ProQualityCommunity Mar 7 2023 at 15:42

Идентификация, Аутентификация, Авторизация. В чем же разница?

Easy

4 min

43K

IT systems testing*Web services testing*Mobile applications testing*Game testing*

+12

Comments 9

policeman Mar 7 2023 at 18:56

Спасибо, за интересную статью! Можно, было бы, ещё добавить, про многоступенчатую аутентификацию, она может быть однофакторной, например, два пароля. Их тоже иногда путают.

yuriygavrilov Mar 7 2023 at 19:03

Еще можно добавить ip адрес как доп проверка на этапе аутентификации

TyVik Mar 8 2023 at 16:05

Вечно путал второе и третье. Проще всего запомнить чем авторизация отличается от аутентификации на названии приложения Google authenticator. Он предоставляет только данные для входа (2fa), но не проверку прав.

nefone Mar 8 2023 at 21:25

А если пользователь, например, 10 раз вводит неправильный пароль и система блокирует аутентификацию - это как называется?

pae174 Mar 8 2023 at 21:52

Account Lockout Threshold Policy, Политика блокировки учетной записи.

pae174 Mar 8 2023 at 21:48

Существует 3 фактора, которые напрямую задействуются в процессе аутентификации:
1.      Известность
2.      Обладание
3.      Признак

Это какой-то вырвиглазный перевод?

Knowledge, Possession, Inherence - Знание, владение, свойство.

Кроме того у вас там примеры для пунктов 2 и 3 поменялись местами.

Кроме того существует четвертый фактор - местоположение. Выше в комментах написали уже про IP адрес в качестве такового.

Moskus Mar 9 2023 at 20:58

По поводу местоположения, например, NIST с вами не согласен, т.к. не упоминает ни geolocation, ни IP-адрес среди факторов аутентификации. Упоминает - только как дополнительную информацию, которая может быть использована для анализа поведения пользователя в случае, например, защиты от брутфорса или от использования похищенных данных для аутентификации. Также, подобные данные могут использоваться для связывания аутентификатора с аккаунтом.

Как самостоятельный фактор их использовать, в общем случае, совершенно бессмысленно.

ProQualityCommunity Mar 16 2023 at 11:03

Поправил терминологию. А какие именно примеры для пунктов 2 и 3 поменялись местами?

Moskus Mar 9 2023 at 20:50

Поскольку объяснение на примерах без объяснения механики - это для олигофренов (буквально, не обладающих навыками абстрактного мышления), поясню, что авторизация - это процесс разрешения или отклонения попыток совершить определенные действия.

Пример из статьи иллюстрирует только один такой вариант - принятие решения системой (на основе роли пользователя) разрешить ему доступ к тем или иным данным/действиям.

В то же самое время, существует ситуация, в которой авторизацию действий системы совершает пользователь. Об этом в статье не сказано. Примером такой ситуации может быть одобрение запроса на платёж, сгенерированного системой. И где-то это будет простое действие типа нажатия кнопки "одобрить", а где-то пользователь будет обязан аутентифицироваться, например - повторно использовав один из факторов аутентификации.

В статье ничего нового, а некоторых она даже скорее собъет с толку.

Show the best of all time