Аутентификация - это действие или процесс подтверждения того, что что-то (или кто-то) является тем, кем, как они говорят, они являются, чтобы впоследствии получить доступ к определенным определенным ресурсам, а авторизация - это процесс, в котором типы ресурсов разрешены или запрещены для определенного пользователя или группы. пользователей конкретно.
Чтобы выполнить два предыдущих процесса или действовать успешно (особенно аутентификация), большинство систем основано на трех источниках информации:
- Что я знаю: есть информация, такая как пароль, которая должна быть известна только тому, кто хочет аутентифицировать себя, и, следовательно, если она верна, личность законного пользователя считается аккредитованной. Что у меня есть: есть объект, который находится во владении человека, который хочет аутентифицироваться. Если может быть подтверждено, что этот человек имеет этот объект, он будет считаться законным, например, магнитная карта или мобильный телефон. Кто я: Этот раздел относится к биометрии, любому биологическому параметру, который можно измерить и отличает нас от всех остальных. Наиболее распространенными являются отпечатки пальцев, радужная оболочка глаза или наше лицо.
Что связано с использованием двойного фактора аутентификации, так это объединение двух или более источников информации, чем упомянутые выше, для обеспечения большей безопасности в процессе аутентификации.
Например, процесс аутентификации, который требует кода, полученного из приложения или SMS-сообщения, в дополнение к паролю для доступа к услуге, является процессом, который удовлетворяет этим условиям.
Предыдущий случай - это метод, широко используемый, например, в процессах аутентификации и авторизации в банковском секторе, из-за критичности операций, которые выполняют эти компании, они уже давно используют двухфакторные методы (например, физическое устройство вместе с PIN-код в случае финансовых карт).
Все крупные компании, такие как Twitter, Google, LinkedIn или Dropbox, среди других, уже предлагают эту функцию в качестве дополнительной (а в некоторых случаях обязательной) защиты для своих учетных записей или доступа, но независимо от размера или критичности компаний, которые это мера, которая осуществляется каждый день в большем количестве компаний.
Из-за большого количества целевых атак и известных уязвимостей, как правило, многофакторная аутентификация, в которой пользователь объединяет два или более факторов для завершения процесса доступа к любому приложению.
Некоторые из примеров, которые можно объединить в любом из прокомментированных случаев:
- Смарт-карта. Введите PIN-код. Цифровой сертификат клиента. Пароль. Одноразовый код (OTP). Случайный токен безопасности. Сканирование отпечатка пальца. Распознавание лица.
Чтобы завершить эту статью, важно отметить, что не существует надежного метода и что: двухфакторные или многофакторные системы лучше, чем один пароль, но злоумышленники или пользователи могут найти способ нарушить все механизмы и поэтому наша система аутентификации скомпрометирована.
Фернандо Сааведра
Менеджер по кибербезопасности
Аудеа Информационная безопасность
