.
• Kerberos. Протокол взаимной аутентификации с помощью криптографического ключа.
• SAML (Security Assertion Markup Language) Язык разметки, который позволяет сторонам обмениваться данными аутентификации.
• SNMP (Simple Network Management Protocol) Протокол, который контролирует подключенные к сети устройства.
• Сертификаты X.509 Сертификаты с открытым ключом.
• OpenID Connect. Используется для создания единой учетной записи для аутентификации на разных ресурсах.

Примеры

Пользователь хочет войти в свой аккаунт Google (Google подходит лучше всего, потому что там процедура входа явным образом разбита на несколько простейших этапов). Вот что при этом происходит:

• Сачала система запрашивает логин, пользователь его указывает, система распознает его как существующий — это идентификация.
• После этого Google просит ввести пароль, пользователь его вводит, и система соглашается, что пользователь действительно настоящий, ведь пароль совпал, — это аутентификация.
• Возможно, Google дополнительно спросит еще и одноразовый код из SMS или приложения. Если пользователь и его правильно введет, то система окончательно согласится с тем, что он настоящий владелец аккаунта, — это двухфакторная аутентификация.
• После этого система предоставит пользователю право читать письма в его почтовом ящике и все остальное — это авторизация.

Аутентификация без предварительной идентификации лишена смысла – пока система не поймет, подлинность чего же надо проверять, совершенно бессмысленно начинать проверку. Для начала надо представиться.

Идентификация без аутентификации не работает. Потому что мало ли кто ввел существующий в системе логин! Системе обязательно надо удостовериться, что этот кто-то знает еще и пароль. Но пароль могли подсмотреть или подобрать, поэтому лучше подстраховаться и спросить что-то дополнительное, известное только данному пользователю: например, одноразовый код для подтверждения входа.

А вот авторизация без идентификации и аутентификации очень даже возможна. Например, в Google Документах можно публиковать документы так, чтобы они были доступны всем. В этом случае вы как владелец файла увидите сверху надпись, гласящую, что его читает неопознанный субъект. Несмотря на это, система его все же авторизовала – то есть выдала право прочитать этот документ.

Но если вы открыли этот документ для чтения только определенным пользователям, то им в таком случае сперва пришлось бы идентифицироваться (ввести свой логин), потом аутентифицироваться (ввести пароль и одноразовый код) и только потом получить право на чтение документа – авторизоваться.

Если же речь идет о содержимом вашего почтового ящика, то Google никогда и ни за что не авторизует неопознанного субъекта на чтение вашей переписки.

Протоколы аутентификации

Пользователь использует для аутентификации персональный идентификатор ─ неповторимый ключ (при идентификации через протокол) или пароль. 

Характеристики протоколов аутентификации:

вычислительная эффективность – число операций, что требуются для корректного выполнения протокола;

 

коммуникационная эффективность – длина и число сообщений, диктуемых аутентификацией;

 

присутствие третьей стороны – сервера для распределения ключей или сервера реализации открытых сертификатов;

 

гарантия безопасности;

 

хранение секрета – способ хранения информации.

Говоря о безопасности протоколов и их возможности противостоять ряду атак, выделяют одностороннюю аутентификацию, двухстороннюю аутентификацию и криптографические протоколы аутентификации.

Виды аутентификации

Пользователи интернета в моем представлении подразделяются на оптимистов и параноиков. Оптимисты не заморачиваются кодами и сложными паролями. Фамилия, дата рождения или слово “qwerty” вполне могут стать их паролем от аккаунта в соцсети или электронной почты. Главное, чтобы было легко запомнить.

Параноики придумывают сложные пароли, шифры и коды, выходят в интернет только со своих устройств и через проверенные сети, пароли хранят у жены в чулке. Они всегда обеспокоены безопасностью.

Если вы относитесь к оптимистам, то я должна вас предупредить. В интернете, как и в реальной жизни, довольно много желающих воспользоваться вашим простодушием, украсть коды доступа, взломать аккаунт, снять деньги со счета. Для этого уже придумано множество технических средств и способов развода.

Поэтому системы аутентификации постоянно совершенствуются, чтобы уменьшить шансы злоумышленников. С другой стороны, каждый сервис, сайт, приложение стремится к тому, чтобы пользователям было удобно и приятно.

