МЕТОДИ АУТЕНТИФІКАЦІЇ ТА АВТОРИЗАЦІЇ У МОБІЛЬНИХ ТА ВЕБ-ДОДАТКАХ - Наукові конференції

Вас вітає Інтернет конференція!

Вітаємо на нашому сайті

Рік заснування видання - 2011

МЕТОДИ АУТЕНТИФІКАЦІЇ ТА АВТОРИЗАЦІЇ У МОБІЛЬНИХ ТА ВЕБ-ДОДАТКАХ

11.05.2022 00:53

[1. Інформаційні системи і технології]

Автор: Шевчук Денис Тарасович, студент, кафедра захисту інформації, Національний університет “Львівська політехніка”


Анотація

Під час розробки мобільних та веб застосунків, особливо таких, які обробляють критичну інформацію, майже у всіх випадках виникає потреба у створенні та впровадженні системи аутентифікації та авторизації користувачів. У даній роботі буде розглянуто найпопулярніші методи впровадження цих систем.

Annotation

In the development of mobile and web applications, especially those that process critical information, in almost all cases there is a need to create and implement an user authentication and authorization system. In this paper will be considered the most popular methods of implementing these systems.

Вступ

Із плином часу та розвитком веб-технологій створювались нові та удосконалювались минулі методи аутентифікації та авторизації. На даний час є кілька найпопулярніших підходів до побудови таких систем, які переважно комбінуються для досягнення кращих результатів.

Основна частина

Хоча терміни “аутентифікація” та “авторизація” часто ототожнюються, насправді вони означають фундаментально різні поняття. Якщо говорити простими словами, то аутентифікація - це процес визначення ким є користувач, а на противагу цьому авторизація - це процес визначення прав та можливостей, які має користувач. Наведемо приклад із реального життя порівнюючи ці процеси: коли людина проходить через охорону у аеропорту, то вона показує свою ID-картку, щоб автентифікувати що вона дійсно є тим за кого себе видає, а далі, перед посадкою на літак, надає посадковий талон бортпровіднику, щоб вони перевірили чи це дійсно той рейс на який здійснюється посадка і ви маєте до нього доступ.

Наведемо коротку порівняльну характеристику:

           Таблиця 1

Порівняльна характеристика аутентифікації та авторизації





Типові методи аутентифікації

Хоча історично достовірність особистості користувача перевіряли за допомогою комбінації логіну та паролю, сьогоднішні методи автентифікації зазвичай базуються на трьох основних типах інформації:

● Що ти знаєш: найбільш поширений випадок - це використання звичайного паролю. Але також цей тип включає у себе такі способи аутентифікації як відповідь на секретне питання чи одноразовий пін-код, який відправляється на прив’язаний до акаунту телефон чи пошту і гарантує користувачу доступ до однієї сесії або транзакції у додатку, після закінчення якої для поновлення доступу потрібно буде відправити пін-код знову.

● Чим ти володієш: одним із варіантів може бути мобільний пристрій або додаток на ньому, популярними рішеннями у якості додатків на мобільних пристроях є Google Authenticator та Microsoft Authenticator, які використовуються у багатьох установах. Також це можуть бути цифрові ID-картки, наприклад які часто використовуються для відкриття дверей або проходження турнікетів у офісних приміщеннях, або ж пульти керування, наприклад у системі сигналізації Ajax можна використати два способи відключення сигналізації - через додаток або ж через спеціальний пульт керування.

● Хто ти є: тут йде мова про наші біометричні дані, тобто відбитки пальців, скан сітківки ока або розпізнавання обличчя чи голосу. Цей тип інформації стає все частіше використовуватись для авторизації із розвитком машинного навчання, особливо у мобільних додатках.

Зазвичай ці типи інформації комбінуються використовуючи багатошарову автентифікацію. Наприклад користувача можуть попросити надати логін та пароль, щоб здійснити онлайн-покупку. Після успішної перевірки достовірності цих даних йому надішлють одноразовий пін-код на його телефон та попросять його ввести на сайті, це і буде виступати як другий рівень безпеки.

Типові методи авторизації

Після того як користувач підтвердив свою особистість відбувається перевірка його прав для того, щоб визначити чи має він змогу доступитись до тих чи інших ресурсів або ж виконувати ті чи інші дії у системі, наприклад додавання чи видалення інформації, опираючись на дозволи надані організацією. Ці дозволи можуть бути надані на рівні додатку, операційної системи або ж інфраструктури. Дві основні техніки авторизації є:

● Керування доступом на основі ролей (Role-Based Access Control - RBAC): цей метод авторизації надає користувачу доступ до інформації базуючись на його ролі в організації. Наприклад, усі працівники всередині компанії мають змогу переглядати їх персональну інформацію, таку як зарплата, кількість днів відпустки та інше, проте не можуть її змінювати. Напротивагу звичайним працівникам у відділі кадрів є можливість переглядати інформацію усіх працівників і крім цього у них є можливість додавати, видаляти та змінювати ці дані. Присвоюючи дозволи відповідно до ролі кожного працівника, організація може бути впевнена у тому, що кожен користувач є продуктивним і в той ж час має обмежений доступ до вразливої інформації.

● Керування доступом на основі атрибутів (Attribute-Based Access Control - ABAC): у цьому методі дозволи надаються користувачу більш гранулярно, ніж у попередньому, використовуючи набір особливих атрибутів. Це може включати у себе найрізноманітніші особливості користувача: ім’я, роль, ідентифікатор та інші. Також може бути використано такі атрибути середовища як час доступу, місцезнаходження даних і рівень загрози додатку у даний час. Цей підхід є більш комплексним процесом авторизації, ніж управління доступом на базі ролей, тим самим дозволяючи більш гнучко надавати доступ до ресурсів, тобто виконуючи правило мінімально можливих привілеїв. Наприклад, замість того, щоб надавати усім працівникам відділу кадрів право змінювати інформацію звичайних працівників, доступ може бути обмежений до певної локації або годин, щоб зменшити кількість потенційних загроз.

Висновки

Отже, розглянувши типові методи авторизації та автентифікації мобільних та веб застосунків бачимо, що для досягнення максимально можливого захисту потрібно застосовувати комбінації цих способів, тобто використовувати багатошаровий захист та дотримуватись загальних правил на кшталт правила мінімуму привілеїв.

Література

1. Martin T. Identification vs Authentication Authorization [Електронний ресурс] / Thoma Martin. – 2020. – Режим доступу до ресурсу: https://medium.com/plain-and-simple/identification-vs-authentication-vs- authorization-e1f03a0ca885.

2. Password Authentication for Web and Mobile Apps: The Developer's Guide To Building Secure User Authentication, 2020. – 142 с. – (Independently published). – (ISBN 979-8649303095).

3. Authentication and Authorization on the Web (Web Security Topics) / Nigel and Jenny Chapman. - 2012. - 246 c. - (ISBN 978-0956737052)
_________________________

Науковий керівник: Партика А.І., старший викладач, кафедра захисту інформації, Національний університет “Львівська політехніка”

Creative Commons Attribution Ця робота ліцензується відповідно до Creative Commons Attribution 4.0 International License
допомога Знайшли помилку? Виділіть помилковий текст мишкою і натисніть Ctrl + Enter
Конференції

Конференції 2024

Конференції 2023

Конференції 2022

Конференції 2021



Міжнародна інтернет-конференція з економіки, інформаційних систем і технологій, психології та педагогіки

Наукова спільнота - інтернет конференції

:: LEX-LINE :: Юридична лінія

Інформаційне суспільство: технологічні, економічні та технічні аспекти становлення