Что такое идентификация, аутентификация, авторизация и в чём разница?

28.12.2024

Время чтения: 3 мин.

Мы чаще всего говорим, что зашли в личный кабинет на сайте банка, в электронную почту и так далее. Однако то, что мы подразумеваем под входом, представляет собой куда более сложные процессы, называемые идентификацией, аутентификацией и авторизацией. Внимание: это абсолютно разные действия с точки зрения информационной системы. Нельзя называть аутентификацию идентификацией, а слово «авторизовался» использовать как аналог «зашёл» в приложение. Рассказываем, что такое идентификация, чем она отличается от аутенфикации и авторизации на примере входа в личный банковский кабинет. Прочитав наш материал, вы перестанете путать эти термины и точно не попадёте впросак, выслушивая претензии от чересчур заумного коллеги или интернет-пользователя.

В чём разница между идентификацией и аутентификацией? Фото: freepik.com

Что такое идентификация

Идентификация — процесс, когда информационная система (сайт) определяет, существует ли такой пользователь. Делает она это с помощью… идентификатора. Теперь понятно, почему этот процесс называется идентификацией.

Идентификатор — это тот самый логин, который мы вводим в первую очередь. Логин бывает разным:

адрес электронной почты;
придуманный нами никнейм;
номер телефона;
номер СНИЛС;
номер ИНН;
номер банковской карты.

Идентификатор всегда уникальный. Именно по нему информационная система определяет, кто именно пытается зайти на сайт или в банковское приложение.

Что такое аутентификация

Аутентификация — процесс, когда информационная система (сайт) определяет, если ли у нас права доступа к выбранному пользователю. Делает она это с помощью пароля, который мы вводим, когда хотим попасть в свой аккаунт.

Аутентификация может быть одно-, двух- или трёхфакторной:

Однофакторная. Для аутентификации используется только пароль. Встречается чаще всего. Считается небезопасной, даже если у вас суперсложный пароль. Рекомендуется использовать только там, где нет персональной и финансовой информации. Например, на сайтах, на которых у вас вместо имени никнейм, а при общении вы не делитесь сканами документов, банковских карт и так далее.
Двухфакторная. Аутентификация с помощью пароля и дополнительного способа проверки личности — кода из SMS или специального приложения, биометрических данных. Считается более безопасной. Лучше применять её не только в личных кабинетах на сайтах банков, но и в социальных сетях и мессенджерах, которые содержат массу личной информации о нас.
Трёхфакторная. Двухфакторная аутентификация с ещё одной дополнительной проверкой личности. Применяется в банках и компаниях. В качестве третьего фактора используется электронный ключ, который хранится на USB-накопителе.

Что такое авторизация

Авторизация — процесс, когда информационная система (сайт) определяет, какие у идентифицированного и аутентифицированного пользователя есть права. От того, какими правами мы обладаем как пользователь, зависит, что именно можно сделать на сайте. Написать сообщение, прокомментировать фотографию, удалить контент, перевести деньги, открыть вклад и так далее.

Есть несколько способов авторизации:

Ролевой. Права предоставляются в зависимости от роли пользователя. Например, берём двух пользователей социальной сети ВК, один из которых владеет группой, второй — участник этой группы. Первый, благодаря авторизации, будет иметь больше прав, чем второй.
Разрешающий. Права предоставляются индивидуально каждому пользователю. Здесь в качестве примера можно привести корпоративный внутренний сайт, где бухгалтеру дадут доступ к финансовым отчётам, но не к маркетинговой аналитике, а директору по маркетингу — с точностью наоборот.
Централизованный. У каждого пользователя одинаковые правы, которые предоставляет единый центр. К примеру, такой способ авторизации действует в «Сбербанк Онлайн».

