Что такое аутентификация и для чего она используется?
Когда речь идет об использовании интернет-сервисов, аутентификация — это подтверждение личности пользователя. Системе необходимо знать, что за логином находится подлинный владелец аккаунта, а не злоумышленник. Чем больше процессов — в том числе связанных с платежами и личными данными человека — переходит в онлайн, тем важнее становится надёжность аутентификация.
Скажи мне свой пароль, и я скажу тебе, кто ты
Сегодня существуют и используются несколько способов распознать пользователя. Расскажем о некоторых из них.
Имя пользователя и многоразовый пароль
Самый простой и по-прежнему очень распространённый вариант. Устроен он очень просто: пользователь вводит свои имя и пароль — некую информацию, которая в идеале должна быть известна только ему. Если пароль совпадает с тем, который записан в системе, то аутентификация прошла успешно.
Для дополнительной безопасности пароль можно передавать с использованием шифрования, а также использовать хеш-функции. В таком случае система хранит не сам пароль, а его преобразованный по определенному алгоритму образ. Когда пользователь вводит пароль, система преобразует его по тому же алгоритму. Если результат совпадает, то пароль признается верным.
Такой способ популярен в первую очередь благодаря своей простоте. Однако у него по-прежнему много минусов. Проблема в том, что пароли крайне легко попадают в чужие руки — благодаря уязвимостям на других сайтах, забывчивости пользователей (оставляющих пароли записанными на видном месте) и другим факторам. А так как многие используют один и тот же пароль на разных сайтах, то злоумышленникам часто достаточно знать один пароль для доступа на разные сайты.
Двухфакторная аутентификация
Двухфакторная аутентификация подразумевает проверку пользователя через сочетания двух различных компонентов. Чаще всего это пароль и уникальный одноразовый цифровой код, который пользователю присылают на мобильный телефон.
Такой способ надежнее и не требует отдельных устройств: как правило, мобильный телефон всегда под рукой. Однако он может быть неудобен, когда не работает мобильная связь, а потеря телефона делает систему уязвимой. Кроме того, одноразовые коды также могут быть перехвачены злоумышленниками.
Аутентификация через подключенное устройство
Этот способ проверяет личность пользователя через подключение другого устройства — то, которое уже идентифицировало пользователя. Например, пользователь может подключить к компьютеру телефон, который разблокирует отпечатком пальца — таким образом пользователю не надо вводить свой пароль на компьютере.
К сожалению, такой способ неудобен в современном интернете, к которому все подключаются с именно мобильных устройств — во многих странах смартфон является самым распространённым способом выхода в сеть.
Вход через идентификацию на другом сайте
В этом случае вход в сервис или приложение осуществляется через сторонний сайт. Чаще всего это популярные соцсети — Facebook, LinkedIn или Vkontakte. Также часто есть возможность зайти через сервисы Google.
Как правило, такой способ аутентификации не используется в качестве основного — не всегда у пользователя есть аккаунт на этих сервисах. Кроме того, необходимость заходить на сторонние сайты неудобна в тех случаях, когда у пользователя заблокирована возможность подключаться к ним — например, в офисах часто заблокированы социальные сети, необходимые для аутентификации.
Встречайте — Сбер ID
Сбер ID — это бесплатный сервис аутентификации и автоматического заполнения, который позволяет аутентифицировать клиента экосистемы Сбера и партнёров и предоставить быстрый доступ к услугам. Пользоваться сервисом могут как клиенты СберБанка, так и те, кто ими не является. Партнеры же могут подключить Сбер ID и пользоваться им для аутентификации клиентов.
Как сервис работает с точки зрения пользователя?
Для пользователя процесс использования Сбер ID максимально прост. Зарегистрировать его по номеру телефона можно на любом сайте, где есть сервис (или кнопка входа). Клиенты банка могут зайти на сайт Сбера или партнеров, подтвердив вход в мобильном приложении.
Пользователю не нужно запоминать пароли от разных сайтов. Сервис не только помогает быстро заходить на сайты Сбера и партнёров, но и автозаполнять формы, экономя время пользователя.
Партнёру же надо зарегистрировать свое приложение в системах Сбера, подписать договор, получить Client ID и Client Secret в личном кабинете, получить сертификаты безопасности. После этого можно интегрировать Сбер ID в свои сервисы.
В чем плюсы Сбер ID?
- Безопасность данных пользователя
Экосистема Сбера постоянно работает над защитой данных пользователей, внимательно следит за появлением новых уязвимостей и является одной из самых надежных. Таким образом, пользовательские данные будут защищены надежно, но самому бизнесу не придется тратить ресурсы на создание собственных систем защиты.
- Простое внедрение и поддержка
Для того, чтобы установить Сбер ID, партнеру не обязательно владеть навыками программирования. Команда Сбер ID подготовила готовые модули для популярных CMS (Bitrix, Joomla, Drupal, WordPress) и модули SDK (java, pyton, готовый модуль для ios и android). После того, как партнер оставил заявку на сайте, с ним свяжутся представители сервиса и помогут подключить его к сайту или приложению.
- Соблюдение всех законов РФ
Сбер ID работает с соблюдением всех законов РФ, в том числе закона о сборе персональных данных. Так, пользователю необходимо подтвердить свое согласие на сбор всех данных, а собранная информация хранится в течение 5 лет.
- Автозаполнение данных
Сбер ID помогает пользователю быстро настроить профиль и заполнить данные: ФИО, телефон, email, дату рождения, пол и адрес доставки.
Кто уже пользуется этим сервисом?
Партнерами Сбер ID уже стали сервисы Delivery Club, 2GIS, Mi-Shop, Mos.ru, «Уральские авиалинии», Ситимобил и другие компании.
Как стать партнером Сбер ID?
Чтобы подключить Сбер ID, достаточно оставить заявку на сайте сервиса.