Идентификация, аутентификация и авторизация — три последовательных, логически независимых процесса. Каждый решает свою задачу. Это не синонимы и не взаимозаменяемые термины.
Путаница между ними дороже, чем кажется. Размытые границы в терминологии ведут к размытым границам в архитектуре, а это уже уязвимости. По классификации OWASP Top 10, нарушение контроля доступа (Broken Access Control) занимает первое место среди угроз для веб-приложений.
Разберём каждый из терминов с примерами.
Главное
- Идентификация, аутентификация и авторизация — три независимых процесса, каждый из которых решает свою задачу.
- Идентификация устанавливает личность («Кто ты?») — логин, имейл, номер телефона. Это не секрет и не даёт никаких гарантий безопасности.
- Аутентификация верифицирует подлинность («Докажи, что это ты») через факторы: знание (пароль), владение (токен) или свойство (биометрия).
- Авторизация определяет права доступа («Что тебе разрешено?») после успешной аутентификации. RBAC назначает права через роли, ABAC — через атрибуты и контекст запроса (время, IP, устройство).
- Ключи доступа (Passkeys) — главный тренд 2025–2026 годов. Беспарольная аутентификация на базе FIDO2/WebAuthn устраняет фишинг, утечки с серверов и человеческий фактор. Приватный ключ не покидает устройство, вход подтверждается биометрией.
- Zero Trust отменяет концепцию доверенного периметра. Каждый запрос проходит верификацию независимо от источника. Непрерывная проверка, минимум привилегий и контекстная оценка риска — основа архитектуры нулевого доверия.
Идентификация, аутентификация, авторизация
Идентификация устанавливает личность субъекта, аутентификация её подтверждает, авторизация определяет допустимые действия. Это строгая последовательность: каждый следующий этап возможен только после успешного завершения предыдущего. Сбой или подмена любого звена компрометирует всю цепочку контроля доступа.
Шаг 1. Идентификация: «Кто ты?»
Идентификация — предъявление системе уникального идентификатора: логина, имейл-адреса, номера телефона или имени учётной записи. На этом этапе система не проверяет подлинность, она лишь фиксирует заявку и ищет соответствующую запись в базе данных.
Идентификатор по определению не является секретом: логин или электронный адрес часто публичны. Именно поэтому идентификация сама по себе не даёт никаких гарантий — она лишь открывает следующий рубеж.
Шаг 2. Аутентификация: «Докажи, что это ты»
Аутентификация — процесс проверки подлинности пользователя, устройства или системы перед предоставлением доступа к ресурсу. Система сверяет предъявленные данные с эталоном и подтверждает: субъект действительно тот, за кого себя выдаёт. Аутентификация следует за идентификацией и предшествует авторизации, образуя первый рубеж защиты учётных записей.
Классификация факторов аутентификации:
- Знание (knowledge) — секрет, известный только пользователю: пароль, ПИН-код, ответ на контрольный вопрос.
- Владение (possession) — физический или цифровой объект, которым располагает пользователь: TOTP-приложение, аппаратный токен, SIM-карта для SMS-кода.
- Свойство (inherence) — биометрические характеристики: отпечаток пальца, геометрия лица (Face ID), сетчатка глаза.
Использование нескольких факторов одновременно — основа двухфакторной (2FA) и многофакторной аутентификации (MFA). Компрометация одного фактора не даёт злоумышленнику доступа, пока остальные не скомпрометированы.
Шаг 3. Авторизация: «Что тебе разрешено?»
Авторизация — процесс определения и применения прав доступа: что именно аутентифицированный пользователь может читать, изменять или выполнять в системе.
Авторизация всегда выполняется после аутентификации и предшествует фактическому доступу к ресурсу — это самостоятельный процесс со своей логикой.
В чём главная разница?
Идентификация, аутентификация и авторизация — три процесса с разными целями, разными механизмами и разными классами уязвимостей при сбое. Ключевое: идентификация устанавливает субъект, аутентификация верифицирует его подлинность, авторизация определяет область допустимых действий. Ни один из этапов не является подмножеством другого.
| Критерий | Идентификация | Аутентификация | Авторизация |
|---|---|---|---|
| Цель | Установить личность субъекта | Верифицировать подлинность | Определить права доступа |
| Вопрос системы | Кто ты? | Докажи, что это ты | Что тебе разрешено? |
| Механизм | Логин, имейл, номер телефона | Пароль, токен, биометрия | Роли, политики, ACL |
| Пример | Ввод логина на странице входа | Ввод пароля + OTP-код | Доступ к конкретным разделам и операциям |
| Последствия сбоя | Сессия не открывается | Несанкционированный вход | Утечка или подмена данных |
Виды аутентификации: от паролей до биометрии
Однофакторная аутентификация (1FA)
Метод проверки личности, при котором пользователь подтверждает доступ единственным способом — как правило, паролем.
