В наши дни в далекой-далекой деревне стоит один холодильник.
Чтобы получить доступ в недра этого холодильника нужно пройти трехфакторную аутентификацию.
Три слова на «-ация».
В теме управления доступом есть по крайне мере три термина, заканчивающихся на «-ация» и тесно связанных друг с другом: идентификация, аутентификация, авторизация.
Идентификация — это распознавание пользователя по личному идентификатору, ответ на вопрос «кто это?».
Козлятушки, ребятушки, ваша мать пришла, молока принесла.
Аутентификация — это проверка подлинности. Правда ли ты тот, за кого себя выдаешь.
Вот пример, когда аутентификация не пройдена.
Вот раз коза ушла, волк побежал к избушке и закричал толстым голосом.
Козлята ему отвечают:
— Слышим, слышим — да не матушкин это голосок! Наша матушка поет тоненьким голосом и не так причитает.
Авторизация — проверка, имеет ли право пользователь делать то, что он собирается делать.
Печкин: «Я вам посылку принес, только я вам ее не отдам, потому что у вас документов нету».
Матроскин не предъявил, так сказать, токен доступа и операцию получения посылки Печкин ему не авторизовал. Хотя и вопросы аутентификации в этой фразе тоже затронуты :)
Факторы аутентификации
Факторы аутентификации — это группы свойств, которые сличают с известными заранее значениями, чтобы подтвердить или опровергнуть подлинность.
Например, только истинно рыжий человек мог получить предложение о работе в рассказе «Союз рыжих» Конана Дойла. Свойство — цвет волос.
СОЮЗ РЫЖИХ во исполнение завещания покойного Иезекин Хопкинса из Лебанона, Пенсильвания (США).
ОТКРЫТА новая вакансия для члена Союза. Предлагается жалованье четыре фунта стерлингов в неделю за чисто номинальную работу. Каждый рыжий не моложе двадцати одного года, находящийся в здравом уме и трезвой памяти, может оказаться пригодным для этой работы. Обращаться лично к Дункану Россу в понедельник, в одиннадцать часов, в контору Союза, Флитстрит, Попс-корт, 7.Э
А вот как проходила проверка подлинности, то есть аутентификация.
Он отступил на шаг, склонил голову набок и глядел на мои волосы так долго, что мне стало неловко. Затем внезапно кинулся вперед, схватил мою руку и горячо поздравил меня.
«Было бы несправедливостью с моей стороны медлить, — сказал он. — Однако, надеюсь, вы простите меня, если я приму некоторые меры предосторожности». Он вцепился в мои волосы обеими руками и дернул так, что я взвыл от боли.
«У вас на глазах слезы, — сказал он, отпуская меня. — Значит, все в порядке. Извините, нам приходится быть осторожными, потому что нас дважды обманули с помощью париков и один раз — с помощью краски.
Козлята, кстати, совершили непростительную ошибку, рассказав о том, что именно и с чем они сличают, чтобы аутентифицировать посетителя, как козу-мать. Это позволило волку произвести взлом системы.
Пошел волк в кузницу и велел себе горло перековать, чтоб петь тоненьким голосом. Кузнец ему горло перековал.
…
Козлята отворили дверь, волк кинулся в избу и всех козлят съел.
Какие бывают факторы аутентификации.
Фактор знания. Вы знаете пароль (сами его придумали или нашли бумажку на мониторе) и вы можете войти в личный кабинет. Вы знаете правильный ответ на секретный вопрос (девичья фамилия матери, как звали первого хомяка) и представитель банка продолжает разговор с вами. Коза поет определенный текст и козлята убеждаются, что это их мать.
Фактор владения. Вы владеете ключом от двери, поэтому можете ее открыть. Вы владеете телефоном, на который приходит одноразовый код, поэтому вы можете его корректно ввести.
Фактор свойства. Ваши волосы натурально рыжие и поэтому вы имеете право получить предложение о работе в «Союзе рыжих». Ваш голосок тонкий и поэтому козлята открывают дверь.
Кроме этих факторов иногда выделяют ещё два.
Фактор местоположения. Вы можете быть собой со всеми нужными правами, но находиться не в том месте, и поэтому вы не пройдете аутентификацию.
Фактор действия. Вы вводите правильный логин и пароль, но делаете это так, что капча начинает подозревать в вас робота. Тогда вы получите задание, в котором для успешной аутентификации нужно действовать как человек (конечно, с точки зрения капчи).
Вернемся к холодильнику
Для того, чтобы его открыть нужны:
- Отвертка (на фото — лежит на холодильнике) или любой другой достаточно длинный, тонкий, прочный предмет. Это фактор владения.
- Информация, что делать с отвёрткой, чтобы открыть холодильник. Куда вставить, под каким углом, как нажимать. Это фактор знания.
- Достаточная (и немалая) сила, чтобы нажать отвёрткой на рычаг внутри механизма, и определенная ловкость, чтобы одновременно потянуть дверцу на себя. Это фактор свойства.
