Что такое двухфакторная аутентификация и как ее использовать

Доступ к API с помощью токенов доступа

Kerberos

Впервые сервер аутентификации Kerberos появился в середине 90-х годов прошлого века, но с тех пор он уже успел получить огромнейшее количество принципиальных изменений. На данный момент отдельные компоненты данной системы присутствуют практически в каждой современной операционной системе.

Главным предназначением данного сервиса является решение следующей задачи: присутствует определенная незащищенная сеть, и в ее узлах сосредоточены различные субъекты в виде пользователей, а также серверных и клиентских программных систем. У каждого такого субъекта присутствует индивидуальный секретный ключ, и для того чтобы у субъекта С появилась возможность доказать собственную подлинность субъекту S, без которой тот попросту не станет его обслуживать, ему необходимо будет не только назвать себя, но еще и показать, что он знает определенный секретный ключ. При этом у С нет возможности просто отправить в сторону S свой секретный ключ, так как в первую очередь сеть является открытой, а помимо этого, S не знает, да и, в принципе, не должен знать его. В такой ситуации используется менее прямолинейная технология демонстрации знания этой информации.

Электронная идентификация/аутентификация через систему Kerberos предусматривает ее использование в качестве доверенной третьей стороны, которая имеет информацию о секретных ключах обслуживаемых объектов и при необходимости оказывает им помощь в проведении попарной проверки подлинности.

Таким образом, клиентом сначала отправляется в систему запрос, который содержит необходимую информацию о нем, а также о запрашиваемой услуге. После этого Kerberos предоставляет ему своеобразный билет, который шифруется секретным ключом сервера, а также копию некоторой части данных из него, которая засекречивается ключом клиента. В случае совпадения устанавливается, что клиентом была расшифрована предназначенная ему информация, то есть он смог продемонстрировать, что секретный ключ ему действительно известен. Это говорит о том, что клиент является именно тем лицом, за которое себя выдает.

Отдельное внимание здесь следует уделить тому, что передача секретных ключей не осуществлялась по сети, и они использовались исключительно для шифрования

Аутентификация с авторизация OAuth

Это разновидность единой точки входа с упрощением процесса регистрации/входа пользователя в ваше приложение. Используется при регистрации/входе в приложение через социальные сети.

Преимущество: пользователи могут войти в ваше приложение одним кликом, если у них есть аккаунт в одной из соцсетей. Им не нужно помнить логины и пароли. Это сильно улучшает опыт использования вашего приложения. Вам как разработчику не нужно волноваться о безопасности пользовательских данных и думать о проверке адресов почты — они уже проверены соцсетями. Кроме того, в соцсетях уже есть механизмы восстановления пароля.

Большинство соцсетей в качестве механизма аутентификации используют авторизацию через OAuth2.

Соцсеть — это сервер ресурсов, ваше приложение — клиент, а пытающийся войти в ваше приложение пользователь — владелец ресурса. Ресурсом называется пользовательский профиль / информация для аутентификации. Когда пользователь хочет войти в ваше приложение, оно перенаправляет пользователя в соцсеть для аутентификации (обычно это всплывающее окно с URL’ом соцсети). После успешной аутентификации пользователь должен дать вашему приложению разрешение на доступ к своему профилю из соцсети. Затем соцсеть возвращает пользователя обратно в ваше приложение, но уже с токеном доступа. В следующий раз приложение возьмёт этот токен и запросит у соцсети информацию из пользовательского профиля.

Для реализации такого механизма вам может понадобиться зарегистрировать своё приложение в разных соцсетях. Вам дадут app_id и другие ключи для конфигурирования подключения к соцсетям.

Что такое аутентификация?

На самом деле, это та процедура, которая хорошо знакома не только нам (современным жителям), но и нашим далеким предкам (практически испокон веков).

Если говорить кратко, то аутентификация — это процесс проверки подлинности (аутентичность — это значит подлинность)

Причем не важно каким способом (их существует как минимум несколько типов). Простейший пример

Вы заходите в свою квартиру открывая замок ключом. И если дверь таки открылась, то значит вы успешно прошли аутентификацию.

Разложим в этом примере все по полочкам:

1. Ключ от замка — это ваш идентификатор (вставили и повернули — прошли идентификацию). В компьютерном мире это аналог того, что вы сообщили системе свое имя (ник, никнейм).
2. Процесс открывания (совпадения ключа и замка) — это аутентификация. В компьютерном мире — это аналог прохождения этапа проверки подлинности (сверке введенного пароля).
3. Открывание двери и вход в квартиру — это уже авторизация (получение доступа). В сети — это вход на сайт, сервис, программу или приложение.