Единственный рубеж защиты — пароль. Его можно перехватить через фишинговую страницу, подобрать брутфорсом по словарю, получить из утёкших баз или купить в даркнете. Достаточно одной успешной атаки и учётная запись скомпрометирована полностью. Никакого второго шанса на остановку злоумышленника нет.
Двухфакторная аутентификация (2FA)
Метод, при котором доступ требует двух независимых факторов из разных категорий: например, пароля и одноразового кода с устройства.
Злоумышленник, получивший пароль, не войдёт в систему без доступа ко второму фактору: физическому устройству или приложению. Два независимых канала компрометации нужно вскрыть одновременно, что принципиально повышает стоимость атаки.
Многофакторная аутентификация (MFA)
Метод, объединяющий три и более факторов из разных категорий: знание (пароль), владение (устройство) и биометрию (отпечаток пальца, лицо).
Применяется там, где цена ошибки максимальна — в финансовых системах, критической инфраструктуре, привилегированном доступе. Компрометация одного фактора не открывает доступ, пока остальные не скомпрометированы.
Методы второго фактора — от слабого к надёжному:
- SMS-коды — самый распространённый и наименее надёжный метод. Одноразовый код передаётся через сотовую сеть, которая уязвима к SIM-свопингу (злоумышленник переоформляет номер на свою SIM-карту) и SS7-атакам (перехват трафика на уровне протокола сигнализации). Допустим как временное решение или для низкорисковых сценариев. Для критичных систем — неприемлем.
- Email OTP — одноразовый код отправляется на почту. По надёжности сопоставим с SMS: безопасность фактора целиком зависит от защищённости почтового ящика. Если почта скомпрометирована, второй фактор не работает.
- Push-уведомления — запрос подтверждения поступает на зарегистрированное доверенное устройство. Пользователь видит контекст запроса: время, геолокацию, устройство инициатора. Это позволяет распознать подозрительный запрос и отклонить его. Уязвимость — усталость: злоумышленник отправляет серию запросов подряд в расчёте на то, что пользователь подтвердит один из них машинально.
- TOTP-приложения — генерируют одноразовые коды локально на устройстве. Код действителен 30 секунд и не передаётся через сеть при генерации. Не зависят от сотовой связи, устойчивы к SIM-свопингу и SS7-атакам. Уязвимость остаётся одна: код можно перехватить в реальном времени через фишинговый сайт-прокси, если пользователь не проверяет домен.
- Биометрия — отпечаток пальца, распознавание лица. Используется преимущественно как локальный фактор на устройстве — верификация происходит на стороне устройства, данные не передаются по сети. Надёжность ограничена качеством реализации на конкретной платформе.
- Ключи доступа (Passkey, FIDO2 без аппаратного токена) — криптографические ключи хранятся в защищённом хранилище устройства: TPM или Secure Enclave. Работает по той же логике, что и аппаратный FIDO2-ключ, но без отдельного физического токена. Устойчив к фишингу за счёт привязки к домену, поддерживается всеми современными платформами.
- Аппаратные FIDO2-ключи — физические устройства с криптографическим подтверждением на борту. Удалённая компрометация технически невозможна — злоумышленнику нужен физический доступ к устройству. Считаются эталоном надёжности второго фактора.
Тренд 2025 года: беспарольная аутентификация и ключи доступа (Passkeys)
Ключи доступа (Passkeys) — криптографический стандарт аутентификации на базе FIDO2/WebAuthn, при котором пароль полностью заменяется парой асимметричных ключей, а личность пользователя подтверждается биометрией устройства.
Главный структурный сдвиг в аутентификации — переход к полностью беспарольным схемам. Технология Passkeys на базе стандарта FIDO2/WebAuthn позволяет аутентифицироваться с помощью биометрии устройства без ввода пароля.
Механизм: при регистрации генерируется асимметричная криптографическая пара ключей. Приватный ключ хранится в защищённом анклаве устройства (Secure Enclave на Apple, TPM на Windows) и никогда не покидает его. Публичный ключ передаётся на сервер. При входе сервер отправляет запрос, устройство подписывает его приватным ключом после биометрического подтверждения пользователя.
Принципиальные преимущества перед паролями:
- Фишингоустойчивость — ключ привязан к конкретному домену и не сработает на поддельном сайте.
- Нечего красть с сервера — публичный ключ бесполезен без приватного.
- Нет человеческого фактора — пользователь не может создать слабый ключ или использовать его повторно.
