Вебинары Разобраться в IT Реферальная программа
Программирование Аналитика Дизайн Маркетинг Управление проектами
02 Сен 2024
7 мин
1627

Авторизация: всё, что вам нужно знать

Информационная безопасность в интернете — ключевое требование для частных пользователей и крупных компаний. В статье рассказываем про авторизацию:

Информационная безопасность в интернете — ключевое требование для частных пользователей и крупных компаний. В статье рассказываем про авторизацию: как этот процесс помогает защищать данные и выдавать права только определенным пользователям.

Что такое авторизация

С авторизацией человек встречается несколько раз в день — этот процесс настолько привычный, что мы перестали его замечать. Когда пользователь входит в личный кабинет в социальной сети, в корпоративную систему или пытается оплатить онлайн-заказ, он проходит авторизацию. В этих ситуациях система должна проверить, что пользователь действительно имеет права, чтобы войти в личный кабинет или воспользоваться картой. А еще авторизация — процесс проверки пользователя перед выдачей этих прав.

Несмотря на привычность и видимую простоту, авторизация — один из ключевых элементов безопасности в цифровом мире. С ее помощью защищают персональные данные, важные корпоративные сведения компаний и бизнес-информацию.

Несколько причин, по которым авторизация важна для информационной безопасности:

  • Защищает от утечки данных: авторизация блокирует неразрешенный доступ к информации. Только подтвержденные пользователи получают права на работу с ресурсами, это снижает риск мошенничества, кражи данных или нарушения конфиденциальности.
  • Управляет доступом: авторизация устанавливает правила доступа для пользователей. Например, владелец файла разрешает пользователю просматривать или изменять его в зависимости от должности в компании.
  • Проверяет действия пользователей. С помощью журналов доступа можно определить, кто и когда получил права. Это полезно, если нужно изучить конкретный случай нарушения конфиденциальности или оценить эффективность мер безопасности.

Мы храним информацию в цифровом виде из разных сфер жизни: от паспортных данных до пароля от личного кабинета на маркетплейсах. Именно поэтому информационная безопасность так важна. Защита цифровых данных — один из ключевых аспектов как в государственных организациях, так и в коммерческих компаниях.

В Skypro можно освоить профессию «Python-разработчик». Этот язык программирования — один из ключевых для специалиста по кибербезопасности. На курсе вы научитесь разрабатывать логику программ, создавать базы данных, автоматизировать их работу и ориентироваться в основах программирования.

Какие есть функции у авторизации

В зависимости от сферы жизни и ценности данных у авторизации разные функции:

🟦 Корпоративная безопасность: контролирует доступ к рабочим компьютерным системам, сетям и базам данных. Важно, чтобы у сотрудника был доступ только к той информации, которая связана с его должностью и обязанностями.

🟦 Социальные сети и интернет-сервисы: с помощью авторизации пользователь защищает свои переписки, фотографии и другой контент в социальных сетях. Для этого на платформах есть защищенный доступ в личный кабинет каждого пользователя.

Критически важная функция у авторизации в банках и государственных организациях.

🟦 В государственных организациях часто хранится ценная конфиденциальная информация: личные данные граждан, экономические данные. Государственные организации — это сложные системы с огромным количеством сотрудников и разветвленными информационными системами. В таких организациях хранят и обрабатывают персональные данные граждан — это строго регулируется законом. Авторизация в этом случае принципиально важна, потому что:

  • ограничивает доступ к конфиденциальной информации;
  • помогает проследить случаи мошенничества;
  • гарантирует стабильность информационных систем, где доступы сотрудников строго распределяют по уровням безопасности;
  • помогает соблюдать законы в области защиты персональных данных.

🟦 В банковской сфере авторизация гарантирует безопасность финансовых операций и защищает от мошеннических схем. Как и в государственных организациях, в банке находятся данные клиентов, которые нужно охранять: номера банковских счетов, персональные данные и финансовая история. С помощью авторизации клиенты могут дистанционно управлять своими счетами и проводить операции через онлайн-банки или мобильные приложения.

Для платежей или снятия наличных важен процесс авторизации банковской карты. Представим, что вы приходите с пропуском к воротам дома. Чтобы попасть внутрь, вам нужно показать этот пропуск охраннику. Он проверит, что пропуск действителен и принадлежит вам, и только после этого пропустит в дом.

Примерно так же работает авторизация банковской карты. Магазин, где вы хотите что-то купить, выступает в роли охранника. Он «спрашивает» у платежного сервиса, можете ли вы заплатить за товар. Платежный сервис связывается с платежной системой, а та — с банком, который выдал вам карту. Банк проверяет, все ли в порядке с картой и достаточно ли на ней денег для оплаты. Если все хорошо, платеж проходит.