Как вы уже, наверное, поняли — двухфакторной аутентификации в данном примере будет отвечать наличие на двери второго замка (либо наличие собаки в доме, которая уже проведет свою собственную аутентификацию опираясь на биометрические признаки — запах, внешний вид, наличие вкусняшек у вас в кармане).

Еще один пример. Печать на документе (в паспорте, сургучная печать на старинных письмах).

Как видите — все предельно просто. Но сегодня под этим термином чаще всего понимают именно электронную аутентификацию, т.е. процесс входа на сайты, сервисы, в системы, электронные кошельки, программы и даже подключение к домашней WiFi сети. Но по сути, тут мало отличий от приведенного примера.

В электронном варианте у вас так же будет идентификатор (в простейшем случае это логин) и пароль (аналог замка), необходимый для аутентификации (входа в систему, получение доступа к интернету, входа в онлайн-сервис и т.п.).

Как я уже говорил выше, существует несколько типов аутентифаторов:

1. Пароль. Знаешь пароль — проходи. Это самый простой и дешевый способ проверки подлинности. Фишка в том, что пароль знают только те, кому надо. Но есть несколько «но». Пароль можно подобрать, либо украсть, либо получить путем социального инжиниринга (развода), поэтому его надежность всегда находится под сомнением.

2. Устройство (токены). Простейший пример — это карта или ключ доступа (на манер того, что используется в домофонах). Ну, или банковская карта, дающая доступ к вашим деньгам. Защита тут выше, чем у пароля, но устройство можно украсть и несанкционировано использовать. К тому же, такая проверка подлинности подразумевает под собой расходы.

3. Биометрия. Отпечаток пальца, сетчатка глаза, голос, лицо и т.п. Этот способ аутентификации считается наиболее надежным и тут не нужно с собой носить устройство, которое можно потерять или украсть (просто достаточно быть собой).

   Правда, точность идентификации тут не стопроцентная, да и системы эти не из дешевых.

Как видите, нет идеала. Поэтому зачастую для усиления безопасности используют так называемую двухфакторную (двухэтапную) аутентификацию. Давайте рассмотрим на примере.

Универсальный календарь

Определение

С процессом аутентификации в том или ином виде мы сталкиваемся довольно часто.

Чтобы объяснить это простыми словами, приведу пример.

Представьте себе, что недавно купили квартиру или сменили замки, к ключам еще не привыкли. Подходим к дверям и пытаемся вставить ключ в замочную скважину. Если мы ошиблись, то аутентификация не пройдена, ключ не соответствует замку, не открывает его. Если, наоборот, все сошлось, и двери открываются, значит, проверка подлинности пройдена.

Другие примеры аутентификации:

• ввод логина и пароля от учетной записи в социальной сети;
• использование ПИН-кода для снятия денег с карточки в банкомате;
• вход в систему компьютера;
• снятие блокировки с экрана телефона;
• применение кодового слова для подтверждения банковских операций в телефонном режиме;
• ввод кода доступа для подключения к интернету через Wi-Fi;
• подключение одного устройства к другому, например, телефона к компьютеру для передачи информации.

Ошибки аутентификации: причины и пути решения

При подключении к сети Wi-Fi, одного устройства к другому или при входе в любую программу и на сайт могут возникнуть проблемы. Чаще всего они связаны с такими причинами:

Неправильный идентификатор, то есть вы просто забыли или перепутали логин, пароль, ПИН-код, банковскую карту. Тут не возникает особых вопросов, как исправить ошибку

Проверьте данные для входа, возможно, вы не обратили внимание на регистр и написали строчные буквы вместо больших. Также часто при входе на сайт или в программу мы забываем проверить раскладку клавиатуры и пишем не на английском, а на русском языке.
Повреждение физического носителя, например, магнитная лента на банковской карте поцарапалась, карта погнулась, ключ от онлайн-банка или электронная подпись сломались, на глазу появился конъюнктивит, на пальце ранка, что препятствует считыванию биометрических данных, а телефон потерялся или утонул в Волге

Все это приводит к определенным затруднениям, и нужно искать способ убрать ошибку и получить доступ к данным или деньгам в каждом конкретном случае. Можно перевыпустить карту, а тем временем перевести деньги на другой счет и обналичить с него, заказать новую подпись или ключ, обратиться в офис, чтобы подтвердить действие без отпечатка пальцев, а, к примеру, при помощи кодового слова.
Разная система шифрования на телефоне и роутере приводит к их несовместимости. Чтобы подключиться к Wi-Fi в случае такой ошибки, потребуется изменить настройки роутера, применив шифрование, доступное в мобильном устройстве.
Иногда телефон не подключается к сети из-за программного сбоя ОС или ошибки в работе роутера. В таком случае попробуйте обновить программу в мобильном устройстве и перезапустите маршрутизатор.
Разная скорость передачи данных на устройствах, тут придется разбираться и снова лезть в настройки выставлять приемлемый объем данных, передаваемый за определенный промежуток времени.
В настройках роутера или другого прибора могут быть четко прописаны устройства, с которыми он может поддерживать связь. Если нужно добавить новый гаджет, то снова-таки придется поработать с настройками.

