Аутентификация (от англ. authentication — установление подлинности) — процесс проверки того, что пользователь, устройство или система действительно являются тем, за кого себя выдают, через предъявление подтверждающих данных: пароля, биометрии, токена, SMS-кода.
Что такое аутентификация в информационной безопасности — второй из трёх этапов контроля доступа: после идентификации (объявления, кем является субъект) и перед авторизацией (назначения прав). Если идентификация отвечает на вопрос «кто это?», то аутентификация — на вопрос «действительно ли это он?». Только успешно пройденная аутентификация позволяет перейти к авторизации и получить доступ к ресурсам.
В русскоязычной среде аутентификацию часто смешивают с авторизацией — оба термина в быту называют «входом в систему». В точных IT-терминах это разные процессы: аутентификация — это техническая проверка предъявленных данных, авторизация — назначение прав после успешной проверки. Стандарты безопасности (NIST SP 800-63, ISO/IEC 27001) разделяют эти понятия строго.
В современной веб-разработке аутентификация — одна из самых критических точек безопасности. По данным Verizon Data Breach Investigations Report за 2024 год, около 68% всех взломов корпоративных систем связаны с компрометацией учётных данных — паролей, токенов, ключей доступа. Поэтому стандарт двухфакторной аутентификации (2FA) и переход на беспарольные методы (FIDO2, passkeys) стал индустриальной необходимостью.
Что такое аутентификация
Аутентификация — это процесс подтверждения того, что человек, устройство или приложение, обращающееся к системе, действительно является тем, за кого себя выдаёт. Что такое аутентификация в практическом смысле — это проверка предъявленных доказательств: правильный ли пароль, соответствует ли отпечаток пальца, действителен ли SMS-код, подлинный ли криптографический ключ.
Базовый принцип аутентификации основан на демонстрации какого-либо доказательства подлинности, которое мог бы предъявить только истинный владелец учётной записи. Эти доказательства называют «факторами аутентификации» и делят на три класса (см. ниже): что-то знаемое (пароль), что-то имеющееся (телефон, токен), что-то присущее (биометрия).
Современная индустриальная практика делает ставку на многофакторную аутентификацию (MFA): несколько разнородных факторов одновременно. Это резко повышает безопасность — даже если злоумышленник получит один фактор (например, узнает пароль через фишинг), для входа потребуется второй (доступ к телефону жертвы или биометрия).
В отличие от авторизации, которая решает, что пользователь может делать в системе (права доступа), аутентификация решает только, действительно ли это легитимный пользователь. После успешной аутентификации управление передаётся подсистеме авторизации.
Отличие от идентификации и авторизации
Три понятия часто путают: идентификация, аутентификация и авторизация. В точной терминологии IT-безопасности их разделение строгое:
| Этап | Задача | Что предъявляется | Пример |
|---|---|---|---|
| Идентификация | Узнать, кем себя называет субъект | Логин, email, имя пользователя, номер карты | Ввод «user@example.com» |
| Аутентификация | Проверить, что это действительно тот, кем назвался | Пароль, биометрия, токен, SMS-код | Ввод пароля или прикладывание пальца |
| Авторизация | Решить, какие действия разрешены | Заданные роли и права | Доступ к личному кабинету как обычный пользователь |
Физический пример. Сотрудник приходит в офис. Идентификация — называет имя охраннику. Аутентификация — предъявляет служебный пропуск с фотографией (доказательство того, что он тот, за кого себя выдаёт). Авторизация — охранник сверяет должность сотрудника со списком разрешённых помещений и пускает в общий офис, но не в серверную.
Аналогия в веб-системе. Пользователь приходит на сайт банка. Идентификация — ввод логина. Аутентификация — ввод пароля и SMS-кода. Авторизация — банк определяет, что этот пользователь является клиентом с пакетом «Премиум» и ему доступны все операции, включая международные переводы.
В быту все три процесса называются «входом в систему» или «авторизацией», но в технической документации, в спецификациях OAuth, OpenID Connect, SAML, RFC 6749 разделение чёткое. Понимание различия критично для разработчиков, архитекторов систем и SEO-специалистов, работающих с системами личных кабинетов на коммерческих сайтах.
