company_banner

Аутентификация: что общего между холодильником и ружьем?



    Всех с пятницей, уважаемые хабравчане! Как вы знаете, у нас в Почте, Календаре и Облаке используется двухфакторная аутентификация. За месяцы, прошедшие с её внедрения, у службы поддержки накопилось достаточно фактического материала, который ясно даёт понять: многие пользователи (и даже продвинутые) путаются в технических терминах. С чего мы это взяли — под катом.

    Начнем с того, что множество пользователей путают понятия «аутентификация», «авторизация» и «идентификация». Как нам подсказывает Википедия:

    • Аутентификация — процедура проверки подлинности.
    • Авторизация — предоставление прав на выполнение определённых действий; а также процесс проверки (подтверждения) данных прав.
    • Идентификация — признание тождественности, отождествление объектов, опознание.

    Как видите, смысл у эти трёх терминов разный. Кто-то об этом и так знает, кто-то сейчас узнал для себя нечто новое, а кто-то скажет, что какие-то из определений тождественны, просто описаны разными словами. Как показывает практика, немало пользователей, обращающихся в нашу службу поддержки, отчаянно путают термины, когда говорят о двухфакторной аутентификации. И сегодня мы решили поделиться с вами наиболее любопытными примерами из обращений пользователей. Итак, как же люди называют двухфакторную аутентификацию? Список читайте ниже, авторская орфография полностью сохранена (граммар-наци негодует). А восемь из них мы постарались проиллюстрировать, какой рисунок к чему относится — попробуйте догадаться сами.






    двухтактовая защита
    двукратный пороль
    двуанифиакционная защита
    двухфактурная аутентификация
    двухуровневая аутентификация
    двухствольная аутентификация
    двухсторонняя аутификация
    двухслойная индификация
    двух сторонняя штука
    двухяростная защита
    двухмерная на другой телефон
    двухядерная аундификация
    двухтактовая индефекация
    двухсторонняя треангуляция
    двуфиксация
    двухкраьная ауентификация
    двухконтурная авторизация
    двузтактовая аунтетификация
    двухратная аунтификация
    двухядерная аундификация
    смс двух фактовая с номером
    двухратная аунтификация
    функция двухяростная
    двухтактная аунтификация код+смс
    новая зашита двусульная
    двухкратная аутентичность
    двуххактерная защита
    двухфакратная аутенфикация
    двухфактная модификация
    двухвакторная индефикация
    двух створчатая адентификация
    двухкраторная аундентифакация
    двухскатная аутентификация
    двухэтажная аутентификикация
    двух кратная привзяка
    двухфронтальная аутефикацыя
    двухуровневая инентификация
    аунтефикация двухвакторная
    двухкамерная аунтефикацыя
    двух сторонняя аутифенция
    двухвазный аунтификатор
    двухкамерная фигна
    двухвостная защита
    двуанифиакционная защита

    А какие названия сложных технических терминов приходилось слышать вам?
    Mail.ru Group
    1515,00
    Строим Интернет
    Поделиться публикацией

    Похожие публикации

    Комментарии 32

      +4
      Да даже не в сложных люди отжигают.
      Долго ломал голову над просьбой записать пожилому пользователю диск с «ЭмЭрЗэ» — речь шла об MP3.
        0
        В практике было такое слово «Индификация»… Из контекста понял, что все-таки речь шла про идентификацию.
          0
          Индификация – процесс в гейм-девелопменте, который заключается в намеренном придании разрабатываемой игре отличительных характеристик инди-игр (простая графика, необычный геймплей, низкое качество).

          Конечно, я только что это «определение» из головы взяла, но описанный феномен вполне может существовать.
          –8
          Недавно Виталий Кличко рассказал про таинственные артефаки, найденные в ходе раскопок.



            +11
            двухтактовая индефекация

            Это вам сообщили биологические особенности организма. Не думаю, что это связано с аутентификацией.
              +5
              А двухкратный пороль — это то, что сделали с организмом.
              –4
              Можно не париться и менять местами аутенфикацию с авторизацией в большинстве случаев. Потому что любой запрос сначала делает аутенфикацию (кто вы) а потом можете ли вы это делать. В рус. языке лучше везде использовать слово авторизация, оно более знакомо нашему уху.

