Вас приветствует Интернет конференция!
Приветствуйем на нашем сайте
МЕТОДИ АУТЕНТИФІКАЦІЇ ТА АВТОРИЗАЦІЇ У МОБІЛЬНИХ ТА ВЕБ-ДОДАТКАХ
11.05.2022 00:53
[1. Информационные системы и технологии]
Автор: Шевчук Денис Тарасович, студент, кафедра захисту інформації, Національний університет “Львівська політехніка”
Анотація
Під час розробки мобільних та веб застосунків, особливо таких, які обробляють критичну інформацію, майже у всіх випадках виникає потреба у створенні та впровадженні системи аутентифікації та авторизації користувачів. У даній роботі буде розглянуто найпопулярніші методи впровадження цих систем.
Annotation
In the development of mobile and web applications, especially those that process critical information, in almost all cases there is a need to create and implement an user authentication and authorization system. In this paper will be considered the most popular methods of implementing these systems.
Вступ
Із плином часу та розвитком веб-технологій створювались нові та удосконалювались минулі методи аутентифікації та авторизації. На даний час є кілька найпопулярніших підходів до побудови таких систем, які переважно комбінуються для досягнення кращих результатів.
Основна частина
Хоча терміни “аутентифікація” та “авторизація” часто ототожнюються, насправді вони означають фундаментально різні поняття. Якщо говорити простими словами, то аутентифікація - це процес визначення ким є користувач, а на противагу цьому авторизація - це процес визначення прав та можливостей, які має користувач. Наведемо приклад із реального життя порівнюючи ці процеси: коли людина проходить через охорону у аеропорту, то вона показує свою ID-картку, щоб автентифікувати що вона дійсно є тим за кого себе видає, а далі, перед посадкою на літак, надає посадковий талон бортпровіднику, щоб вони перевірили чи це дійсно той рейс на який здійснюється посадка і ви маєте до нього доступ.
Наведемо коротку порівняльну характеристику:
Таблиця 1
Порівняльна характеристика аутентифікації та авторизації
Типові методи аутентифікації
Хоча історично достовірність особистості користувача перевіряли за допомогою комбінації логіну та паролю, сьогоднішні методи автентифікації зазвичай базуються на трьох основних типах інформації:
● Що ти знаєш: найбільш поширений випадок - це використання звичайного паролю. Але також цей тип включає у себе такі способи аутентифікації як відповідь на секретне питання чи одноразовий пін-код, який відправляється на прив’язаний до акаунту телефон чи пошту і гарантує користувачу доступ до однієї сесії або транзакції у додатку, після закінчення якої для поновлення доступу потрібно буде відправити пін-код знову.
● Чим ти володієш: одним із варіантів може бути мобільний пристрій або додаток на ньому, популярними рішеннями у якості додатків на мобільних пристроях є Google Authenticator та Microsoft Authenticator, які використовуються у багатьох установах. Також це можуть бути цифрові ID-картки, наприклад які часто використовуються для відкриття дверей або проходження турнікетів у офісних приміщеннях, або ж пульти керування, наприклад у системі сигналізації Ajax можна використати два способи відключення сигналізації - через додаток або ж через спеціальний пульт керування.
● Хто ти є: тут йде мова про наші біометричні дані, тобто відбитки пальців, скан сітківки ока або розпізнавання обличчя чи голосу. Цей тип інформації стає все частіше використовуватись для авторизації із розвитком машинного навчання, особливо у мобільних додатках.
Зазвичай ці типи інформації комбінуються використовуючи багатошарову автентифікацію. Наприклад користувача можуть попросити надати логін та пароль, щоб здійснити онлайн-покупку. Після успішної перевірки достовірності цих даних йому надішлють одноразовий пін-код на його телефон та попросять його ввести на сайті, це і буде виступати як другий рівень безпеки.
