Сегодня в информационном поле происходит путаница с понятиями аутентификация, верификация и идентификация. Все эти слова используются для определения и установления подлинности, соответствия каких-то объектов эталонным данным. Однако между ними есть существенная разница, о которой важно знать всем, кто работает с информационными системами и персональными данными.
Что такое идентификация
Идентификация – это распознавание физического или информационного объекта по какому-либо признаку. Признак должен быть уникальным. Например, только имя не может быть идентификатором человека, так как у многих людей одинаковые имена, а ФИО в сочетании с годом рождения, номер паспорта, СНИЛС или ИНН – могут. Идентификация отвечает на вопрос «Кто это?».
Также идентификацией называют процедуру присваивания объектам определяющих признаков — например, наклейку уникальных штрихкодов на товары, присвоение имени новорожденному при его регистрации в ЗАГСе. Присвоение ИНН или СНИЛС физическому лицу также является примером его идентификации для определенных целей: налогообложения, социального обеспечения и т. п.
Идентификация часто происходит по схеме «один ко многим». Это означает, что выбранный признак сравнивается со всей имеющейся базой и при совпадении система распознает объект и подтягивает все сведения о нем.
Идентификаторами могут служить:
- лексический токен — комбинация слов или букв;
- физический (биометрический) признак — отпечаток пальца, голос, лицо, рисунок вен на ладони и т.д.;
- цифровая комбинация — последовательность цифр;
- графические изображения — штрихкод, QR-код.
Что такое аутентификация (удостоверение) объекта
После того как получен ответ на главный вопрос идентификации («Кто это?»/ «Что это?»), необходимо удостовериться в том, что объект идентификации может подтвердить полученную о нем информацию.
Процесс удостоверения или аутентификации неизбежно следует за идентификацией и практически не отделим от нее. Аутентификация отвечает на вопрос «Что у тебя есть для подтверждения идентификатора? Или что ты знаешь для подтверждения?». Удостоверением может быть предъявленный документ, в котором указан идентификатор, фото, отпечаток пальца, кодовое слово, выданное при личной идентификации, электронная подпись и т. п.
Аутентификация (удостоверение) может быть однофакторной или многофакторной. Первый вариант подразумевает проверку по одному уникальному фактору — например, клиент почтового отделения связи использует для этого свой адрес. Многофакторная аутентификация требует подтверждения сразу нескольких признаков: например, при удостоверении в сервисе каршеринга надо ввести свои паспортные данные, данные водительского удостоверения и предъявить селфи с паспортом (это пример трехфакторной аутентификации).
Аутентификация чаще всего применяется:
- к людям — чтобы удостовериться, что этот человек — действительно тот, за которого себя выдает;
- к физическим объектам — путем сравнения предмета с образцом;
- к данным — чтобы убедиться, что полученная информация соответствует имеющейся в эталонном источнике.
Термин «аутентификация» используется, когда мы, например, говорим о подтверждении имени гражданина предъявленным паспортом или о доступе к информационной системе (ИС) – удостоверяем ее пользователя знанием пароля. При этом для удостоверения паролем мы проводим верификацию предъявленного пользователем пароля и соответствующей данному имени пользователя записи пароля в ИС.
Вообще сегодня, в мире цифровых объектов зачастую под идентификацией подразумевают все процессы и действия, которые связаны с установлением (распознаванием) объекта и с подтверждением истинности (достоверности) такого распознавания (аутентификацией).
Что такое верификация данных
Верификация — это рабочий инструмент (функция), позволяющий провести аутентификацию объекта.
В общем смысле верификация — это проведение независимой проверки какого-либо положения на соответствие действительности. Применительно к вопросам безопасности этот термин означает подтверждение соответствия заданным критериям.
Самый простой пример верификации — сравнение введенного пользователем пароля с тем, который был задан при регистрации. Сравнение происходит по схеме «один к одному»: заданное значение сравнивается с эталонным. Такая верификация позволяет провести однофакторную аутентификацию (удостоверение) пользователя при входе в информационную систему, например в приложение для электронной почты. Однако аутентификация совсем не всегда проводится на основе верификации данных. Например, в сервисе электронной цифровой подписи аутентификация проводится на основании подтверждения знания секретного ключа, выданного пользователю при личной идентификации, никакого сравнения при этом не производится.
Расскажем подробнее о том, что такое верификация данных. Этот термин используют, когда нужно сравнить имеющиеся сведения с эталонными, а истинность данных определяется результатом верификации (пройдена успешно — данные истинны, нет — данные ложны). Например, если мы хотим установить подлинность паспорта физического лица, его надо сравнить с эталонным источником — базой МВД РФ.
Не стоит путать верификацию ни с валидацией, ни с аутентификацией. Валидация всегда относительна (например, ко времени, к требованиям и т. п.), она позволяет оценить качество информации в конкретном контексте. При валидации нужно не только установить соответствие утверждения истине, но и связать его с процессом использования. Часто этот термин применяется в программировании: когда нужно убедиться, что работа кода соответствует техническому заданию. Или, например, данные паспорта должны быть не только достоверными (свидетельством достоверности может служить соответствующая данному паспорту запись в базе данных МВД РФ), но и валидными, т. е. действительными в текущий момент времени. Иными словами, паспорт может быть настоящим, но в данный момент времени он недействителен. Это не означает, что документ фальшивый, однако сейчас он не может быть использован для аутентификации (удостоверения) личности.
Верификация и идентификация/аутентификация: в чем разница
Идентификация/аутентификация и верификация как процессы применительно к предмету исследования существенно отличаются друг от друга.
Ключевое различие заключается в том, какую цель мы ставим перед собой.
При верификации у нас есть образец, с которым нужно сравнить заданный объект. Таким образом, верификация оперирует сравнением данных, проверяя их совпадение.
При идентификации/аутентификации у нас есть признак, по которому нужно найти объект в имеющейся базе на основании результатов сравнения «одного со всеми» или опознать объект иным способом — например, получив именование или значение признака от самого объекта, а затем удостовериться в том, что объект распознан правильно (достоверно) или что предъявленное именование объекта подтверждается чем-то, что знает или имеет этот объект. При идентификации/аутентификации оперируют поиском объекта (распознаванием) и проверкой достоверности результатов такого поиска (удостоверением), используя при этом в том числе результаты верификации данных.
В целом можно выделить ряд критериев, по которым эти понятия отличаются:
Параметр сравнения |
Идентификация/аутентификация объекта |
Верификация данных |
Цель |
Установить, что личность является тем, за кого себя выдает, и подтвердить, что данные соответствуют действительности (удостоверить распознанный объект/признак) |
Проверить путем сравнения, что предоставленные данные идентичны эталонным данным — тем, которым можно безусловно доверять |
Предмет определения |
Объект и достоверность распознанного признака |
Данные идентичны: Да/Нет |
Процесс |
Выполняется на основе таких уникальных признаков, как ФИО, адрес электронной почты, номер телефона, паспорта и так далее. В качестве единственного фактора аутентификации может быть использован пароль (и постоянный, и одноразовый), данные паспорта, фото, код из СМС — или комбинация нескольких факторов в случае мультифакторной аутентификации |
Сравнение данных проводится с использованием эталонных источников без участия субъекта |
Уместное и грамотное использование этих процедур для настройки прав доступа к информационным системам, в бизнес-процессах обеспечит компании защиту от несанкционированного вмешательства и мошенничества подмены личности.