Многофакторная аутентификация на примере холодильника и художественных произведений
В наши дни в далекой-далекой деревне стоит один холодильник.
Чтобы получить доступ в недра этого холодильника нужно пройти трехфакторную аутентификацию.
Три слова на «-ация».
В теме управления доступом есть по крайне мере три термина, заканчивающихся на «-ация» и тесно связанных друг с другом: идентификация, аутентификация, авторизация.
Идентификация — это распознавание пользователя по личному идентификатору, ответ на вопрос «кто это?».
Аутентификация — это проверка подлинности. Правда ли ты тот, за кого себя выдаешь.
Вот пример, когда аутентификация не пройдена.
Авторизация — проверка, имеет ли право пользователь делать то, что он собирается делать.
Матроскин не предъявил, так сказать, токен доступа и операцию получения посылки Печкин ему не авторизовал. Хотя и вопросы аутентификации в этой фразе тоже затронуты :)
Факторы аутентификации
Факторы аутентификации — это группы свойств, которые сличают с известными заранее значениями, чтобы подтвердить или опровергнуть подлинность.
Например, только истинно рыжий человек мог получить предложение о работе в рассказе «Союз рыжих» Конана Дойла. Свойство — цвет волос.
А вот как проходила проверка подлинности, то есть аутентификация.
Козлята, кстати, совершили непростительную ошибку, рассказав о том, что именно и с чем они сличают, чтобы аутентифицировать посетителя, как козу-мать. Это позволило волку произвести взлом системы.
Какие бывают факторы аутентификации.
Фактор знания. Вы знаете пароль (сами его придумали или нашли бумажку на мониторе) и вы можете войти в личный кабинет. Вы знаете правильный ответ на секретный вопрос (девичья фамилия матери, как звали первого хомяка) и представитель банка продолжает разговор с вами. Коза поет определенный текст и козлята убеждаются, что это их мать.
Фактор владения. Вы владеете ключом от двери, поэтому можете ее открыть. Вы владеете телефоном, на который приходит одноразовый код, поэтому вы можете его корректно ввести.
Фактор свойства. Ваши волосы натурально рыжие и поэтому вы имеете право получить предложение о работе в «Союзе рыжих». Ваш голосок тонкий и поэтому козлята открывают дверь.
Кроме этих факторов иногда выделяют ещё два.
Фактор местоположения. Вы можете быть собой со всеми нужными правами, но находиться не в том месте, и поэтому вы не пройдете аутентификацию.
Фактор действия. Вы вводите правильный логин и пароль, но делаете это так, что капча начинает подозревать в вас робота. Тогда вы получите задание, в котором для успешной аутентификации нужно действовать как человек (конечно, с точки зрения капчи).
Вернемся к холодильнику
Для того, чтобы его открыть нужны:
- Отвертка (на фото — лежит на холодильнике) или любой другой достаточно длинный, тонкий, прочный предмет. Это фактор владения.
- Информация, что делать с отвёрткой, чтобы открыть холодильник. Куда вставить, под каким углом, как нажимать. Это фактор знания.
- Достаточная (и немалая) сила, чтобы нажать отвёрткой на рычаг внутри механизма, и определенная ловкость, чтобы одновременно потянуть дверцу на себя. Это фактор свойства.
P.S. У кого на даче такой же холодильник? )))
Я — директор по маркетингу в компании RooX, которая специализируется на аутентификации и авторизации (даже есть свой продукт). Это первый случай в моей карьере, когда специализация компании-работодателя вдохновила меня настолько, чтобы самой писать об этом. То, с каким интересом коллеги рассказывают обо всех этих «-ациях», и даёт мне пищу для постов.
*режим "зануда" mode on* Про "союз рыжих" некорректно. Им был нужен конкретно этот рыжий - и все эти якобы проверки подлинности рыжести не имели значения. Если бы у него оказался парик - его бы все равно взяли. *режим "зануда" mode off*
Комментарий недоступен
кстати, вот и идея для статьи про "фейковую аутентификацию"))
Кстати, да. Настоящая аутентификация тоже была, и даже тоже по биометрии (полагаю, они знали его в лицо), но по цвету волос - фейковая.