              Кстати, двух факторной у вас нет. У вас двух шаговая (2 step verification). Пароль посланный через SMS не считается за второй фактор, тк SMS провайдер и много других персонажей имеют к нему доступ, а не только юзер.
                +2
                Пароль посланный через SMS не считается за второй фактор

                Считается, если он «одноразовый». Насколько безопасный, это уже другой вопрос.
                  0
                  Why isn't an OTP via SMS a 2nd factor?

                  paul.reviews/the-difference-between-two-factor-and-two-step-authentication

                  «Одноразовость» ничего не меняет.
                    +1
                    Сколько людей столько мнений, но двухэтапность SMS в статье обосновывается именно соображениями недостаточной безопасности:
                    If it were truly a 2nd factor, it would be impossible to authenticate without the device. If an attacker ports your mobile number to another provider or manages to intercept your SMS


                    Представьте что OTP присылается не открытым текстом а зашифрованным с ключом который может расшифровать только ваш телефон, и в этом случае «перехват» ничего не даст… получится что только это переведет метод с SMS их двухэтапного в двухфакторный? что то нелогично получается
                      –1
                      Кстати исходя из той же логики, двухфакторной аутентификацией не могут считаться:
                      — Мобильное приложение, так как телефон может быть инфицирован вирусом который будет перехватывать OTP с экрана (иногда это легче чем перехватывать СМС)
                      — Аппаратный ключ, так как код можно подглядеть через плечо или скрытую камеру
                      — далее в том же духе

                      нет ничего идеального
                        0
                        Приведенные атаки не являются пассивным наблюдателем и куда менее реальны. Бэкдор в опен сорс продукт тяжело внести, скрытые камеры есть не везде, а какой нибудь Билайн сейчас видит тысячи кодов от банков и приложений.

                        Если ключ хранить на телефоне то это станет вторым фактором, end to end.
                          0
                          ключ хранить на телефоне то это станет вторым фактором

                          получается что дело не в канале передачи OTP (SMS)
                          кстати аналогом OTP с шифрованием можно считать delivery via push notifications (например как у Duosecurity) там коды передаются с end-to-end шифрованием (Https)
                            0
                            Я и не говорил что дело в канале, я говорил кто имеет доступ к кодам.
                            Duo как и дырявый authy не end 2 end. Они central authority который может вернуть status=ok на запрос своих клиентов. End to end это когда сам банк проверяет валидность кода. Пример того что я разрабатываю — e2e truefactor.io/info
                              0
                              немного не в тему поста…
                              как truefactor защитит от кейлоггера например?
                                0
                                От кейлогера (=вируса с любыми полномочиями) защитить не может ничто. Поэтому есть возможность привязать второй труфактор на другом девайсе. Да и логить там нечего — печатается только мастер пароль на этапе «регистрации» все остальное лишь нажатия OK/DENY.
                        +1
                        Второй фактор — обладание СИМ-картой.
                        Без обладания СИМ-картой с конкретным номером получить одноразовый пароль легально невозможно.

                        Название «двухэтапная» объясняется тем, что для того, чтобы отправить СМС/email нужно сначала узнать кому ее отправить. То есть первый этап — аутентификация по логину-паролю нужна, чтобы определить номер телефона получателя СМС.
                        Почему некоторые называют это «верификацией» непонятно. Возможно есть мнение, что слово менее серьезное, чем аутентификация. По сути вы можете всегда «аутентификацию» называть «верификацией пользователя».
                          0
                          Есть решения двухэтапные, но однофакторные. Пользователь вводит номер, получает смс, вводит пароль и получает доступ к сервису.
                      +4
                      Потому что любой запрос сначала делает аутенфикацию

                      О чем статья была… не, не читал.
                        0
                        Сори, редко пишу такие слова на русском.
                        0
                        По такой логике, если вход в приложение осуществляется только по паролю, присланному по СМС (а это почти то же самое, что и пароль присланный по email), то это и не вход вовсе. То есть нет фактора -> нет пароля -> нет аутентификации.