Факторы аутентификации
В безопасности приняты три классических фактора (NIST SP 800-63):
- Фактор знания (something you know). Информация, которую знает только истинный пользователь. Пароль, PIN-код, ответ на секретный вопрос, графический пароль, паттерн разблокировки. Самый старый и распространённый фактор, но и самый уязвимый — пароли можно украсть, подсмотреть, выманить через фишинг.
- Фактор владения (something you have). Физический объект, которым обладает только истинный пользователь. Мобильный телефон (для SMS-кодов или push-уведомлений), физический USB-токен (FIDO2-ключ), смарт-карта, аппаратный аутентификатор. Сложнее украсть, но возможно — особенно для SMS через SIM-swap-атаки.
- Фактор присущности (something you are). Биометрические характеристики тела человека. Отпечаток пальца, рисунок сетчатки, форма лица, голос, рисунок вен на ладони. Невозможно «забыть», сложно скопировать, но проблемы при изменениях (травма, болезнь, старение) и при компрометации (украденный отпечаток нельзя «сменить» как пароль).
Дополнительно в современной практике выделяют ещё два «расширенных» фактора:
- Фактор местонахождения (somewhere you are). IP-адрес, геолокация по мобильной сети, MAC-адрес устройства. Используется как дополнительный сигнал — вход с непривычного места требует усиленной проверки.
- Фактор поведения (something you do). Скорость набора текста, рисунок движений мыши, привычные паттерны взаимодействия. Используется в системах поведенческой биометрии для непрерывной фоновой аутентификации.
Безопасность системы определяется количеством и разнородностью используемых факторов. Однофакторная аутентификация (только пароль) — слабая защита. Двухфакторная (пароль + SMS-код, пароль + Google Authenticator) — стандарт для большинства коммерческих сервисов. Трёхфакторная (пароль + биометрия + аппаратный токен) — для критически важных систем (банки, государственные сервисы, военные системы).
Методы аутентификации
В современной IT-практике используется несколько методов проверки подлинности:
Парольная аутентификация. Классический метод — ввод логина и пароля. По-прежнему доминирует в массовых сервисах, несмотря на известные уязвимости. Усиливается требованиями к сложности пароля (12+ символов, разные регистры, цифры, спецсимволы), защитой от брутфорса, проверкой по базам утечек (Have I Been Pwned).
Биометрическая аутентификация. Отпечатки пальцев (Touch ID, Face ID, сканеры на ноутбуках), распознавание лица, сетчатки глаза, голоса. Удобство для пользователя — высокое, безопасность зависит от качества датчика и алгоритма. На мобильных устройствах биометрия стала стандартом.
Аутентификация через одноразовые пароли (OTP). Коды, действительные ограниченное время или количество использований. Два главных стандарта: HOTP (HMAC-based OTP, по счётчику) и TOTP (Time-based OTP, по времени). Реализуется в приложениях Google Authenticator, Authy, Microsoft Authenticator, 1Password.
SMS-коды. Одноразовый код, отправляемый на мобильный телефон. Самый распространённый второй фактор в России и Беларуси. Уязвимы к атакам перехвата SS7 и SIM-swap, поэтому индустрия безопасности постепенно отказывается от SMS как фактора.
Push-уведомления. Уведомление в фирменном приложении (например, банковском) с просьбой подтвердить вход. Безопаснее SMS, удобнее для пользователя. Используется в банковских системах, корпоративных сервисах.
Аппаратные токены. Физические устройства, генерирующие или хранящие криптографические ключи. YubiKey, Google Titan, RuToken — главные производители. Подключаются по USB, NFC, Bluetooth. Самый безопасный метод, защищённый от фишинга на уровне протокола.
Криптографические сертификаты. Установленные на устройстве пользователя цифровые сертификаты, которыми подписываются запросы аутентификации. Используется в корпоративных VPN, банковских системах, государственных порталах.
Magic links. Одноразовая ссылка, отправляемая на email. Пользователь кликает по ссылке и автоматически попадает в авторизованную сессию. Удобно для редко используемых сервисов, но безопасность зависит от email-аккаунта пользователя.
Passwordless (беспарольная) аутентификация. Современный подход — отказ от пароля как такового. Вход через биометрию устройства, FIDO2-ключ, passkey. Microsoft, Google, Apple активно продвигают этот стандарт с 2022 года.