Как видим, причины могут быть разными. Чтобы разобраться с ними, нужно иметь запасной план, уметь работать с настройками программ и устройств или знать того, кто умеет это делать.

Новости банов

Как решить проблему

Теперь нужно разобраться, что делать для того, чтобы устранить эту ошибку при подключении. Сперва попробуйте перезагрузить устройство, на котором не получается соединиться с Интернетом, так как по многочисленным сообщениям пользователей именно простая перезагрузка аппаратов исправляет данную неполадку (возможно, в системе Android или другой ОС произошёл сбой).

Установите правильную дату на своём устройстве, а затем убедитесь в правильности введённого вами пароля, возможно он не совпадает с тем, что был установлен на сеть (есть шанс, что вы ошиблись буквой, случайно тыкнув на рядом стоящий символ, либо просто вводите неправильный пароль, стоит перепроверить).

Попробуйте провести решение проблемы со стороны роутера. Для этого следуйте несложному алгоритму действий:

1. Зайдите в настройки роутера, открыв любой веб-обозреватель и введя в адресную строку следующий IP-адрес: 192.168.0.1, или если не открывается сайт, то такой 192.168.1.1, это зависит от модели роутера. Затем в форме авторизации вводите свой логин и пароль (по умолчанию это тот, который написан на самом роутере, поищите эти сведения там), нажмите «вход», после чего должна открыться вкладка с параметрами.
2. В разделе настроек безопасности беспроводной сети можно при необходимости подсмотреть пароль. В той же вкладке измените значение настройки сетевой аутентификации, указав тип шифрования WPA/WPA2 (если выбрано WPA-PSK/WPA2-PSK меняем беспроводной режим на другой, либо наоборот). Если это оказалось бесполезным, попробуйте установить шифрование WEP.
3. Теперь нужно сохранить настройки, затем проверяем тип шифрования и выполняем переподключение к сети с вашего устройства.

Возможно, сможет помочь изменение пароля для беспроводной сети вашего роутера. Это может понадобиться, если вы забыли действующий, либо чтобы удостовериться, что вводится правильный при попытке подключения. Делается это следующим образом:

1. Вставьте в адресную строку IP-адрес 192.168.0.1 и перейдите по нему.
2. Теперь, пройдите процедуру авторизации, введя логин и пароль для доступа к настройкам маршрутизатора. Обычно могут подойти значения «admin» и «admin», если не подходят, то вспомните, меняли ли вы его. Если нет, посмотрите его на крышке роутера.
3. Найдите пункт настроек безопасности на странице параметров. Его местоположение зависит от версии прошивки роутера. Например, он может находится по адресу «Настроить вручную» -> «Расширенные настройки» -> «Manual Setup» -> «Беспроводная сеть».
4. Установите новый ключ шифрования для вашей сети. Для сохранения изменений не обязательно знать старый. Для метода аутентификации WPA2, длина пароля должна составлять не менее 8 знаков.
5. Сохраните изменения.

Для устройств, с которых вы подключались к этой сети, нужно «забыть» её, чтобы изменить настройки подключения. Введите только что установленный пароль и сохраните.

Wi-Fi Fixer

Попробуйте исправить ошибку с соединением с помощью приложения Wi-Fi Fixer. Данная утилита, работающая в фоновом режиме, будет автоматически пытаться поддерживать нормальное состояние соединения.

Дополнительно эта программа может исправлять мелкие проблемы с подключением и, возможно, сможет убрать ошибку аутентификации на телефоне. Утилиту можно загрузить с официального сайта (с доменом wordpress.com), либо со страницы Wi-Fi Fixer в Google Play.

https://youtube.com/watch?v=74oAsdb1ikc

Надеемся, статья получилась полезной и информативной, и вы смогли узнать больше про аутентификацию, а проблема с подключением к сети была устранена. Оставьте свой комментарий к новости, используя форму ниже.