                        Пароль не перестает быть паролем от того, что он может быть скомпрометирован. Наличие у провайдера возможности прослушать мои SMS ничем не лучше/хуже, чем наличие у меня кейлоггера.

                        Пожалуйста, не призывайте менять местами аутентификацию и авторизацию. «Двухфакторная авторизация» — это что-то за гранью моего понимания. Может кому-то все равно, но мне слух очень режет. Для меня это как звонит и звонит.
                          0
                          Термин 2FA не включает в себя SMS OTP в классическом понимании. Второй фактор должен быть end 2 end. Зашифрован или сгенерирован локально например.

                          >Наличие у провайдера возможности прослушать мои SMS ничем не лучше/хуже, чем наличие у меня кейлоггера.

                          Разница огромная. Для вас разница терминов большая, для обычных пользователей разницы нет, так же как им не важна разница между хешированием и шифрованием паролей. Безопасность должна быть в первую очередь дружелюбной к обычным людям.
                            +1
                            Привет!
                            Чтобы спорить о терминах, нужно выбрать авторитетное определение этого термина :)
                            На какой источник определения термина 2FA Вы ссылаетесь?
                              0
                              Ладно, вы меня поймали. Я не хочу ссылаться на 2FA статью в вики так как меня от нее уже подташнивает (и я писал статью почему их определение фигня). Это в первую очередь маркетинговое слово, и каждый имеет неотъемлемое право говорить что у них 2FA даже если они код пошлют на тот же email.
                                0
                                Проблема тут не только в том, что Ваша статья менее известна, а в том, что 2FA по SMS со всеми ее недостатками — на сегодняшний день индустриальный стандарт.
                                Предлагайте миру новые безопасные решения, продвигайте их, и может через 5-10 лет в вики будет другое определение :)
                                У SMS есть важное преимущество перед ключами и токенами — при утере симки ее можно восстановить по паспорту. Для широких масс пользователей это важнее, чем опасность перехвата смски
                                  0
                                  В решении которое разрабатываю я все еще проще — email+пароль дают доступ к зашифрованному бэкапу. Симку получить займет дольше времени, и требуется развиртуализация человека. Проблема не в том какое решение «лучше» а с какого можно поиметь больше денег. Токены для банков стоят десятки долларов, я же делаю бесплатный софт. Им это не выгодно (
                                    0
                                    Я так понимаю Chikey имеет в виду случай когда «я такой дурак, что раньше отправлял свой логин\пароль к банку в СМС и теперь мобильный оператор, имея их из истории моей переписки и СМС с кодом — может залогиниться». Но, извините, если вы логины и пароли пересылаете открытым текстом в СМС — то вам тут уже ничего не поможет, с таким успехом вы и фотки криптотокенов с временными ключами можете в инстаграм постить.
                                      0
                                      Вы перегибаете. СМС с одноразовым паролем попадает на телефон пользователя, проходя тернистый путь через инфраструктуру банка и оператора.
                                      Сам пользователь СМС с паролем никому не отправляет и никуда не выкладывает (кроме поля ввода пароля, конечно).
                                      Делать фото значений аппаратных генераторов OTP и выкладывать в инстаграмме — не каждому придет в голову.
                              0
                              «Двухфакторная авторизация» — это что-то за гранью моего понимания.


                              Использую в продакшене. Первый фактор — обычная система прав на индивидуальных и групповых разрешениях по логину/паролю, вторая по IP-адресу. Ну или банальное «Извините, юзернейм, в вашем регионе сервис не доступен».
                            +6
                            Теперь эту статью можно будет найти по любому из указанных вариантов)
                              +2
                              Черный SEO
                              +1
                              Ирония ещё в том, что в слово аутентификация изначально закралась ошибка: никакого «фи» там нет в оригинале, но уже поздно, термин в широком обиходе.

                              А вообще, КМК, проще было бы называть это «двухэтапной проверкой подлинности» — Dropbox, например, так и делает.

                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                              Самое читаемое