Идентификация, аутентификация и авторизация на примере входа в «Сбербанк Онлайн»

1. После того, как вы впервые открываете в браузере «Сбербанк Онлайн», система предлагает ввести логин и пароль. В качестве логина можно указать набор цифр, который выдал банкомат при подключении мобильного банка, номер телефона или номер карты. Чтобы вы ни выбрали в качестве логина, как только вы введёте его, произойдёт идентификация.

2. Также надо ввести здесь пароль, выданный банкоматом или присланный на ваш номер телефона. Как только вы заполнили строчку с паролем и нажали кнопку «Войти», банк присылает вам сообщение с кодом на номер телефона. После того, как вы ввели код из SMS, происходит аутентификация. Причём двухфакторная — с помощью пароля и кода из сообщения.

Идентификация, аутентификация и авторизация в «Сбербанк Онлайн». Фото: Сбербанк

3. Процесс авторизации для пользователей практически незаметен. Как только система идентифицировала вас, вы прошли аутентификацию, происходит авторизация. Сайт, поняв, кто вы (идентификация), получив подтверждение, что это точно вы (аутентификация), наделяет вас теми правами, какими обладаете (авторизация).

Также можно привести реальный пример, не связанный с интернетом:

Представьте, что вы пришли в отделение Сбербанка, чтобы получить банковскую карту. Сначала в терминале нужно получить талон с кодом. Это будет ваш идентификатор. Как только код появится на дисплее с указанием, в какое окно нужно обратиться, произойдёт идентификация.
Вы идёте к окну, говорите сотруднику, что хотите получить карту. Показываете паспорт. Сотрудник сверяет ваше лицо с фотографией. Это аутентификация.
Авторизацию в этом случае можно представить как выдачу банковской карты. То есть определение неких прав.

Какая связь между идентификацией, аутентификацией и авторизацией

Как вы могли заметить, идентификация, аутентификация и авторизация — три последовательных процесса при взаимодействии с информационными системами (сайтами). Считайте, три кита, на которых держится нынешний интернет.

Без идентификации нельзя пройти аутентификацию. Бессмысленно вбивать пароль, если система не понимает, от какого он аккаунта.

Аутентификация тоже важна. Не введя пароль, вы не попадёте в свой аккаунт.

Авторизация более независима. В отличие от идентификации и аутентификации авторизоваться можно на любом сайте, не вводя логин или пароль. К примеру, заходим на сайт Газпромбанка. Как только мы открыли страницу, произошла авторизация. Мы получили права прочитать, что там написано: тарифы по картам, курсы валют, новости… Всё это нам доступно и без логина с паролем. Но если требуется информация по нашей карте, без идентификации и аутентификации не обойтись.

По материалам

Темы

28.12.2024

Время чтения: 3 мин.

Что такое идентификация, аутентификация, авторизация и в чём разница?

Что такое идентификация

Что такое аутентификация

Что такое авторизация

Идентификация, аутентификация и авторизация на примере входа в «Сбербанк Онлайн»

Какая связь между идентификацией, аутентификацией и авторизацией

Третий пошёл. В России внедряют индивидуальный инвестиционный счёт третьего типа

Пенсии повысятся? Власти запускают новую пенсионную реформу

Травма из-за гололёда: куда обращаться, на какую помощь рассчитывать, как получить компенсацию

Акции «Газпрома» взлетели на 10,7%. Почему?

Удалённая работа: как устроиться, как перевестись и могут ли отказать в праве работать дома?

Кризис или шанс? Как заработать на старении населения через акции

«Аэрофлот» впервые за пять лет получил прибыль. Будут ли дивиденды?

Российский валютный рынок расширяется: добавлено семь новых стран

Кризис или шанс? Как заработать на старении населения через акции

«Аэрофлот» впервые за пять лет получил прибыль. Будут ли дивиденды?

Российский валютный рынок расширяется: добавлено семь новых стран

«Северсталь», НЛМК, ММК. Почему падают акции металлургов?

Как выбрать пенсионный фонд, чтобы накопить на пенсию или квартиру