Верификация и идентификация: что это и в чем разница

Сегодня в информационном поле происходит путаница с понятиями аутентификация, верификация и идентификация. Все эти слова используются для определения и установления подлинности, соответствия каких-то объектов эталонным данным. Однако между ними есть существенная разница, о которой важно знать всем, кто работает с информационными системами и персональными данными.

Что такое идентификация

Идентификация – это распознавание физического или информационного объекта по какому-либо признаку. Признак должен быть уникальным. Например, только имя не может быть идентификатором человека, так как у многих людей одинаковые имена, а ФИО в сочетании с годом рождения, номер паспорта, СНИЛС или ИНН – могут. Идентификация отвечает на вопрос «Кто это?».

Также идентификацией называют процедуру присваивания объектам определяющих признаков — например, наклейку уникальных штрихкодов на товары, присвоение имени новорожденному при его регистрации в ЗАГСе. Присвоение ИНН или СНИЛС физическому лицу также является примером его идентификации для определенных целей: налогообложения, социального обеспечения и т. п.

Идентификация часто происходит по схеме «один ко многим». Это означает, что выбранный признак сравнивается со всей имеющейся базой и при совпадении система распознает объект и подтягивает все сведения о нем.

Идентификаторами могут служить:

• лексический токен — комбинация слов или букв;
• физический (биометрический) признак — отпечаток пальца, голос, лицо, рисунок вен на ладони и т.д.;
• цифровая комбинация — последовательность цифр;
• графические изображения — штрихкод, QR-код.

Что такое аутентификация (удостоверение) объекта

После того как получен ответ на главный вопрос идентификации («Кто это?»/ «Что это?»), необходимо удостовериться в том, что объект идентификации может подтвердить полученную о нем информацию.

Процесс удостоверения или аутентификации неизбежно следует за идентификацией и практически не отделим от нее. Аутентификация отвечает на вопрос «Что у тебя есть для подтверждения идентификатора? Или что ты знаешь для подтверждения?». Удостоверением может быть предъявленный документ, в котором указан идентификатор, фото, отпечаток пальца, кодовое слово, выданное при личной идентификации, электронная подпись и т. п.

Аутентификация (удостоверение) может быть однофакторной или многофакторной. Первый вариант подразумевает проверку по одному уникальному фактору — например, клиент почтового отделения связи использует для этого свой адрес. Многофакторная аутентификация требует подтверждения сразу нескольких признаков: например, при удостоверении в сервисе каршеринга надо ввести свои паспортные данные, данные водительского удостоверения и предъявить селфи с паспортом (это пример трехфакторной аутентификации).

Аутентификация чаще всего применяется:

• к людям — чтобы удостовериться, что этот человек — действительно тот, за которого себя выдает;
• к физическим объектам — путем сравнения предмета с образцом;
• к данным — чтобы убедиться, что полученная информация соответствует имеющейся в эталонном источнике.

Термин «аутентификация» используется, когда мы, например, говорим о подтверждении имени гражданина предъявленным паспортом или о доступе к информационной системе (ИС) – удостоверяем ее пользователя знанием пароля. При этом для удостоверения паролем мы проводим верификацию предъявленного пользователем пароля и соответствующей данному имени пользователя записи пароля в ИС.

Вообще сегодня, в мире цифровых объектов зачастую под идентификацией подразумевают все процессы и действия, которые связаны с установлением (распознаванием) объекта и с подтверждением истинности (достоверности) такого распознавания (аутентификацией).

Что такое верификация данных

Верификация — это рабочий инструмент (функция), позволяющий провести аутентификацию объекта.

В общем смысле верификация — это проведение независимой проверки какого-либо положения на соответствие действительности. Применительно к вопросам безопасности этот термин означает подтверждение соответствия заданным критериям.

Самый простой пример верификации — сравнение введенного пользователем пароля с тем, который был задан при регистрации. Сравнение происходит по схеме «один к одному»: заданное значение сравнивается с эталонным. Такая верификация позволяет провести однофакторную аутентификацию (удостоверение) пользователя при входе в информационную систему, например в приложение для электронной почты. Однако аутентификация совсем не всегда проводится на основе верификации данных. Например, в сервисе электронной цифровой подписи аутентификация проводится на основании подтверждения знания секретного ключа, выданного пользователю при личной идентификации, никакого сравнения при этом не производится.

Расскажем подробнее о том, что такое верификация данных. Этот термин используют, когда нужно сравнить имеющиеся сведения с эталонными, а истинность данных определяется результатом верификации (пройдена успешно — данные истинны, нет — данные ложны). Например, если мы хотим установить подлинность паспорта физического лица, его надо сравнить с эталонным источником — базой МВД РФ.

Не стоит путать верификацию ни с валидацией, ни с аутентификацией. Валидация всегда относительна (например, ко времени, к требованиям и т. п.), она позволяет оценить качество информации в конкретном контексте. При валидации нужно не только установить соответствие утверждения истине, но и связать его с процессом использования. Часто этот термин применяется в программировании: когда нужно убедиться, что работа кода соответствует техническому заданию. Или, например, данные паспорта должны быть не только достоверными (свидетельством достоверности может служить соответствующая данному паспорту запись в базе данных МВД РФ), но и валидными, т. е. действительными в текущий момент времени. Иными словами, паспорт может быть настоящим, но в данный момент времени он недействителен. Это не означает, что документ фальшивый, однако сейчас он не может быть использован для аутентификации (удостоверения) личности.

Верификация и идентификация/аутентификация: в чем разница

Идентификация/аутентификация и верификация как процессы применительно к предмету исследования существенно отличаются друг от друга.

Ключевое различие заключается в том, какую цель мы ставим перед собой.

При верификации у нас есть образец, с которым нужно сравнить заданный объект. Таким образом, верификация оперирует сравнением данных, проверяя их совпадение.

При идентификации/аутентификации у нас есть признак, по которому нужно найти объект в имеющейся базе на основании результатов сравнения «одного со всеми» или опознать объект иным способом — например, получив именование или значение признака от самого объекта, а затем удостовериться в том, что объект распознан правильно (достоверно) или что предъявленное именование объекта подтверждается чем-то, что знает или имеет этот объект. При идентификации/аутентификации оперируют поиском объекта (распознаванием) и проверкой достоверности результатов такого поиска (удостоверением), используя при этом в том числе результаты верификации данных.

В целом можно выделить ряд критериев, по которым эти понятия отличаются:

Уместное и грамотное использование этих процедур для настройки прав доступа к информационным системам, в бизнес-процессах обеспечит компании защиту от несанкционированного вмешательства и мошенничества подмены личности.