“Аутентификация и авторизация, это не одно и то же, но между ними постоянно возникает путаница. При этом их фундаментальное разделение и чёткое понимание принципов взаимодействия — основа для построения надёжной системы контроля доступа. Многие уязвимости появляются из-за ошибок в разграничении этих двух процессов.”
Методы аутентификации
Аутентификация, это процесс проверки заявленной идентичности субъекта. Проще говоря, система должна получить ответ на вопрос «Ты действительно тот, за кого себя выдаёшь?» Для этого используются различные факторы, которые можно разделить на три категории:
- Знание (что вы знаете): пароль, PIN-код, ответ на секретный вопрос.
- Владение (что у вас есть): физический токен, смарт-карта, приложение-аутентификатор на телефоне.
- Свойство (кто вы есть): биометрические данные — отпечаток пальца, сканирование лица, рисунок радужной оболочки.
Чем больше факторов используется одновременно, тем выше уровень доверия к аутентификации. Однофакторная аутентификация (только пароль) сейчас считается недостаточной для защиты значимых ресурсов.
Помимо классификации по факторам, методы можно разделить по архитектурному подходу. Вот основные модели, встречающиеся в корпоративных системах:
| Метод | Суть | Типичное применение |
|---|---|---|
| Служба каталогов (LDAP, Active Directory) | Централизованное хранилище учётных записей и атрибутов пользователей. Обеспечивает единый вход (Single Sign-On, SSO) для множества приложений внутри организации. | Внутренние корпоративные сети, порталы сотрудников. |
| Федерация (SAML, OIDC) | Аутентификация через доверенного внешнего провайдера идентичности (IdP). Приложение не проверяет пароль, а доверяет криптографически подписанному утверждению от IdP. | Вход в облачные сервисы через корпоративный аккаунт, B2B-порталы. |
| Аттестация на основе сертификатов | Использование цифровых сертификатов X.509, хранящихся на токене или в защищённом хранилище. Личность подтверждается электронной подписью. | Квалифицированная электронная подпись, доступ к государственным информационным системам, защищённые VPN-подключения. |
Дополнительные технологии и факторы
Для реализации второго фактора (владение) или усиления аутентификации используются различные одноразовые пароли (OTP) и методы подтверждения:
- TOTP (Time-based One-Time Password): Код, генерируемый на основе общего секрета и текущего времени. Действует короткий промежуток (обычно 30 секунд). Реализован в мобильных приложениях-аутентификаторах (Google Authenticator, аналогах).
- HOTP (HMAC-based One-Time Password): Код, основанный на секрете и счётчике событий (например, нажатие кнопки на аппаратном токене). Не зависит от синхронизации времени.
- Push-уведомление с подтверждением: На зарегистрированное устройство (смартфон) приходит запрос на вход. Пользователь подтверждает или отклоняет его одним тапом.
- SMS-код или телефонный звонок: Одноразовый код доставляется по SMS или произносится роботом при звонке. Считается уязвимым методом из-за рисков перехвата и атак на мобильные операторы (SIM-swap).
Требования регуляторов, таких как ФСТЭК России, прямо указывают на необходимость применения многофакторной аутентификации (МФА) для защиты персональных данных в рамках 152-ФЗ и для систем, относящихся к критической информационной инфраструктуре (КИИ). Рекомендации отходят от устаревающих SMS-кодов в пользу более защищённых средств: аппаратных токенов, защищённых приложений или биометрии в сочетании с другими факторами.
Авторизация: что следует за проверкой личности
После того как система убедилась в личности пользователя (аутентификация), наступает этап авторизации. Здесь решается вопрос: «К чему этому конкретному пользователю разрешён доступ, и какие действия он может выполнять?» Авторизация всегда работает с контекстом: ролью пользователя, его группой, уровнем допуска или атрибутами.
Основные модели управления доступом:
| Модель | Принцип | Пример |
|---|---|---|
| Discretionary Access Control (DAC) Избирательное управление доступом |
Владелец ресурса (например, файла) самостоятельно назначает права другим пользователям. | Разрешения на файлах в Windows или Unix-системах (чтение/запись/исполнение для владельца, группы и остальных). |
| Mandatory Access Control (MAC) Полномочное управление доступом |
Правила доступа задаются централизованно (политикой безопасности) на основе меток конфиденциальности. Пользователь не может их изменить. | Системы для работы с информацией, составляющей государственную тайну (метки «Совершенно секретно», «Секретно»). |
| Role-Based Access Control (RBAC) Ролевое управление доступом |
Пользователям назначаются роли (например, «Бухгалтер», «Аналитик»), а ролям — права на ресурсы. Управление упрощается за счёт группировки. | Корпоративные порталы, ERP- и CRM-системы. |
| Attribute-Based Access Control (ABAC) Управление доступом на основе атрибутов |
Решение о доступе принимается динамически на основе множества атрибутов: пользователя, ресурса, действия и контекста (время, местоположение, тип устройства). | Сложные облачные системы, где доступ к документу может зависеть от его тега, отдела сотрудника и того, подключён ли он через корпоративную сеть. |
В современных распределённых системах аутентификация и авторизация всё чаще разделяются. Приложение может делегировать аутентификацию внешнему провайдеру (через OAuth 2.0 или OpenID Connect), получая в ответ токен доступа (access token) или токен идентификации (id token). Именно в payload этого токена часто содержатся claims (утверждения) — данные о пользователе и его разрешениях, которые приложение использует для авторизации внутри своей бизнес-логики.
Ошибка в этом разделении — например, когда приложение для проверки доступа полагается только на факт наличия валидного токена, игнорируя содержащиеся в нём scope или roles — может привести к уязвимостям вертикального или горизонтального повышения привилегий.
Итог: Аутентификация устанавливает личность, авторизация определяет её права. Выбор конкретных методов и моделей зависит от класса защищаемой системы. Для соответствия требованиям регуляторов в России необходимо внедрять многофакторную аутентификацию и чётко прописанные политики авторизации, соответствующие принципу минимальных необходимых привилегий. Смешение этих концепций в архитектуре — прямой путь к созданию брешей в системе безопасности.