29 октября 2022

Многофакторная аутентификация на примере холодильника и художественных произведений

Три слова на «-ация».

В теме управления доступом есть по крайне мере три термина, заканчивающихся на «-ация» и тесно связанных друг с другом: идентификация, аутентификация, авторизация.

Идентификация — это распознавание пользователя по личному идентификатору, ответ на вопрос «кто это?».

Козлятушки, ребятушки, ваша мать пришла, молока принесла.

«Волк и семеро козлят», братья Гримм

Аутентификация — это проверка подлинности. Правда ли ты тот, за кого себя выдаешь.

Вот пример, когда аутентификация не пройдена.

Вот раз коза ушла, волк побежал к избушке и закричал толстым голосом.

Козлята ему отвечают:

— Слышим, слышим — да не матушкин это голосок! Наша матушка поет тоненьким голосом и не так причитает.

Авторизация — проверка, имеет ли право пользователь делать то, что он собирается делать.

Печкин: «Я вам посылку принес, только я вам ее не отдам, потому что у вас документов нету».

м/ф «Каникулы в Простоквашино»

Матроскин не предъявил, так сказать, токен доступа и операцию получения посылки Печкин ему не авторизовал. Хотя и вопросы аутентификации в этой фразе тоже затронуты :)

 
Факторы аутентификации

Факторы аутентификации — это группы свойств, которые сличают с известными заранее значениями, чтобы подтвердить или опровергнуть подлинность.

Например, только истинно рыжий человек мог получить предложение о работе в рассказе «Союз рыжих» Конана Дойла. Свойство — цвет волос.

СОЮЗ РЫЖИХ во исполнение завещания покойного Иезекин Хопкинса из Лебанона, Пенсильвания (США).

ОТКРЫТА новая вакансия для члена Союза. Предлагается жалованье четыре фунта стерлингов в неделю за чисто номинальную работу. Каждый рыжий не моложе двадцати одного года, находящийся в здравом уме и трезвой памяти, может оказаться пригодным для этой работы. Обращаться лично к Дункану Россу в понедельник, в одиннадцать часов, в контору Союза, Флитстрит, Попс-корт, 7.Э

«Союз рыжих», Конан Дойл

А вот как проходила проверка подлинности, то есть аутентификация.

Он отступил на шаг, склонил голову набок и глядел на мои волосы так долго, что мне стало неловко. Затем внезапно кинулся вперед, схватил мою руку и горячо поздравил меня.

«Было бы несправедливостью с моей стороны медлить, — сказал он. — Однако, надеюсь, вы простите меня, если я приму некоторые меры предосторожности». Он вцепился в мои волосы обеими руками и дернул так, что я взвыл от боли.

«У вас на глазах слезы, — сказал он, отпуская меня. — Значит, все в порядке. Извините, нам приходится быть осторожными, потому что нас дважды обманули с помощью париков и один раз — с помощью краски.

Козлята, кстати, совершили непростительную ошибку, рассказав о том, что именно и с чем они сличают, чтобы аутентифицировать посетителя, как козу-мать. Это позволило волку произвести взлом системы.

Пошел волк в кузницу и велел себе горло перековать, чтоб петь тоненьким голосом. Кузнец ему горло перековал.

Козлята отворили дверь, волк кинулся в избу и всех козлят съел.

Какие бывают факторы аутентификации.

Фактор знания. Вы знаете пароль (сами его придумали или нашли бумажку на мониторе) и вы можете войти в личный кабинет. Вы знаете правильный ответ на секретный вопрос (девичья фамилия матери, как звали первого хомяка) и представитель банка продолжает разговор с вами. Коза поет определенный текст и козлята убеждаются, что это их мать.

Фактор владения. Вы владеете ключом от двери, поэтому можете ее открыть. Вы владеете телефоном, на который приходит одноразовый код, поэтому вы можете его корректно ввести.