Вопрос для экспертов. Похоже, что при использовании материальных объектов аутентификация и авторизация бывают слеплены в один бытовой блок. Ключ от двери аутентифицирует меня как могущего войти или авторизует на вход?
P.S. У кого на даче такой же холодильник? )))
Я — директор по маркетингу в компании RooX, которая специализируется на аутентификации и авторизации (даже есть свой продукт). Это первый случай в моей карьере, когда специализация компании-работодателя вдохновила меня настолько, чтобы самой писать об этом. То, с каким интересом коллеги рассказывают обо всех этих «-ациях», и даёт мне пищу для постов.
*режим "зануда" mode on* Про "союз рыжих" некорректно. Им был нужен конкретно этот рыжий - и все эти якобы проверки подлинности рыжести не имели значения. Если бы у него оказался парик - его бы все равно взяли. *режим "зануда" mode off*
Комментарий недоступен
кстати, вот и идея для статьи про "фейковую аутентификацию"))
Кстати, да. Настоящая аутентификация тоже была, и даже тоже по биометрии (полагаю, они знали его в лицо), но по цвету волос - фейковая.
Они не то что знали его в лицо, они его сознательно на собеседование и пригласили. Он уже прошел аутентификацию по адресу проживания задолго до этого.
Да, я помню, что все было, чтобы выманить конкретно его конкретно из его дома. Все же я думаю, что на этой встрече они его по лицу аутентифицировали. Что пришел именно тот, кто живет там, где им надо.
В общем, интересная цепочка аутентификаций там получается ))
У вас на глазах слезы. Значит, все в порядке. (с)
Слоган для пользователей, проходящих бесконечные идентификации...))
Бесподобно )
Если говорить про аналогии, то мне еще нравится прохождение студента в общежитие: нужно рассказать вахтеру, кто ты есть, подтвердить это и получить от него разрешение для прохода с соблюдением регламента.
Шедеврально - так о технологиях редко кто пишет :)
Спасибо, постараюсь продолжить в том же ключе.
Офигенная статья, спасибо!!!! Раз объяснили на козлятах, и все факторы аутентификации, как на ладони!)
Волк и семеро козлят - вообще вся сказка про управление доступом от и до )
Отличная статья, спасибо!
Спасибо за поддержку )
крутая статья, автору спасибо)
спасибо за поддержку )
Раскрыть тему на примере ТАКОГО холодильника (и примеров из мультиков и литературы) - бесподобно!
Если видеть только заголовок (без картинки), то в голову приходит скучный современный "умный" холодильник, который сам заказывает продукты онлайн :) - а этот деревенский холодильник в качестве колоритного примера намного круче
Скелет поста родился во время безуспешных попыток открыть этот холодильник )
Если бы все так все объясняли сложные темы :) Спасибо за настроение!
Теперь бы авторизацию смочь объяснить )
Отличная статья
Спасибо ) постараюсь продолжить )
Ключ от двери не аутентифицирует, потому что ему наплевать, кто держит его в руке (соответственно, идентификация и аутентификация не производятся). А например Карта школьника одновременно идентифицирует, аутентифицирует и авторизует ребенка на проход в школу ) Я, правда, так себе эксперт.
Ключ не идентифицирует (не знаем кто), а аутентифицирует вполне себе. Просто субъект не конкретная персона, а "владелец ключа"
О, интересно. А "владелец ключа" может быть субъектом идентификации?
Зависит от требований к системе. Субъект - крайне широкое понятие и является просто стороной взаимодействия. Такой термин зафиксирован в ГОСТ Р 58833-2020 Защита информации: "Одна из сторон информационного взаимодействия, которая инициирует
получение и получает доступ."
Примеры субъектов: физлицо, юрлицо, система, роль, ресурс с заданным DNS-именем (HTTPS), предъявитель ценной бумаги, владелец ключа шифрования радиоканала (брелок сигнализации, некоторые системы опознавания свой-чужой) и т.п. Многие субъекты не идентифицируемы с точностью до лица.
А как он не идентифицирует? Разве бывает аутентификация без идентификации? Подлинность чего проверять, если не было идентификации?
Как: анонимно. Вот брелок от ворот не может быть идентифицирован, это просто какой-то брелок, на который прошили ключ. А что это был за брелок или вообще это была ардуина - мы не знаем, протокол не предусматривает.Но мы же проверили, что это именно "какой то из наших брелков".
Предъявитель ценной бумаги тоже анонимен, потому и называется: на предъявителя.
Статья ваще огонь )
комент ваще любовь )
Карта школьника! Тема для нового поста ) Во всяком случае - забираю в коллекцию примеров )
Даже в мультиках есть немножко от технологий будущего:))
Комментарий недоступен
https://docs.uidm.ru/webdocs/typical_component_architecture.html
Здесь есть немного больше, без смс )
Комментарий недоступен