Типові методи авторизації
Після того як користувач підтвердив свою особистість відбувається перевірка його прав для того, щоб визначити чи має він змогу доступитись до тих чи інших ресурсів або ж виконувати ті чи інші дії у системі, наприклад додавання чи видалення інформації, опираючись на дозволи надані організацією. Ці дозволи можуть бути надані на рівні додатку, операційної системи або ж інфраструктури. Дві основні техніки авторизації є:
● Керування доступом на основі ролей (Role-Based Access Control - RBAC): цей метод авторизації надає користувачу доступ до інформації базуючись на його ролі в організації. Наприклад, усі працівники всередині компанії мають змогу переглядати їх персональну інформацію, таку як зарплата, кількість днів відпустки та інше, проте не можуть її змінювати. Напротивагу звичайним працівникам у відділі кадрів є можливість переглядати інформацію усіх працівників і крім цього у них є можливість додавати, видаляти та змінювати ці дані. Присвоюючи дозволи відповідно до ролі кожного працівника, організація може бути впевнена у тому, що кожен користувач є продуктивним і в той ж час має обмежений доступ до вразливої інформації.
● Керування доступом на основі атрибутів (Attribute-Based Access Control - ABAC): у цьому методі дозволи надаються користувачу більш гранулярно, ніж у попередньому, використовуючи набір особливих атрибутів. Це може включати у себе найрізноманітніші особливості користувача: ім’я, роль, ідентифікатор та інші. Також може бути використано такі атрибути середовища як час доступу, місцезнаходження даних і рівень загрози додатку у даний час. Цей підхід є більш комплексним процесом авторизації, ніж управління доступом на базі ролей, тим самим дозволяючи більш гнучко надавати доступ до ресурсів, тобто виконуючи правило мінімально можливих привілеїв. Наприклад, замість того, щоб надавати усім працівникам відділу кадрів право змінювати інформацію звичайних працівників, доступ може бути обмежений до певної локації або годин, щоб зменшити кількість потенційних загроз.
Висновки
Отже, розглянувши типові методи авторизації та автентифікації мобільних та веб застосунків бачимо, що для досягнення максимально можливого захисту потрібно застосовувати комбінації цих способів, тобто використовувати багатошаровий захист та дотримуватись загальних правил на кшталт правила мінімуму привілеїв.
Література
1. Martin T. Identification vs Authentication Authorization [Електронний ресурс] / Thoma Martin. – 2020. – Режим доступу до ресурсу: https://medium.com/plain-and-simple/identification-vs-authentication-vs- authorization-e1f03a0ca885.
2. Password Authentication for Web and Mobile Apps: The Developer's Guide To Building Secure User Authentication, 2020. – 142 с. – (Independently published). – (ISBN 979-8649303095).
3. Authentication and Authorization on the Web (Web Security Topics) / Nigel and Jenny Chapman. - 2012. - 246 c. - (ISBN 978-0956737052)
Ця робота ліцензується відповідно до Creative Commons Attribution 4.0 International License
Знайшли помилку? Виділіть помилковий текст мишкою і натисніть Ctrl + Enter
_________________________
Науковий керівник: Партика А.І., старший викладач, кафедра захисту інформації, Національний університет “Львівська політехніка”
Ця робота ліцензується відповідно до Creative Commons Attribution 4.0 International License
Знайшли помилку? Виділіть помилковий текст мишкою і натисніть Ctrl + Enter
Другие научные работы даной секции
-
ВИКОРИСТАННЯ ХМАРНОГО СЕРЕДОВИЩА GOOGLE WORKSPACE ДЛЯ ОРГАНІЗАЦІЇ ВІРТУАЛЬНОГО ОСВІТНЬОГО СЕРЕДОВИЩА В ЗАКЛАДІ ОСВІТИ
13.05.2022 14:00 -
РОЗРОБКА СИСТЕМИ ДЛЯ АНАЛІЗУ ЗВ'ЯЗКІВ НА ОСНОВІ ГРАФОВИХ РОЗПОДІЛЕНИХ БАЗ ДАНИХ
13.05.2022 10:55 -
ВИКОРИСТАННЯ «MINECRAFT» ДЛЯ ВИВЧЕННЯ ЛОГІЧНИХ ЕЛЕМЕНТІВ
11.05.2022 22:44 -
ВИКОРИСТАННЯ МУРАШИНОГО АЛГОРИТМУ ДЛЯ ПОШУКУ БЛИЗЬКОГО ДО ОПТИМАЛЬНОГО МАРШРУТУ
11.05.2022 18:59 -
DEVELOPMENT OF PRINCIPLES OF VPN-TUNNELING
11.05.2022 16:05
Конференции
Конференции 2024
Конференции 2023
Конференции 2022
Конференции 2021
