Информационная безопасность в интернете — ключевое требование для частных пользователей и крупных компаний. В статье рассказываем про авторизацию: как этот процесс помогает защищать данные и выдавать права только определенным пользователям.
Что такое авторизация
С авторизацией человек встречается несколько раз в день — этот процесс настолько привычный, что мы перестали его замечать. Когда пользователь входит в личный кабинет в социальной сети, в корпоративную систему или пытается оплатить онлайн-заказ, он проходит авторизацию. В этих ситуациях система должна проверить, что пользователь действительно имеет права, чтобы войти в личный кабинет или воспользоваться картой. А еще авторизация — процесс проверки пользователя перед выдачей этих прав.
Несмотря на привычность и видимую простоту, авторизация — один из ключевых элементов безопасности в цифровом мире. С ее помощью защищают персональные данные, важные корпоративные сведения компаний и бизнес-информацию.
Несколько причин, по которым авторизация важна для информационной безопасности:
- Защищает от утечки данных: авторизация блокирует неразрешенный доступ к информации. Только подтвержденные пользователи получают права на работу с ресурсами, это снижает риск мошенничества, кражи данных или нарушения конфиденциальности.
- Управляет доступом: авторизация устанавливает правила доступа для пользователей. Например, владелец файла разрешает пользователю просматривать или изменять его в зависимости от должности в компании.
- Проверяет действия пользователей. С помощью журналов доступа можно определить, кто и когда получил права. Это полезно, если нужно изучить конкретный случай нарушения конфиденциальности или оценить эффективность мер безопасности.
Мы храним информацию в цифровом виде из разных сфер жизни: от паспортных данных до пароля от личного кабинета на маркетплейсах. Именно поэтому информационная безопасность так важна. Защита цифровых данных — один из ключевых аспектов как в государственных организациях, так и в коммерческих компаниях.
В Skypro можно освоить профессию «Python-разработчик». Этот язык программирования — один из ключевых для специалиста по кибербезопасности. На курсе вы научитесь разрабатывать логику программ, создавать базы данных, автоматизировать их работу и ориентироваться в основах программирования.
Какие есть функции у авторизации
В зависимости от сферы жизни и ценности данных у авторизации разные функции:
🟦 Корпоративная безопасность: контролирует доступ к рабочим компьютерным системам, сетям и базам данных. Важно, чтобы у сотрудника был доступ только к той информации, которая связана с его должностью и обязанностями.
🟦 Социальные сети и интернет-сервисы: с помощью авторизации пользователь защищает свои переписки, фотографии и другой контент в социальных сетях. Для этого на платформах есть защищенный доступ в личный кабинет каждого пользователя.
Критически важная функция у авторизации в банках и государственных организациях.
🟦 В государственных организациях часто хранится ценная конфиденциальная информация: личные данные граждан, экономические данные. Государственные организации — это сложные системы с огромным количеством сотрудников и разветвленными информационными системами. В таких организациях хранят и обрабатывают персональные данные граждан — это строго регулируется законом. Авторизация в этом случае принципиально важна, потому что:
- ограничивает доступ к конфиденциальной информации;
- помогает проследить случаи мошенничества;
- гарантирует стабильность информационных систем, где доступы сотрудников строго распределяют по уровням безопасности;
- помогает соблюдать законы в области защиты персональных данных.
🟦 В банковской сфере авторизация гарантирует безопасность финансовых операций и защищает от мошеннических схем. Как и в государственных организациях, в банке находятся данные клиентов, которые нужно охранять: номера банковских счетов, персональные данные и финансовая история. С помощью авторизации клиенты могут дистанционно управлять своими счетами и проводить операции через онлайн-банки или мобильные приложения.
Для платежей или снятия наличных важен процесс авторизации банковской карты. Представим, что вы приходите с пропуском к воротам дома. Чтобы попасть внутрь, вам нужно показать этот пропуск охраннику. Он проверит, что пропуск действителен и принадлежит вам, и только после этого пропустит в дом.
Примерно так же работает авторизация банковской карты. Магазин, где вы хотите что-то купить, выступает в роли охранника. Он «спрашивает» у платежного сервиса, можете ли вы заплатить за товар. Платежный сервис связывается с платежной системой, а та — с банком, который выдал вам карту. Банк проверяет, все ли в порядке с картой и достаточно ли на ней денег для оплаты. Если все хорошо, платеж проходит.