Со временем для разных случаев появились такие виды аутентификации:

• С помощью пароля, специального слова или кода. Этот вариант используется очень часто и в целом обеспечивает достаточную простоту доступа к программам и сервисам, но в последнее время часто является недостаточным. Появляется все больше программ для подбора паролей и все больше хитростей для их выманивания у пользователей.
• С помощью специального устройства, физического носителя. Примерами могут служить банковская карта, электронная подпись, ключи для входа в онлайн-банк предприятия. Это распространенный тип аутентификации, но, к сожалению, физический носитель также могут украсть.

• С помощью биометрических данных. Это может быть ваш голос, лицо, отпечаток пальцев, сетчатка глаза. Этот вариант считается наиболее надежным, но систем, которые его используют, не так уж много, и стоят они дорого.
• Сквозная. В данном случае проверку нужно пройти в одной программе, а пользоваться можно несколькими сервисами и приложениями без необходимости каждый раз авторизовываться. Примером может служить вход в Google-аккаунт. Войдя в него, вы автоматически получаете доступ к облачному хранилищу, почте, своему YouTube-каналу и другим сервисам.

Как видите, есть разные виды аутентификации для разных программ и случаев. Использовать нужно один из них или несколько вместе в зависимости от целей и задач.

Включить или отключить дополнительную аутентификацию?

Обычно, когда речь заходит о сетевой безопасности, сервисы предлагают нам сделать самостоятельный выбор. Мы можем либо усложнять получение доступа и выполнение платежей, либо отказываться от этого. Ошибка многих пользователей, по моему мнению, — это как раз нежелание обеспечивать свою безопасность.

Поэтому я сторонник того, чтобы потратить лишние пару секунд, но всегда знать, что взломать меня невозможно, ну или это будет очень-очень сложно!

Я думаю, дорогие друзья, теперь вы понимаете, что такое аутентификация и какова её роль. Я не буду вдаваться в чисто технические моменты, например, почему не работает аутентификация Wifi на телефоне и ее как исправить.

Когда речь заходит об использовании онлайн-сервисов, многие также предпочитают прокси, чтобы каждый раз заходить с нового айпи-адреса. Не знаю, насколько это оправданно, но знаю, что жителям Украины приходится делать это вынужденно. Например, когда речь идет о входе в WebMoney, кстати, напишите в комментариях, планируете ли вы в дальнейшем пользоваться этим сервисом, учитывая фактическое уничтожение такой валюты как wmr.

Чем двухуровневая проверка лучше одноуровневой

Двухфакторная аутентификация подразумевает использование сразу двух перечисленных выше методов защиты. Например, мы вставляем карту в терминал и вводим ПИН-код. Или вводим учетные данные от страницы в соцсети и затем получаем одноразовый код на телефон, привязанный к аккаунту.

Такая двойная проверка не требует больших финансовых затрат, она довольно простая и удобная для пользователей, а также значительно увеличивает безопасность данных.

Параноики считают, что можно сделать даже трех- и четырехуровневую проверку, главное, чтобы враги не получили доступ к информации. Но такие меры чаще всего являются излишними, значительно усложняют и замедляют все операции. Можно сказать, что двухэтапная проверка – это компромиссное решение для безопасности и удобства.

Элементы аутентификации

1. Субъект — пользователь
2. Характеристика субъекта — информация, предоставляемая пользователем для проверки подлинности.
3. Владелец системы аутентификации — владелец ресурса.
4. Механизм аутентификации — принцип проверки
5. Механизм авторизации — управление доступом

Отслеживание процесса аутентификации пользователем

Безопасность пользовательских данных во многом зависит от поведения самого пользователя. Многие веб-ресурсы отслеживают подозрительную активность и уведомляют об этом владельца учетной записи. К примеру, Google фиксирует IP-адреса, с которых осуществлялся вход в систему, логирует процесс авторизации и предоставляет пользователю произвести следующие настройки:

• переключиться на передачу информации только через HTTPS;
• включить функцию отслеживания подозрительных сессий: в данном случае Google будет присылать вам уведомления об активности аккаунта в подозрительное время, большое количество исходящего спама, удаление старых сообщений и т.д.;
• отслеживать списки третьих сторон, которые имеют доступ к тем же сервисам Google, что и пользователь.