Аутентификация пользователей

Запросы к страницам с ограниченным доступом успешно перехватываются и перенаправляются контроллеру Account, но учетные данные, предоставляемые пользователем, пока не проверяются системой аутентификации. В примере ниже вы можете увидеть, как мы завершим процесс входа пользователей в систему:

Самая простая часть — это проверка учетных данных, которую мы делаем с помощью метода FindAsync класса AppUserManager:

В дальнейшем мы будем многократно обращаться к экземпляру класса AppUserManager, поэтому мы создали отдельное свойство UserManager, который возвращает экземпляр класса AppUserManager с помощью метода расширения GetOwinContext() класса HttpContext.

Метод FindAsync принимает в качестве параметров имя и пароль, введенные пользователем, и возвращает экземпляр класса пользователя (AppUser в примере) если учетная запись с такими данными существует. Если нет учетной записи с таким именем или пароль не совпадает, метод FindAsync возвращает значение null. В этом случае мы добавляем ошибку в метаданные модели, которая будет отображена пользователю.Если метод FindAsync возвращает объект AppUser, нам нужно создать файл cookie, который будет отправляться браузером в ответ на последующие запросы, благодаря чему пользователь будет автоматически аутентифицироваться в системе:

Первым шагом является создание объекта ClaimsIdentity, который идентифицирует пользователя. Класс ClaimsIdentity является частью ASP.NET Identity и реализует интерфейс IIdentity, который был описан ранее. Экземпляры ClaimsIdentity создаются путем вызова статического метода CreateIdentityAsync() класса UserManager. Этому методу передается объект пользователя (IdentityUser) и тип аутентификации в перечислении DefaultAuthenticationTypes.

Следующий шаг — удаление всех старых аутентифицирующих файлов cookie и создание новых. Мы добавили свойство AuthManager в контроллере Account, которое возвращает объект, реализующий интерфейс IAuthenticationManager, который отвечает за выполнение аутентификации в ASP.NET Identity. В таблице ниже перечислено несколько полезных методов этого интерфейса:

Аргументами метода SignIn являются объект AuthenticationProperties, определяющий свойства настройки процесса аутентификации и объект ClaimsIdentity. Мы задали свойству IsPersistent объекта AuthenticationProperties значение true — это означает, что файлы cookie будут сохраняться между сессиями пользователей. Благодаря этому, если пользователь выйдет из приложения и зайдет, например, на следующий день, он будет автоматически аутентифицирован. (Есть и другие полезные свойства, определенные в классе AuthenticationProperties, но свойство IsPersistent является единственным, который широко используется на данный момент.)

После воссоздания файлов cookie мы перенаправляем пользователя по URL-адресу, который он просматривал до аутентификации (используя параметр returnUrl).

Давайте протестируем процесс аутентификации. Запустите приложение и перейдите по адресу /Home/Index. Браузер перенаправит вас на страницу входа, где необходимо ввести данные пользователя, которого мы создали ранее при тестировании панели администратора:

Протоколы аутентификации

Процедура аутентификации используется при обмене информацией между компьютерами, при этом используются весьма сложные криптографические протоколы, обеспечивающие защиту линии связи от прослушивания или подмены одного из участников взаимодействия. А поскольку, как правило, аутентификация необходима обоим объектам, устанавливающим сетевое взаимодействие, то аутентификация может быть и взаимной.

Таким образом, можно выделить несколько семейств аутентификации:

Аутентификация пользователя на PC:

• Шифрованное имя (login)
• Password Authentication Protocol, PAP (связка логин-пароль)
• Карта доступа (USB с сертификатом, SSO)
• Биометрия (голос, отпечаток пальца/ладони/радужки глаза)

Аутентификация в сети —

• Secure SNMP с использованием цифровой подписи
• SAML (Security Assertion Markup Language)
• Cookie сессии
• Kerberos Tickets
• Сертификаты X.509
• OpenID Connect аутентификационная надстройка над протоколом OAuth 2.0

В операционных системах семейства Windows NT 4 используется протокол NTLM (NT LAN Manager — Диспетчер локальной сети NT). А в доменах Windows 2000/2003 применяется гораздо более совершенный протокол Kerberos.

Оценка рисков

При разработке электронных систем существуют некоторые отраслевые стандарты, требующие от агентств США обеспечения того, чтобы транзакции обеспечивали соответствующий уровень гарантии. Как правило, серверы принимают Руководство по электронной аутентификации для федеральных агентств (M-04-04) Управления по управлению и бюджету США (OMB) в качестве руководства, которое публикуется, чтобы помочь федеральным агентствам предоставлять безопасные электронные услуги, защищающие конфиденциальность личности . Он просит агентства проверить, требуется ли для их транзакций электронная аутентификация, и определить надлежащий уровень гарантии.