Фактор свойства. Ваши волосы натурально рыжие и поэтому вы имеете право получить предложение о работе в «Союзе рыжих». Ваш голосок тонкий и поэтому козлята открывают дверь.

Кроме этих факторов иногда выделяют ещё два.

Фактор местоположения. Вы можете быть собой со всеми нужными правами, но находиться не в том месте, и поэтому вы не пройдете аутентификацию.

Фактор действия. Вы вводите правильный логин и пароль, но делаете это так, что капча начинает подозревать в вас робота. Тогда вы получите задание, в котором для успешной аутентификации нужно действовать как человек (конечно, с точки зрения капчи).

Вернемся к холодильнику

Для того, чтобы его открыть нужны:

  • Отвертка (на фото — лежит на холодильнике) или любой другой достаточно длинный, тонкий, прочный предмет. Это фактор владения.
  • Информация, что делать с отвёрткой, чтобы открыть холодильник. Куда вставить, под каким углом, как нажимать. Это фактор знания.
  • Достаточная (и немалая) сила, чтобы нажать отвёрткой на рычаг внутри механизма, и определенная ловкость, чтобы одновременно потянуть дверцу на себя. Это фактор свойства.

 

Вопрос для экспертов. Похоже, что при использовании материальных объектов аутентификация и авторизация бывают слеплены в один бытовой блок. Ключ от двери аутентифицирует меня как могущего войти или авторизует на вход?

 

Я — директор по маркетингу в компании RooX, которая специализируется на аутентификации и авторизации (даже есть свой продукт). Это первый случай в моей карьере, когда специализация компании-работодателя вдохновила меня настолько, чтобы самой писать об этом. То, с каким интересом коллеги рассказывают обо всех этих «-ациях», и даёт мне пищу для постов.

Источник: VC.ru

Исследование iTrend: зарплата для ИТ-специалистов — не решающий фактор при выборе работодателя

23 апреля 2024

Эксперты коммуникационного агентства iTrend провели исследование, в рамках которого проанализировали критерии выбора работы, а также медиапредпочтения более 300 высокоуровневых специалистов из крупных российских ИТ-компаний.

 

Команда iTrend начала работу с Институтом iSpring

19 апреля 2024

Институт iSpring — частный ИТ-вуз нового поколения. Он был основан в 2021 году в Йошкар-Оле российским предпринимателем и основателем международной ИТ-компании iSpring Юрием Усковым.

 

Вебинар РУССОФТ, iTrend и BiToBe: «Работодатель-as-a-Service: новая реальность привлечения ИТ-специалистов»

15 апреля 2024

23 апреля в 15:00 прошел открытый вебинар «Работодатель-as-a-Service: Новая реальность привлечения ИТ-специалистов»

 

iTrend: освоить маркировку интернет-рекламы можно только на собственном опыте

25 марта 2024

В феврале 2024 года в Москве прошла Конференция «Digital-коммуникации России». Организатор мероприятия – Ассоциация директоров по коммуникациям и корпоративным медиа России (АКМР). Эксперты конференции обсудили острые вопросы рынка digital, в том числе маркировку интернет-рекламы. Об опыте коммуникационного агентства в рамках перехода на работу по новым правилам рассказала Екатерина Саранцева, директор по развитию iTrend.

 

Медиалогия: iTrend – в ТОП-4 коммуникационных агентств по медиаиндексу за январь 2024 года

20 марта 2024

Коммуникационное агентство iTrend вошло в пятерку агентств, получивших наиболее высокий медиаиндекс по данным рейтинга «Медиалогии» за январь 2024 года. Компания заняла четвёртую строчку ранкинга, набрав 433,2 пункта МИ. Медиаактивность участников рынка оценивалась на основе анализа базы российских СМИ, включающей в себя более 88 тыс. источников — ТВ, радио, газеты, журналы, информационные агентства и Интернет-СМИ.

 
Все новости iTrend