В чем отличия авторизации от аутентификации и идентификации
Авторизацию можно спутать с аутентификацией и идентификацией: по статистике, из ста статей на Хабре в 80% случаев этот термин употребляется неправильно. На самом деле эти операции — этапы одного действия в процессе информационной безопасности.
| Этап | Процесс | Как происходит | Цель |
| Первый | Идентификация | Пользователь предоставляет имя или логин, которые дают системе понять, кто именно пытается получить доступ к ресурсам | Узнать, кто хочет получить доступ к системе |
| Второй | Аутентификация | Пользователь подтверждает свою личность — вводит пароль, который сравнивается с информацией в базе данных | Проверить подлинность пользователя |
| Третий | Авторизация | После проверки пользователя система определяет, какие ресурсы и действия ему доступны | Предоставить доступ к информации только определенным пользователям |
Представим, что вы хотите зайти в свой аккаунт на сайте. Сначала вы пишете имя пользователя — это проходит идентификация. Затем система запрашивает у вас пароль — это уже аутентификация. Если вы ввели правильный пароль, система признает вас как авторизованного пользователя и позволяет получить доступ к аккаунту.
Иными словами, идентификация отвечает на вопрос: «кто ты?», аутентификация — «точно ли ты тот, кем себя называешь?», а авторизация — «что тебе можно делать?».
Как работает авторизация
После аутентификации система должна определить, какие файлы и действия доступны пользователю. Рассмотрим схему этого механизма.
🟦 Система сравнивает учетную информацию пользователя с базой данных, где указаны права пользователей.
🟦 Если пользователю доступен ресурс или действие, система генерирует уникальный токен доступа — цифровой сертификат, который подтверждает права пользователя.
🟦 Когда пользователь получает доступ к защищенному ресурсу или выполняет действие, система проверяет токен доступа. Если токен действителен и соответствует правам пользователя, запрос обрабатывается.
У некоторых систем есть дополнительные меры безопасности: многофакторная аутентификация или шифрование токенов доступа.
Авторизация бывает доступна через сторонние системы: часто это называется быстрой авторизацией. Для клиентов это удобно, потому что не нужно каждый раз вспоминать пароль, а для организаций — потому что сторонние системы уже проверили данные пользователя и гарантируют их безопасность. Такая авторизация проходит через разные сервисы:
- Google.
- Яндекс.
- Вконтакте.
- Сбер ID.
- ЕСИА — единая система идентификации и аутентификации на госуслугах.
Как разрабатывают механизм авторизации
Разработать механизм аутентификации для корпоративной системы или коммерческого продукта — очень сложная и серьезная задача, потому что от ее качества зависит сохранность данных.
На этапе проектирования и разработки механизма нужно учитывать все требования к безопасности. Разработчики должны создать такую программу, которая будет понимать, у кого из пользователей есть доступ к конкретной информации. Еще требования к механизму авторизации влияют на производительность системы и на все аспекты веб-приложения: от дизайна интерфейса до внутреннего механизма.
В проектах такой сложности и ответственности очень важно проверять и тестировать программы. Особенно если это касается защиты корпоративной информации и персональных данных.
Освойте профессию «Инженер по тестированию» в Skypro. На курсе вы научитесь искать ошибки в коде, проводить ручное и автоматическое тестирование и работать с системами баг-трекинга.
Какие бывают модели авторизации
Есть несколько видов авторизации, которые дают пользователю права. Рассмотрим три основные модели.
| Модель | Особенность | Пример |
| Ролевая авторизация | Каждому пользователю присваивается одна или несколько ролей, которые определяют его права | У администратора есть доступ ко всем ресурсам системы, а у обычного пользователя — только к ограниченному набору функций |
| Избирательная авторизация | Владелец информации решает, какие права будут у конкретного пользователя | Автор статьи загружает текст на Яндекс или Google Диск. Редактору он дает доступ, чтобы читать и комментировать текст, а другим сотрудникам только читать |
| Мандатная авторизация | Права пользователей делятся по уровням | Все данные компании разделены на пять уровней, где данные первого уровня доступны рядовому сотруднику, а пятого — только высшему руководству. При этом доступ к высшему уровню предполагает и доступ ко всем остальным |
Ролевую и избирательную модели используют для операционных систем и текстовых файлов, мандатную — в государственных организациях и крупных компаниях.
Главное об авторизации
🟦 Авторизация — это разрешение, которое выдает система пользователю для работы с данными.
🟦 Авторизация предотвращает мошенничество и утечку данных в разных сферах: от государственной информации до личных переписок.
🟦 Авторизацию следуют отличать от идентификации и аутентификации.
🟦 Механизм аутентификации состоит из разных этапов и требует от разработчиков системы безопасности ответственного и изобретательного подхода.
🟦 Можно выделить три главных вида авторизации: ролевую, избирательную и мандатную.
Добавить комментарий