Apple, Google и Microsoft внедрили поддержку Passkeys в свои платформы. Почти все крупные сервисы уже предлагают вход через ключи доступа в качестве основного метода.
Как работает авторизация в ИТ-системах
Авторизация — не бинарное «разрешить/запретить», а многоуровневая система политик, определяющих, кто, к чему и при каких условиях имеет доступ. Существует несколько формальных моделей управления доступом с разной степенью гибкости и применимости.
Ролевая модель (RBAC)
Ролевая модель (Role-Based Access Control) — наиболее распространённая модель в корпоративных системах. Права назначаются не конкретному субъекту, а роли; субъект наследует права через членство в роли. Это упрощает администрирование: изменение прав роли мгновенно распространяется на всех её носителей.
Типовая иерархия ролей:
- Администратор — полный доступ, управление пользователями, конфигурация системы.
- Редактор — создание и изменение контента в рамках своей области, без доступа к системным настройкам.
- Читатель — доступ только на чтение, без права на модификацию.
RBAC хорошо масштабируется, но имеет ограничение: роль не учитывает контекст запроса. Для более тонкого управления используют ABAC.
Атрибутная модель (ABAC)
ABAC (Attribute-Based Access Control) — модель управления доступом, в которой решение об авторизации принимается на основе набора атрибутов: характеристик пользователя, ресурса, выполняемого действия и контекста запроса (время, местоположение, устройство).
Атрибутная модель принимает решение об авторизации на основе набора атрибутов: характеристик субъекта, объекта, действия и окружения. Это позволяет реализовывать контекстно-зависимые политики.
OAuth 2.0 и делегирование авторизации
OAuth 2.0 — протокол делегированной авторизации, позволяющий одному сервису получить ограниченный доступ к ресурсам пользователя на другом сервисе без передачи учётных данных.
Сценарий «Войти через Google»:
- Клиентское приложение перенаправляет пользователя на сервер авторизации.
- Сервер проверяет личность пользователя и запрашивает согласие на передачу конкретных прав доступа.
- После подтверждения выдаётся токен доступа — временный, ограниченный по правам и сроку действия.
- Клиентское приложение использует токен для запросов к серверу ресурсов; пароль пользователя в процессе не фигурирует.
SSO (единый вход) в корпоративных средах работает по схожей логике: одна аутентификация через поставщика удостоверений открывает доступ ко всем связанным сервисам. Стандарты SAML 2.0 и JWT обеспечивают безопасную передачу токенов подтверждения между поставщиком удостоверений и поставщиком услуг.
Zero Trust: непрерывная верификация как архитектурный принцип
Концепция Zero Trust («никогда не доверяй, всегда проверяй») отказывается от модели периметровой безопасности, при которой субъект внутри сети считается доверенным по умолчанию. В Zero Trust каждый запрос к ресурсу проходит полный цикл верификации независимо от его источника.
Ключевые принципы:
- Непрерывная верификация — аутентификация и авторизация выполняются не один раз при установке сессии, а при каждом запросе к защищённому ресурсу.
- Минимум привилегий (Least Privilege) — субъект получает ровно те права, которые необходимы для конкретной задачи, на минимально необходимый срок.
- Контекстная оценка — решение об авторизации принимается с учётом устройства, геолокации, времени, поведенческих паттернов и уровня риска запроса.
Zero Trust особенно критичен в условиях распределённых инфраструктур и удалённой работы, где понятие «доверенного периметра» утратило практический смысл.
Ошибки, которые стоят дорого
| Ошибка | Этап | Последствие |
|---|---|---|
| Проверка факта входа без верификации прав на объект | Авторизация | IDOR, утечка данных других пользователей |
| Хранение паролей в открытом виде или с MD5 | Аутентификация | Полная компрометация базы учётных записей |
| Отсутствие rate limiting на эндпоинте аутентификации | Аутентификация | Брутфорс и credential stuffing |
| Избыточные права по умолчанию (deny-by-default не реализован) | Авторизация | Горизонтальное распространение атаки |
| Долгоживущие access-токены без ротации и отзыва | Авторизация | Использование скомпрометированного токена после инцидента |
Тест: идентификация, аутентификация, авторизация
1. Сотрудник вводит корпоративный имейл на странице входа. Система находит запись в базе и переходит к следующему шагу. Какой процесс только что завершился?
2. Менеджер и финансовый директор оба успешно вошли в корпоративную систему. Менеджер видит клиентскую базу своего отдела, финансовый директор — финансовую отчётность. Какой механизм разграничивает их доступ?
3. Злоумышленник получил пароль сотрудника через фишинг. Какой второй фактор аутентификации надёжнее всего заблокирует вход с чужого устройства?
