Многофакторная аутентификация на примере холодильника и художественных произведений

В теме управления доступом есть по крайне мере три термина, заканчивающихся на «-ация» и тесно связанных друг с другом: идентификация, аутентификация, авторизация.
Идентификация — это распознавание пользователя по личному идентификатору, ответ на вопрос «кто это?».
Козлятушки, ребятушки, ваша мать пришла, молока принесла.
Аутентификация — это проверка подлинности. Правда ли ты тот, за кого себя выдаешь.
Вот пример, когда аутентификация не пройдена.
Вот раз коза ушла, волк побежал к избушке и закричал толстым голосом.
Козлята ему отвечают:
— Слышим, слышим — да не матушкин это голосок! Наша матушка поет тоненьким голосом и не так причитает.
Авторизация — проверка, имеет ли право пользователь делать то, что он собирается делать.
Печкин: «Я вам посылку принес, только я вам ее не отдам, потому что у вас документов нету».
Матроскин не предъявил, так сказать, токен доступа и операцию получения посылки Печкин ему не авторизовал. Хотя и вопросы аутентификации в этой фразе тоже затронуты :)
Факторы аутентификации — это группы свойств, которые сличают с известными заранее значениями, чтобы подтвердить или опровергнуть подлинность.
Например, только истинно рыжий человек мог получить предложение о работе в рассказе «Союз рыжих» Конана Дойла. Свойство — цвет волос.
СОЮЗ РЫЖИХ во исполнение завещания покойного Иезекин Хопкинса из Лебанона, Пенсильвания (США).
ОТКРЫТА новая вакансия для члена Союза. Предлагается жалованье четыре фунта стерлингов в неделю за чисто номинальную работу. Каждый рыжий не моложе двадцати одного года, находящийся в здравом уме и трезвой памяти, может оказаться пригодным для этой работы. Обращаться лично к Дункану Россу в понедельник, в одиннадцать часов, в контору Союза, Флитстрит, Попс-корт, 7.Э
А вот как проходила проверка подлинности, то есть аутентификация.
Он отступил на шаг, склонил голову набок и глядел на мои волосы так долго, что мне стало неловко. Затем внезапно кинулся вперед, схватил мою руку и горячо поздравил меня.
«Было бы несправедливостью с моей стороны медлить, — сказал он. — Однако, надеюсь, вы простите меня, если я приму некоторые меры предосторожности». Он вцепился в мои волосы обеими руками и дернул так, что я взвыл от боли.
«У вас на глазах слезы, — сказал он, отпуская меня. — Значит, все в порядке. Извините, нам приходится быть осторожными, потому что нас дважды обманули с помощью париков и один раз — с помощью краски.
Козлята, кстати, совершили непростительную ошибку, рассказав о том, что именно и с чем они сличают, чтобы аутентифицировать посетителя, как козу-мать. Это позволило волку произвести взлом системы.
Пошел волк в кузницу и велел себе горло перековать, чтоб петь тоненьким голосом. Кузнец ему горло перековал.
…
Козлята отворили дверь, волк кинулся в избу и всех козлят съел.
Фактор знания. Вы знаете пароль (сами его придумали или нашли бумажку на мониторе) и вы можете войти в личный кабинет. Вы знаете правильный ответ на секретный вопрос (девичья фамилия матери, как звали первого хомяка) и представитель банка продолжает разговор с вами. Коза поет определенный текст и козлята убеждаются, что это их мать.
Фактор владения. Вы владеете ключом от двери, поэтому можете ее открыть. Вы владеете телефоном, на который приходит одноразовый код, поэтому вы можете его корректно ввести.
Фактор свойства. Ваши волосы натурально рыжие и поэтому вы имеете право получить предложение о работе в «Союзе рыжих». Ваш голосок тонкий и поэтому козлята открывают дверь.
Кроме этих факторов иногда выделяют ещё два.
Фактор местоположения. Вы можете быть собой со всеми нужными правами, но находиться не в том месте, и поэтому вы не пройдете аутентификацию.
Фактор действия. Вы вводите правильный логин и пароль, но делаете это так, что капча начинает подозревать в вас робота. Тогда вы получите задание, в котором для успешной аутентификации нужно действовать как человек (конечно, с точки зрения капчи).
Для того, чтобы его открыть нужны:
- Отвертка (на фото — лежит на холодильнике) или любой другой достаточно длинный, тонкий, прочный предмет. Это фактор владения.
- Информация, что делать с отвёрткой, чтобы открыть холодильник. Куда вставить, под каким углом, как нажимать. Это фактор знания.
- Достаточная (и немалая) сила, чтобы нажать отвёрткой на рычаг внутри механизма, и определенная ловкость, чтобы одновременно потянуть дверцу на себя. Это фактор свойства.
Вопрос для экспертов. Похоже, что при использовании материальных объектов аутентификация и авторизация бывают слеплены в один бытовой блок. Ключ от двери аутентифицирует меня как могущего войти или авторизует на вход?
Я — директор по маркетингу в компании RooX, которая специализируется на аутентификации и авторизации (даже есть свой продукт). Это первый случай в моей карьере, когда специализация компании-работодателя вдохновила меня настолько, чтобы самой писать об этом. То, с каким интересом коллеги рассказывают обо всех этих «-ациях», и даёт мне пищу для постов.
Источник: VC.ru
«Стратегия развития Telegram-канала ИТ-компании»: запись онлайн-встречи MCIO и iTrend
25 октября 2023iTrend начал работу с одним из лидеров российского рынка разработки решений на базе нейросетей — компанией «Наносемантика»
20 сентября 2023«Наносемантика» входит в ТОП-10 российских компаний, занимающихся нейросетями, по версии CNews.
Стоп-фразы, или Что никогда нельзя писать в текстах - разбираем на VC
20 сентября 2023Вот лишь поверхностным взглядом слова и фразы-мусор, которые мы стараемся не допускать в текстах.
Маркировка рекламы создаст новую профессию? Комментируем тему для Ъ
13 сентября 2023Рекламщикам понадобились маркировщики: новые правила создали новую специальность
Как мемы и юмор помогают бизнесу. Комментируем для "Делового Петербурга"
29 августа 2023Digital–директор iTrend Ася Шабалина поделилась своим мнением об использовании мемов и юмора в маркетинге.