Обзор современных методов аутентификации пользователя

Базовые понятия

Аутентификация — проверка принадлежности субъекту доступа предъявленного им идентификатора, подтверждение подлинности (аутентичности).

Идентификация — присвоение субъектам и объектам идентификатора и/или сравнение идентификатора с перечнем присвоенных идентификаторов.

Авторизация — проверка прав пользователя на осуществление транзакций, проводимая в точке обслуживания, результатом которой будет разрешение или запрет операции клиента.

Классификация методов аутентификации

Традиционная аутентификация Технологии единого входа Enum – авторизация Одноразовый пароль Цифровой сертификат Аппаратные средства

Традиционная аутентификация

Ввод логина и секретной фразы - пароля

Примеры: Базовая аутентификация (apache) Веб-формы

Enum - авторизация

Шифроблокнот:

Одноразовый пароль (One-time password)

Авторизация по ссылке (passremind, drupal) SMS Карты переменных кодов (скретч-карты):

Цифровой сертификат

Цифровой сертификат — выпущенный удостоверяющим центром электронный или печатный документ, подтверждающий принадлежность владельцу открытого ключа или каких-либо атрибутов.

Электронная цифровая подпись

Аппаратные средства

Смарт-карты (SIM, RFID) Электронный ключ (HASP, eToken) Биометрия

Распознавание: Лица Сетчатки глаза Отпечатков пальцев Голоса и т.д.

Технологии единого входа

Single Sign On

LDAP (Lightweight Directory Access Protocol)

Пример: Active Directory Windows Live ID (Microsoft Passport .NET)

OpenID

OAuth

OpenID — это открытая децентрализованная система, которая позволяет пользователю использовать единый аккаунт для аутентификации на множестве не связанных друг с другом ресурсов (сайтов, порталов, блогов, форумов и т.д.).

OpenID

Схема работы OpenID

Преимущества OpenID

Возможность делегирования OpenID идентификатора (алиасы)

Регистрационное Расширение (возможна передача данных пользователя)

Удобство использования

Gravatar

Gravatar (Globally recognized avatar — глобально распознаваемый аватар) http://gravatar.com/

Привязка аватара к адресу электронной почты

Когда пользователь оставляет комментарий на сайте или блоге, поддерживающим Gravatar, и указывает свой адрес электронной почты, на стороне сайта вычисляется MD5 хэш от почтового адреса и отправляется на сервер Gravatar, в ответ возвращается аватар пользователя. Таким образом система Gravatar позволяет использовать аватары без регистрации на сайте или блоге.

OAuth

OAuth — это открытый протокол авторизации, который позволяет предоставить третьей стороне доступ к защищенным ресурсам пользователя, без необходимости передавать ей (третьей стороне) логин и пароль.

Как работает OAuth?

Веб-приложение запрашивает у службы аутентификации провайдера токен-запрос.

Провайдер выдает токен-запрос веб-приложению.

Веб-приложение перенаправляет пользователя на страницу авторизации провайдера

Провайдер запрашивает у пользователя разрешение доступа веб-приложения к ресурсам

Пользователь входит в свой аккаунт и разрешает доступ веб-приложению.

Провайдер выдает веб-приложению доступ к ресурсам.

Веб-приложение получает данные из провайдера.

Схема работы OAuth

Преимущества OAuth

Позволяет создавать приложения, использующее API сервера и персонализированные данные пользователя, не участвуя непосредственно в процессе аутентификации пользователя

Очень простая реализация, удобство

Где используется OAuth?

Twitter Facebook В Контакте Яндекс Mail.ru Yahoo Google (Google Data API) LiveJournal

Чем OAuth отличается от OpenID?

OpenID — протокол для ускоренной регистрации. OpenID позволяет пользователю без ввода пароля получить аккаунт на каком-либо сервисе, если он уже зарегистрирован где-то еще в интернете.

OAuth — протокол для авторизованного доступа к ресурсам провайдера. OAuth позволяет скрипту веб-приложения получить ограниченный доступ к данным провайдера, если пользователь разрешает.

Менеджеры паролей

3 типа: Расширение браузера (plugin) Десктопное приложение Online-сервис

Функционал Безопасное хранение паролей Генерация паролей