Двухфакторная аутентификация (2FA)
2FA (Two-Factor Authentication) — усиленная аутентификация, требующая предъявления двух разнородных факторов. После ввода пароля система запрашивает дополнительное подтверждение — обычно код из приложения-аутентификатора или SMS.
Главные виды 2FA по удобству и безопасности:
| Метод | Безопасность | Удобство | Где используется |
|---|---|---|---|
| SMS-код | Низкая (SIM-swap, перехват) | Высокое | Массовые сервисы, банки |
| Push в приложении | Средняя | Высокое | Банковские приложения |
| TOTP (Google Authenticator) | Высокая | Среднее | Большинство современных сервисов |
| Аппаратный ключ FIDO2 | Очень высокая | Среднее | Корпорации, IT-специалисты |
| Биометрия + пароль | Высокая | Высокое | Мобильные банковские приложения |
Базовая статистика: по данным Microsoft, 2FA блокирует более 99,9% автоматизированных атак на учётные записи. Это значит, что даже простой переход с парольной аутентификации на 2FA даёт практически защиту от массовых атак с использованием утечек паролей.
В Беларуси 2FA обязательна по требованиям Национального банка для всех интернет-банковских клиентов. Большинство белорусских банков используют комбинацию пароль + код из мобильного приложения банка или SMS-код. Для государственных сервисов через единую систему идентификации МСИ используется криптографическая аутентификация с электронной цифровой подписью.
FIDO2 и WebAuthn — современный стандарт
FIDO2 (Fast IDentity Online 2) — современный стандарт беспарольной аутентификации, разработанный консорциумом FIDO Alliance (Microsoft, Google, Apple, Amazon, Meta, банки). Цель — заменить пароли криптографической аутентификацией, более удобной и безопасной.
FIDO2 состоит из двух стандартов:
- WebAuthn (Web Authentication). W3C-рекомендация (статус Recommendation с 2019 года), описывающая API для веб-приложений. Поддерживается всеми современными браузерами — Chrome, Firefox, Safari, Edge.
- CTAP (Client to Authenticator Protocol). Протокол связи между браузером и внешним аутентификатором (USB-ключ, NFC-устройство, биометрический сенсор телефона).
Принцип работы FIDO2. При регистрации устройство пользователя (например, его iPhone или USB-ключ) генерирует криптографическую пару ключей — публичный и приватный. Публичный отправляется на сервер сайта. Приватный остаётся на устройстве, защищённый биометрией или PIN-кодом.
При следующем входе сайт отправляет вызов (challenge), устройство подписывает его приватным ключом (предварительно подтверждая подлинность пользователя через биометрию или PIN), отправляет подпись на сервер. Сервер проверяет подпись публичным ключом — если совпадает, аутентификация успешна. Пароль никогда не вводится и не передаётся.
Преимущества FIDO2 перед паролями: невозможность фишинга (приватный ключ привязан к домену сайта), невозможность утечки (приватный ключ никогда не покидает устройство), невозможность брутфорса (криптографическая стойкость 2048-битных RSA или эллиптических кривых), удобство (один тап биометрией вместо ввода пароля).
Passkeys — современная реализация FIDO2, активно продвигаемая Apple, Google и Microsoft с 2022 года. Passkey хранится в облачной экосистеме пользователя (iCloud Keychain, Google Password Manager, Microsoft Hello) и синхронизируется между всеми устройствами. Это решает главную проблему классических FIDO2-ключей — потеря устройства означала бы потерю доступа.
Аутентификация в Беларуси — МСИ и ЕИС
В Беларуси действует государственная система электронной идентификации и аутентификации граждан. Главный инструмент — МСИ (Межведомственная система идентификации и аутентификации), используется на портале государственных услуг portal.gov.by, в личных кабинетах налоговой, при доступе к Регистру населения.
МСИ предлагает несколько способов аутентификации:
- Учётная запись МСИ. Логин и пароль с двухфакторной аутентификацией через SMS на привязанный к УНП (Учётный номер плательщика) телефонный номер.
- Электронная цифровая подпись (ЭЦП). Криптографические сертификаты на USB-токенах или смарт-картах. Выдаются Государственным центром безопасности информации (ГЦБИ).
- Биометрические данные. Через мобильное приложение «МСИ Online» с использованием биометрии устройства.