Другой пример — компания IBM. Включив функцию аудита сеансов пользователя, вы получаете доступ к следующей информации:

• время входа и продолжительность сеанса;
• имя пользователя;
• вид сеанса (с использованием регистрации или без него);
• успешность в аутентификации или невозможность совершить проверку;
• точка, с которой выполнялся вход в систему.

Пример 2-факторной аутентификации на примере WebMoney

Друзья, если вы используете сервис WebMoney, то, наверное, заметили, что совершение платежей немножко задерживается из-за необычной процедуры подтверждения. Но мне кажется, что именно благодаря этой процедуре WebMoney и обеспечивают высочайшую безопасность для ваших средств. С ними не сравнятся ни Яндекс Деньги, ни банковские сервисы.

Давайте попробуем залогиниться, и вы сразу поймете, что к чему.

● Захожу на веб-сайт webmoney.ru через ноутбук (это важно!) и вижу предложение ввести свой логин и пароль:

Ввожу, распознаю цифры 76130 и нажимаю Enter. Это — первая часть.

● А теперь получаю запрос: мне необходимо зайти в приложение, которое уже установлено на моем смартфоне, ввести код вопроса и ответ, который будет сгенерирован автоматически. Я не знаю алгоритма, по которому осуществляется генерация ответа, и злоумышленники тоже не знают. Можно упростить, просто распознав QR-код:

● Открываю поэтому приложение и получаю ответ с помощью смартфона:

Итог — авторизация успешная.

Вы поняли, зачем такие сложности?

● Если я вдруг потеряю доступ к смартфону, то злоумышленники все равно не смогут залогиниться в мой аккаунт Webmoney.

● Если же потеряю сам ноутбук, то с одним смартфоном тоже ничего не добьются, потому что не будут знать, какой следует вводить логин и пароль.

Это и есть самая мощная авторизация и идентификация, когда задействовано два разных устройства. Но банки обычно не прибегают к такому, просто потому что это достаточно сложно. Все же хотят удобства, вы же хотите, чтобы управление счетом осуществлялось исключительно с помощью одного устройства — смартфона, не так ли?

Вот поэтому мы так часто читаем в сети отзывы о том, что сняли деньги с карты Сбербанка, взломали доступ в ВК, подобрав пароль и введя полученную SMS, которая была доставлена на тот же смартфон. Помните: даже современные сервисы по типу IDAP, не помогут защитить ваши средства, если вы не используете два разных устройства!

Двухфакторная (2FA — двухэтапная) аутентификация

Например, во многих кошельках для хранения криптовалюты, и прочих сервисах связанных с доступом к деньгам, двухфакторная аутентификация сводится к следующему:

Первым этапом проверки подлинности служит обычный вход с помощью логина и пароля (многоразового, т.е. постоянного, не меняющегося на протяжении какого-то времени).

А вот второй этап обычно сводится к вводу еще и одноразового пароля (при следующем входе он будет уже другой). Эти пароли сообщаются непосредственно в процессе входа в систему и передают пользователю обычно так:

1. В СМС-сообщении на ваш мобильный телефон, но иногда эти одноразоваые пароли могут присылать на электронную почту или в ваш телеграм.
2. С помощью специально предназначенного для этого приложения, которое устанавливается на мобильный телефон и проходит привязку к данному сервису. Чаще всего для этой цели используют Google Authenticator или Authy (их еще называют 2FA-токены).

Что это дает? Существенное повышение безопасности и снижение риска аутентификации вместо вас мошенников. Дело в том, что перехватить одноразовый пароль намного сложенее, чем узнать пароль многоразовый. К тому же, получить доступ к мобильному телефону (да и просто узнать его номер) намного сложнее, чем покопаться у вас на компьютере или в электронной почте.

Но это лишь один из примеров двухфакторной аутентификации (2FA). Возьмем уже упоминавшиеся выше банковские карты. Тут тоже используется два этапа — проверка подлинности с помощью устройства (идентификационного кода на карте) и с помощью ввода личного пароля (пинкода).