4. Компания внедряет Passkeys вместо паролей. Сотрудник регистрируется: устройство генерирует ключевую пару. Что происходит с приватным ключом?
5. ИТ-администратор управляет учётными записями в корпоративной CRM, но не видит клиентских данных. Менеджер по продажам видит карточки клиентов, но не может менять системные настройки. Какая модель авторизации здесь реализована?
6. Сотрудник подключается к корпоративной системе из незнакомой геолокации в нерабочее время. Система запрашивает дополнительную верификацию, хотя пользователь уже прошёл аутентификацию. Какой архитектурный принцип это описывает?
Заключение
Идентификация, аутентификация и авторизация — три независимых рубежа с разной логикой, разными механизмами и разными классами уязвимостей при сбое. Путаница между ними в терминологии почти всегда означает путаницу в архитектуре — а это уже не вопрос терминов, а вопрос безопасности.
Практические выводы, которые стоит зафиксировать:
- MFA — минимальный стандарт для критичных систем. SMS-коды допустимы как временное решение, аппаратные FIDO2-ключи — как эталон.
- Принцип наименьших привилегий должен быть встроен в архитектуру, а не настраиваться вручную для каждого пользователя. Права по умолчанию — минимальные, расширение — явное и обоснованное.
- Аутентификация и авторизация — разные слои. Смешивать их логику в одном компоненте — источник IDOR и других уязвимостей контроля доступа.
- Passkeys устраняют целый класс атак — фишинг, утечки с серверов, повторное использование паролей на уровне протокола, а не пользовательской дисциплины.
- Zero Trust — не концепция будущего, а рабочий архитектурный принцип для распределённых инфраструктур. Каждый запрос верифицируется с учётом контекста — независимо от того, откуда он пришёл.
Понять разницу между тремя процессами — значит увидеть, где именно в системе находится каждый рубеж защиты. А это уже половина работы по его правильному выстраиванию.
Часто задаваемые вопросы
В чём принципиальная разница между аутентификацией и авторизацией?
Аутентификация верифицирует личность субъекта — система убеждается, что пользователь является тем, за кого себя выдаёт. Авторизация определяет область допустимых действий после верификации. Это разные процессы с разными механизмами: аутентификация оперирует факторами подлинности, авторизация — политиками и ролями. Прошедший аутентификацию субъект может быть авторизован на разные операции в зависимости от назначенных прав.
Что такое двухфакторная аутентификация и почему её нельзя игнорировать?
2FA требует подтверждения личности двумя независимыми факторами из разных категорий: например, паролем (знание) и TOTP-кодом (владение). Компрометация одного фактора не даёт доступа без второго. По данным Microsoft, 2FA блокирует более 99,9% атак с использованием скомпрометированных учётных данных. Для критичных систем рекомендуется MFA с аппаратным токеном в качестве одного из факторов.
Что такое ключи доступа (Passkeys) и чем они архитектурно лучше паролей?
Passkeys реализуют беспарольную аутентификацию на основе FIDO2/WebAuthn. При регистрации генерируется асимметричная ключевая пара: приватный ключ хранится в защищённом анклаве устройства, публичный — на сервере. Вход подтверждается биометрией. Passkeys устойчивы к фишингу (ключ привязан к origin-домену), не могут быть украдены с сервера и исключают человеческий фактор при создании учётных данных.
Что такое Zero Trust и как он меняет подход к аутентификации и авторизации?
Zero Trust — архитектурная модель, отказывающаяся от периметровой безопасности. Ни один субъект не считается доверенным по умолчанию — ни внутри сети, ни снаружи. Аутентификация и авторизация выполняются при каждом запросе к ресурсу с учётом контекста: устройства, геолокации, времени, поведенческих паттернов. Это делает компрометацию одной сессии недостаточной для горизонтального распространения атаки.
Чем SSO отличается от стандартного входа и какие риски он несёт?
SSO (Single Sign-On) позволяет пройти аутентификацию один раз через поставщика удостоверений и получить доступ ко всем связанным сервисам без повторного ввода учётных данных. Это снижает парольную усталость и централизует аутентификацию. Оборотная сторона: компрометация поставщика удостоверений открывает доступ ко всем подключённым системам одновременно. Поэтому SSO-провайдер должен быть защищён MFA и строгими политиками доступа.
Илья Шелыгин
Анастасия Лебедева
Анастасия Лебедева
Авторизация и аутентификация: как не запутаться в терминах?
Идентификация, аутентификация, авторизация — в чём разница и почему это важно для безопасности. Рассмотрим термины, модели доступа RBAC и ABAC, MFA, Passkeys и Zero Trust с примерами.
