|
|
@@ -0,0 +1,46 @@
|
|
|
+# Защита входа в систему (идентификация и аутентификация пользователей)
|
|
|
+
|
|
|
+**Идентификация** — это процесс, когда информационная система, например социальная сеть или интернет-магазин, определяет, существует конкретный пользователь или нет.
|
|
|
+Делает она это с помощью идентификатора.
|
|
|
+Идентификатором может быть логин, электронная почта, номер телефона или другой признак, который есть только у одного пользователя. Идентификатор позволяет сайту или
|
|
|
+приложению отличить конкретного человека от других людей.
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+**Аутентификация** — это процесс, когда пользователь вводит ключ, например пароль или пин-код, подтверждая своё право на доступ к той или иной учётной записи и хранящейся
|
|
|
+в ней информации.
|
|
|
+
|
|
|
+-Однофакторная аутентификация требует подтверждения только одним способом — например, с помощью пароля. Она встречается чаще всего.
|
|
|
+
|
|
|
+-Двухфакторная аутентификация используется в системах, которые хранят важные или личные данные. Например, в банковских приложениях или в социальных сетях.
|
|
|
+При входе в соцсеть у пользователя могут попросить не только пароль,
|
|
|
+но и другую информацию — код из СМС или биометрические данные.
|
|
|
+
|
|
|
+-В системах с повышенными требованиями к безопасности — например, в банковской сфере — встречается трёхфакторная аутентификация. Третьим фактором, позволяющим подтвердить
|
|
|
+личность, могут быть электронные ключи доступа. Электронный ключ хранится на специальном USB-накопителе и подключается в момент подтверждения доступа.
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+**Авторизация** — это процесс присвоения учётной записи положенных ей привилегий.
|
|
|
+Если авторизация прошла успешно, человек попадает в личный кабинет. Он может читать уведомления, видеть список доступных курсов, просматривать их и учиться. Права доступа
|
|
|
+к этим действиям называются привилегиями.
|
|
|
+
|
|
|
+### Как связаны идентификация, авторизация и аутентификация
|
|
|
+
|
|
|
+Идентификация без аутентификации не имеет смысла и может быть опасна для пользователей и компаний. Поэтому сочетание идентификации и авторизации в реальном мире не встречается.
|
|
|
+Без аутентификации мошенник мог бы получить доступ к личной информации, зная только идентификатор пользователя. Например, мог бы зайти в электронную почту, зная только её адрес,
|
|
|
+который легко отыскать в открытых источниках.
|
|
|
+
|
|
|
+Аутентификация без идентификации бесполезна. Если у нас есть пароль, но мы не знаем идентификатора, то не сможем получить доступ к веб-сайту или приложению.
|
|
|
+Система просто не поймёт, как нас следует авторизовать на следующем шаге.
|
|
|
+
|
|
|
+Сервисов без авторизации не бывает, так как функциональность, которую они предоставляют пользователю, связана с ней. Если человек смог пройти идентификацию и аутентификацию,
|
|
|
+но не может авторизоваться, то непонятно, какими правами он должен обладать. Кроме того, это может привести к проблемам с конфиденциальностью пользователей.
|
|
|
+
|
|
|
+## Источники:
|
|
|
+
|
|
|
+1.[skillbox.ru](https://skillbox.ru/media/code/identifikatsiya-autentifikatsiya-avtorizatsiya-chem-oni-razlichayutsya/)
|
|
|
+2.[intuit.ru](https://intuit.ru/studies/courses/10/10/lecture/314)
|
|
|
+
|
|
|
+
|
|
|
+
|
ypv