В чем отличия авторизации от аутентификации и идентификации

Авторизацию можно спутать с аутентификацией и идентификацией: по статистике, из ста статей на Хабре в 80% случаев этот термин употребляется неправильно. На самом деле эти операции — этапы одного действия в процессе информационной безопасности.

Этап Процесс Как происходит Цель
Первый Идентификация Пользователь предоставляет имя или логин, которые дают системе понять, кто именно пытается получить доступ к ресурсам Узнать, кто хочет получить доступ к системе
Второй Аутентификация Пользователь подтверждает свою личность — вводит пароль, который сравнивается с информацией в базе данных Проверить подлинность пользователя
Третий Авторизация После проверки пользователя система определяет, какие ресурсы и действия ему доступны Предоставить доступ к информации только определенным пользователям

Представим, что вы хотите зайти в свой аккаунт на сайте. Сначала вы пишете имя пользователя — это проходит идентификация. Затем система запрашивает у вас пароль — это уже аутентификация. Если вы ввели правильный пароль, система признает вас как авторизованного пользователя и позволяет получить доступ к аккаунту.

Иными словами, идентификация отвечает на вопрос: «кто ты?», аутентификация — «точно ли ты тот, кем себя называешь?», а авторизация — «что тебе можно делать?».

Как работает авторизация

После аутентификации система должна определить, какие файлы и действия доступны пользователю. Рассмотрим схему этого механизма.

🟦 Система сравнивает учетную информацию пользователя с базой данных, где указаны права пользователей.

🟦 Если пользователю доступен ресурс или действие, система генерирует уникальный токен доступа — цифровой сертификат, который подтверждает права пользователя.

🟦 Когда пользователь получает доступ к защищенному ресурсу или выполняет действие, система проверяет токен доступа. Если токен действителен и соответствует правам пользователя, запрос обрабатывается.

У некоторых систем есть дополнительные меры безопасности: многофакторная аутентификация или шифрование токенов доступа.

Авторизация бывает доступна через сторонние системы: часто это называется быстрой авторизацией. Для клиентов это удобно, потому что не нужно каждый раз вспоминать пароль, а для организаций — потому что сторонние системы уже проверили данные пользователя и гарантируют их безопасность. Такая авторизация проходит через разные сервисы:

  • Google.
  • Яндекс.
  • Вконтакте.
  • Сбер ID.
  • ЕСИА — единая система идентификации и аутентификации на госуслугах.

Как разрабатывают механизм авторизации

Разработать механизм аутентификации для корпоративной системы или коммерческого продукта — очень сложная и серьезная задача, потому что от ее качества зависит сохранность данных.

На этапе проектирования и разработки механизма нужно учитывать все требования к безопасности. Разработчики должны создать такую программу, которая будет понимать, у кого из пользователей есть доступ к конкретной информации. Еще требования к механизму авторизации влияют на производительность системы и на все аспекты веб-приложения: от дизайна интерфейса до внутреннего механизма.

В проектах такой сложности и ответственности очень важно проверять и тестировать программы. Особенно если это касается защиты корпоративной информации и персональных данных.

Освойте профессию «Инженер по тестированию» в Skypro. На курсе вы научитесь искать ошибки в коде, проводить ручное и автоматическое тестирование и работать с системами баг-трекинга.

Какие бывают модели авторизации

Есть несколько видов авторизации, которые дают пользователю права. Рассмотрим три основные модели.

Модель Особенность Пример
Ролевая авторизация Каждому пользователю присваивается одна или несколько ролей, которые определяют его права У администратора есть доступ ко всем ресурсам системы, а у обычного пользователя — только к ограниченному набору функций
Избирательная авторизация Владелец информации решает, какие права будут у конкретного пользователя Автор статьи загружает текст на Яндекс или Google Диск. Редактору он дает доступ, чтобы читать и комментировать текст, а другим сотрудникам только читать
Мандатная авторизация Права пользователей делятся по уровням Все данные компании разделены на пять уровней, где данные первого уровня доступны рядовому сотруднику, а пятого — только высшему руководству. При этом доступ к высшему уровню предполагает и доступ ко всем остальным

Ролевую и избирательную модели используют для операционных систем и текстовых файлов, мандатную — в государственных организациях и крупных компаниях.

Главное об авторизации

🟦 Авторизация — это разрешение, которое выдает система пользователю для работы с данными.

🟦 Авторизация предотвращает мошенничество и утечку данных в разных сферах: от государственной информации до личных переписок.

🟦 Авторизацию следуют отличать от идентификации и аутентификации.

🟦 Механизм аутентификации состоит из разных этапов и требует от разработчиков системы безопасности ответственного и изобретательного подхода.

🟦 Можно выделить три главных вида авторизации: ролевую, избирательную и мандатную.

Проверь как ты усвоил материалы статьи
Пройди тест и узнай насколько ты лучше других читателей

Добавить комментарий