Для бизнеса в Беларуси действует система Авторизованной электронной подписи (АЭП) — аналог квалифицированной ЭЦП в Российской Федерации. Используется для подачи отчётности в налоговую, ФСЗН, статистические органы, для участия в госзакупках.
Для интернет-банкинга белорусские банки применяют комбинацию аутентификации: логин и пароль + одноразовый код из СМС или мобильного приложения банка. С 2023 года крупные банки активно внедряют биометрическую аутентификацию через мобильные приложения (Touch ID, Face ID).
Закон РБ № 99-З о защите персональных данных регулирует обработку биометрических данных как особой категории персональных данных. Любые системы биометрической аутентификации должны соответствовать требованиям этого закона: обоснованность сбора, ограничение хранения, защита от утечек, согласие пользователя.
Часто задаваемые вопросы
В чём разница между аутентификацией и авторизацией?
Аутентификация — проверка подлинности пользователя («действительно ли это он, как заявлено»). Делается через пароль, биометрию, токены. Авторизация — назначение прав на действия после успешной аутентификации («что разрешено делать в системе»). Сначала аутентификация (ввод пароля), потом авторизация (определение роли и разрешений). Это два разных этапа, хоть в быту их часто называют одним словом «вход».
Что такое 2FA?
2FA (Two-Factor Authentication) — двухфакторная аутентификация. Усиленная проверка подлинности, требующая предъявления двух разнородных факторов: пароль + SMS-код, пароль + код из приложения Google Authenticator, пароль + биометрия и так далее. По данным Microsoft, 2FA блокирует более 99,9% автоматизированных атак на аккаунты. Стандарт для всех коммерческих сервисов в современной индустрии.
Что такое FIDO2 и passkey?
FIDO2 — современный стандарт беспарольной аутентификации, разработанный FIDO Alliance (Microsoft, Google, Apple, Amazon). Использует криптографические ключи вместо паролей. Passkey — это конкретная реализация FIDO2, активно продвигаемая Apple, Google и Microsoft с 2022 года. Passkey хранится в облачной экосистеме пользователя и синхронизируется между устройствами. Цель — заменить пароли как класс.
Безопасны ли SMS-коды в 2FA?
SMS-коды — самый слабый из распространённых методов 2FA. Уязвимости: SIM-swap-атаки (мошенники получают доступ к чужому номеру через мобильного оператора), перехват SMS через уязвимости протокола SS7, фишинг с просьбой переслать код. Альтернативы: коды из приложений TOTP (Google Authenticator, Authy), push-уведомления в фирменных приложениях, аппаратные ключи FIDO2.
Какие методы аутентификации используются в Беларуси?
Главные системы: МСИ (Межведомственная система идентификации и аутентификации) для государственных сервисов на portal.gov.by, ЭЦП на USB-токенах для бизнеса, банковские системы с 2FA через SMS или мобильное приложение, биометрия в мобильных приложениях банков (с 2023 года). Закон РБ № 99-З о персональных данных регулирует обработку биометрии.
Что такое биометрическая аутентификация?
Биометрическая аутентификация — проверка подлинности по физическим характеристикам тела: отпечаткам пальцев (Touch ID), форме лица (Face ID), сетчатке глаза, голосу, рисунку вен. Преимущества: невозможно «забыть», сложно скопировать. Недостатки: при компрометации биометрию нельзя «сменить» как пароль, проблемы при изменениях тела (травмы, болезни).
Какие приложения для 2FA лучше использовать?
Главные приложения TOTP-аутентификации: Google Authenticator (бесплатно, простой), Microsoft Authenticator (бесплатно, синхронизация с облаком), Authy (бесплатно, мультиустройственная синхронизация), 1Password (платный, объединяет менеджер паролей и аутентификатор), Bitwarden (бесплатно с открытым кодом). Для большинства пользователей оптимально Authy или Microsoft Authenticator из-за функции синхронизации между устройствами.
Что такое NIST SP 800-63?
NIST SP 800-63 — серия документов Национального института стандартов и технологий США (NIST) с рекомендациями по электронной аутентификации. Включает три части: 63-A (идентификация), 63-B (аутентификация), 63-C (федеративная идентичность). Стандарт де-факто для индустрии безопасности, на нём основаны многие отраслевые требования и регуляторные документы.