Он установил четыре уровня гарантии:

Уровень уверенности 1: небольшая уверенность или отсутствие уверенности в достоверности заявленной личности.
Уровень уверенности 2: некоторая уверенность в достоверности заявленной личности.
Уровень уверенности 3: высокая уверенность в достоверности заявленной личности.
Уровень уверенности 4: очень высокая уверенность в достоверности заявленной личности.

Определение уровней уверенности

OMB предлагает пятиэтапный процесс для определения соответствующего уровня гарантии для своих приложений:

• Проведите оценку риска, чтобы определить возможные негативные воздействия.
• Сравните с пятью уровнями уверенности и решите, какой из них подходит для этого случая.
• Выберите технологию в соответствии с техническим руководством NIST.
• Убедитесь, что выбранный процесс аутентификации соответствует требованиям.
• Регулярно пересматривайте систему и вносите в нее изменения.

Требуемый уровень гарантии аутентификации оценивается с помощью следующих факторов:

• Неудобства, страдания или ущерб репутации или репутации;
• Финансовые убытки или ответственность агентства;
• Вред программам агентства или общественным интересам;
• Несанкционированный выпуск конфиденциальной информации;
• Личная безопасность; и / или гражданские или уголовные правонарушения.

Определение технических требований

Руководство Национального института стандартов и технологий (NIST) определяет технические требования для каждого из четырех уровней гарантии в следующих областях:

• Токены используются для подтверждения личности. Пароли и симметричные криптографические ключи — это личная информация, которую проверяющий должен защищать. Асимметричные криптографические ключи имеют закрытый ключ (который знает только подписчик) и связанный с ним открытый ключ.
• Проверка личности, регистрация и доставка учетных данных, которые связывают личность с токеном. Этот процесс может включать операции на большом расстоянии.
• Учетные данные, токены и протоколы аутентификации также могут быть объединены вместе, чтобы определить, что заявитель на самом деле является заявленным подписчиком.
• Механизм утверждения, который включает либо цифровую подпись заявителя, либо приобретается непосредственно доверенной третьей стороной через безопасный протокол аутентификации.

Включить или отключить дополнительную аутентификацию?

Обычно, когда речь заходит о сетевой безопасности, сервисы предлагают нам сделать самостоятельный выбор. Мы можем либо усложнять получение доступа и выполнение платежей, либо отказываться от этого. Ошибка многих пользователей, по моему мнению, — это как раз нежелание обеспечивать свою безопасность.

Поэтому я сторонник того, чтобы потратить лишние пару секунд, но всегда знать, что взломать меня невозможно, ну или это будет очень-очень сложно!

Я думаю, дорогие друзья, теперь вы понимаете, что такое аутентификация и какова её роль. Я не буду вдаваться в чисто технические моменты, например, почему не работает аутентификация Wifi на телефоне и ее как исправить.

Ситуация №2: смартфон изначально не подключается к Wi-Fi

Дела обстоят гораздо хуже, если телефон после приобретения сразу не распознает сеть. Что же делать в таком случае?

Механическое повреждение

Если мы говорим о перебоях с роутером, то здесь обычно виноваты физические воздействия: оборвался провод, маршрутизатор упал, вы залили его водой и т.д. В таких случаях помогут только опытные мастера.

Модуль Вай-Фая на телефоне также может повредиться из-за банальных причин: уронили на твердую поверхность, придавили. В домашних условиях заменить устройство Wi-Fi довольно тяжело, но если вы все же решитесь, то вам помогут наши инструкции по разборке аппаратов:

• Как открыть заднюю крышку телефона Xiaomi;
• Xiaomi Mi 5 — как разобрать ;
• Redmi Note 3 Pro — как разобрать;
• Как разобрать Xiaomi Redmi 4X.

Бракованная модель

Причина неработоспособности Интернета может быть, как в роутере, так и в самом телефоне. Если вы приобрели новый Сяоми и он не подключается к сети, но другие устройства функционируют хорошо, значит, виноват именно смартфон. Чтобы избежать подобных неприятностей, следуйте нескольким простым правилам перед совершением покупки:

• Покупайте технику только у надежных продавцов (желательно в местных магазинах).
• Всегда проверяйте работоспособность телефона и просите подключить девайс к Интернету.
• Требуйте гарантию, чтобы при возникновении неисправностей можно было или вернуть аппарат, или воспользоваться бесплатным ремонтом.
• Отдавайте предпочтение только стабильным глобальным прошивкам (в крайнем случае, присмотритесь к Global Developer ROM, если вы опытный пользователь). Неработающий Вай-Фай на кастомной или «вьетнамской» оболочке — привычное дело.