Советы по безопасной веб-аутентификации

Игорь Тетерин

Речь пойдет об аутентификации на сайтах. Аутентификация – очень важная вещь, от нее зависит безопасность всего вашего проекта. Если система была продумана недостаточно хорошо, то в случае хранения приватной информации о проекте будут слагать истории на аналогах hacknet.ru о том, как получить чужие данные и управлять ими. Обычные почтовые системы сколько существуют, столько и исправляют свои системы аутентификации. К тому же система аутентификации может содержать систему восстановления пароля, что еще больше подрывает безопасность. На своем опыте приходилось открывать пару ящиков именно за счет слабой системы аутентификации. Не буду спорить, для новичков поломать mail.ru покажется невозможным, но это не так сложно. Речь далее пойдет не о взломе mail.ru, а о способах аутентификации и защиты от взлома.

Способы

Существует несколько стандартных способов аутентификации. Но любые способы основываются на какой-либо идентифицирующей информации. И чем меньше идентификационных данных, тем слабее защита. Например, аутентификация на основе лишь имени и пароля куда опаснее, чем если к этому добавится верификация по IP-адресу. Приведу несколько примеров, начиная с самого слабого:

n  Отсутствие аутентификации, знание нахождения нужных данных;

n  Аутентификация за счет передаваемых куков;

n  Аутентификация на основе имени и пароля;

n  Аутентификация на основе имени и пароля, IP-адреса;

n  Аутентификация на основе имени и пароля, времени, IP-адреса и т. п.

Такие методы сравнивать сложно, поскольку аутентификация может проходить однажды и на определенный срок, либо на каждый сеанс связи.

Удобство

Конечно, удобными являются те способы, которые не требуют какого-либо ввода данных и предустановки какого-либо программного обеспечения. К этому мы и будем стремиться, но в меру разумности. Наша основная задача – найти золотую середину, где количество аутентифицирующих действий компенсируется уровнем безопасности. Проблема создания безопасной системы в том, что необходимо учитывать удобство, а если сделать систему очень удобной, то это потребует снижения уровня безопасности и наоборот. Под удобством понимается количество необходимых действий для достижения удачной аутентификации. Тут существует несколько вариантов:

n  Ввод имени/пароля каждый раз.

n  Предустановка и настройка необходимого дополнительного ПО.

n  Знание секретного имени, например скрипта.

n  Полная прозрачность действий для клиента.

Самым удобным является последний вариант (полная прозрачность), но это означает, что идентифицирующие данные хранятся не в голове или записной книжке клиента, а в компьютере, например в cookie. Если аутентификация прозрачна лишь в небольшом промежутке времени, либо в течение одной сессии, то идентифицирующие данные могут быть просто в памяти, если было предустановлено ПО, то данные могут быть где угодно (винчестер, внешние носители и т. п.). Автоматизировать процесс получения чужих данных легче всего, когда они хранятся в cookie. Современные системы аутентификации комбинируют различные методы, поэтому автоматизировать что-то будет очень сложно. Система WebMoney предлагает хранить критичные данные на дискетке. Все обычные веб-сайты хранят обычные cookies, не заставляя пользователей сильно напрягаться.