Еще пример из фильмов, когда сначала вводят код доступа, а потом идет проверка сетчатки глаза или отпечатка пальца. По идее, можно сделать и три этапа, и четыре, и пять. Все определяется целесообразностью соблюдения компромисса (что это такое?) между обострившейся паранойей и разумным числом проверок, которые в ряде случаев приходится проходить довольно часто.

В большинстве случаев хватает совмещения двух факторов и при этом не доставляет очень уж больших неудобств при частом использовании.

Способы аутентификации

Условно используемые методы аутентификации разделяются на два типа: одно и двустороннюю, где проверка осуществляется на одной стороне или проверку выполняют обе стороны. Ещё используются однофакторный способ – ввод пароля, криптографический – с использованием ключа. Причем используются два вида пароля – постоянный, одноразовый – каждый раз новый.

Ниже рассмотрим несколько популярных протоколов аутентификации.

Базовая

В основе данного метода используется известная комбинация — логина и пароля. Вы вводите данные, система сверяет информацию в базе, при совпадении, разрешает вход, например на страницу социальной сети, форума или сайта. При этом информация отправляется в незашифрованном виде, что позволяет злоумышленникам, легко перехватить данные.

Дайджест

Аналогичный базовому способу вид аутентификации, с передачей логина и пароля. При этом к паролю добавляется хэш – строка, состоящая из произвольного набора символов. При каждом посещении сайта, генерируется уникальный код, что не позволяет злоумышленникам перехватить и расшифровать пароль. На основе такого метода работает большинство современных браузеров.

HTTPS

При использовании данного метода, логин и пароль шифруется. Аналогичные действия выполняются и с другими данными – адреса, реквизиты кредитных и банковских карт. При этом такой способ существенно ухудшает скорость соединения.

Цифровой сертификат

Использование такого протокола, подразумевает отправку пользователю адреса, в виде набора символов. В качестве ответа используется запрос сервера, подписанный с использованием персонального ключа.

Использованием Cookies

Посещая определенный ресурс, на стороне пользователя сохраняются данные, именуемые куки. При последующем подключении к сайту, браузер отправляет сохраненную часть данных, в виде одной из составных частей HTTPS запроса. Кроме того куки используются для сохранения настроек пользователем. Степень защищенности такого метода – низкая, поскольку похитить куки не составляет сложностей.

Отличие от идентификации и авторизации

Эти понятия легко можно спутать, потому что они являются этапами одного процесса, частями мозаики. Вернемся к нашему примеру с дверью в квартиру. Чтобы открыть ее, нам нужен ключ, он выступает идентификатором, то есть инструментом, при помощи которого мы будем совершать нужное действие. Вставили его в замок, покрутили – прошли идентификацию.

Если двери открылись, значит, идентификатор верный, подлинный. Это уже аутентификация или, говоря другими словами, процедура проверки. Последний этап – авторизация, мы входим в квартиру, то есть получаем доступ.

Теперь пример с социальными сетями. Мы открываем сайт или приложение в телефоне, вводим логин и пароль – это наши идентификаторы. Затем нажимаем Enter, и информация отправляется на аутентификацию. Программа проверяет, существует ли пользователь с такими учетными данными. Если мы все сделали правильно, то происходит авторизация. Мы входим в социальную сеть и попадаем именно на свою страницу, видим оповещения, диалоги с друзьями, добавленные записи в ленте.

Если вы перепутаете эти термины, ничего страшного, но чтобы понимать, о чем конкретно идет речь в том или ином случае, лучше научиться их отличать.

Аутентификация в контексте информационной безопасности

Аутентификация является промежуточной стадией процедуры предоставления доступа к информационным ресурсам системы. Аутентификация происходит после успешной идентификации и предшествует авторизации.

Взаимосвязь идентификации, аутентификации и авторизации

Наверное, вы уже догадались, что все три процедуры взаимосвязаны:

1. Сначала определяют имя (логин или номер) – идентификация
2. Затем проверяют пароль (ключ или отпечаток пальца) – аутентификация
3. И в конце предоставляют доступ – авторизация

Инфографика: 1 — Идентификация; 2 — Аутентификация; 3 — Авторизация