Они не то что знали его в лицо, они его сознательно на собеседование и пригласили. Он уже прошел аутентификацию по адресу проживания задолго до этого.
Да, я помню, что все было, чтобы выманить конкретно его конкретно из его дома. Все же я думаю, что на этой встрече они его по лицу аутентифицировали. Что пришел именно тот, кто живет там, где им надо.
В общем, интересная цепочка аутентификаций там получается ))
У вас на глазах слезы. Значит, все в порядке. (с)
Слоган для пользователей, проходящих бесконечные идентификации...))
Бесподобно )
Если говорить про аналогии, то мне еще нравится прохождение студента в общежитие: нужно рассказать вахтеру, кто ты есть, подтвердить это и получить от него разрешение для прохода с соблюдением регламента.
Шедеврально - так о технологиях редко кто пишет :)
Спасибо, постараюсь продолжить в том же ключе.
Офигенная статья, спасибо!!!! Раз объяснили на козлятах, и все факторы аутентификации, как на ладони!)
Волк и семеро козлят - вообще вся сказка про управление доступом от и до )
Отличная статья, спасибо!
Спасибо за поддержку )
крутая статья, автору спасибо)
спасибо за поддержку )
Раскрыть тему на примере ТАКОГО холодильника (и примеров из мультиков и литературы) - бесподобно!
Если видеть только заголовок (без картинки), то в голову приходит скучный современный "умный" холодильник, который сам заказывает продукты онлайн :) - а этот деревенский холодильник в качестве колоритного примера намного круче
Скелет поста родился во время безуспешных попыток открыть этот холодильник )
Если бы все так все объясняли сложные темы :) Спасибо за настроение!
Теперь бы авторизацию смочь объяснить )
Отличная статья
Спасибо ) постараюсь продолжить )
Ключ от двери не аутентифицирует, потому что ему наплевать, кто держит его в руке (соответственно, идентификация и аутентификация не производятся). А например Карта школьника одновременно идентифицирует, аутентифицирует и авторизует ребенка на проход в школу ) Я, правда, так себе эксперт.
Ключ не идентифицирует (не знаем кто), а аутентифицирует вполне себе. Просто субъект не конкретная персона, а "владелец ключа"
О, интересно. А "владелец ключа" может быть субъектом идентификации?
Зависит от требований к системе. Субъект - крайне широкое понятие и является просто стороной взаимодействия. Такой термин зафиксирован в ГОСТ Р 58833-2020 Защита информации: "Одна из сторон информационного взаимодействия, которая инициирует
получение и получает доступ."
Примеры субъектов: физлицо, юрлицо, система, роль, ресурс с заданным DNS-именем (HTTPS), предъявитель ценной бумаги, владелец ключа шифрования радиоканала (брелок сигнализации, некоторые системы опознавания свой-чужой) и т.п. Многие субъекты не идентифицируемы с точностью до лица.
А как он не идентифицирует? Разве бывает аутентификация без идентификации? Подлинность чего проверять, если не было идентификации?
Как: анонимно. Вот брелок от ворот не может быть идентифицирован, это просто какой-то брелок, на который прошили ключ. А что это был за брелок или вообще это была ардуина - мы не знаем, протокол не предусматривает.Но мы же проверили, что это именно "какой то из наших брелков".
Предъявитель ценной бумаги тоже анонимен, потому и называется: на предъявителя.
Статья ваще огонь )
комент ваще любовь )
Карта школьника! Тема для нового поста ) Во всяком случае - забираю в коллекцию примеров )
Даже в мультиках есть немножко от технологий будущего:))
Комментарий недоступен
https://docs.uidm.ru/webdocs/typical_component_architecture.html
Здесь есть немного больше, без смс )
Комментарий недоступен