ID: способы аутентификации сегодня, их преимущества, недостатки и перспективы развития
Аутентификация сегодня как технологический процесс
Для начала определимся с терминами и уточним, с какими именно процессами мы имеем дело. Итак:
Аутентификация — это доказательство системе того, что пользователь именно тот, кем он пытается себя идентифицировать.
При этом,
Идентификация — предоставление пользователем системе своих данных, таких как почта, номер телефона или другой контакт.
Авторизация — проверка доступа к запрашиваемому ресурсу.
Задача бизнеса — аутентифицировать пользователей, имеющих отношение к системе, например, партнерской программе, пулу клиентов магазина. Чтобы каждый клиент получил должный уровень сервиса, а компания направляла ресурсы исключительно в нужное русло, важна правильная аутентификация.
Раньше процесс заключался только во вводе пары логин/пароль, но без доказательств невозможно сказать точно, что данную пару вводит именно тот человек, с которым у организации заключены отношения.
Для однозначной аутентификации необходим уникальный признак человека, доступ к которому не смогут просто так получить злоумышленники. Поэтому номер телефона сегодня становится базовым способом распознать того или иного клиента. Технологии идут дальше и начинают работать с куда более личными данными, такими как лицо или отпечаток пальца. Поэтому приступим к обзору работающих в 2024 году методов аутентификации.
Популярные способы аутентификации пользователей
Мы уже говорили о паре логин/пароль. Этот способ относится к однофакторной аутентификации: после правильного ввода пользователь сразу получает доступ к системе.
К методам однофакторной аутентификации относится и биометрия.
Биометрическая аутентификация
Набирающий обороты способ, заключающийся в определении пользователя за счет уникальных параметров его тела — глаза, отпечатки пальцев, голос, лицо. Системы распознавания этих параметров сегодня есть не только в сложных комплексах, но и в обычных смартфонах.
Но, что просто для клиента, сложно для бизнеса, и в случае биометрии мы имеем дело как раз с таким случаем. Эта методика сложна и трудоемка в реализации со стороны системы, позволить ее себе могут пока только крупные федеральные сети, банки и другие организации.
Несмотря на предлагаемые возможности, биометрическая аутентификация пока что не дает 100% вероятности на точное распознавание данных, кроме того не исключены риски безопасности: мошенники имеют возможность похитить биометрические данные пользователя и использовать в своих целях.
Одной из главных проблем также остается недоверие общества к биометрическим системам. Учитывать стоит и сферу применения метода — в случае если речь идет о программе лояльности, может быть сложно уговорить клиента сделать скан лица.
В России законом регулируется методика аутентификации через ЕБС — Единую систему биометрии, подчиняющуюся государству. Лицензирование подключения к этой системе также вносит дополнительные затраты в бюджет реализации методики.
Двухфакторная аутентификация по SMS
Отличие многофакторной аутентификации в том, что кроме постоянного пароля пользователь использует еще и временный, генерируемый для него системой. Одним из первых способов такого распознавания стала передача пароля по SMS.
Сегодня это базовый метод, основанный на генерации строки, чаще всего из цифр, которые в течение определенного времени пользователь должен ввести в поле.
Преимуществами метода является использование номера телефона как идентификатора — он уникален для каждого клиента. При этом нет необходимости иметь подключение к интернету, пароль приходит по сотовой связи.
Основным недостатком, который сегодня заставляет бизнес искать другие способы аутентификации, становится дороговизна SMS. Ниже представлены тарифные планы для бизнес-сообщений и разных операторов России с учетом 2 млн отправок SMS в месяц.
Тарифные планы для бизнес-сообщений операторов России с учетом 2 млн отправок SMS в месяц.
В среднем в данном случае каждое сообщение обойдется компании в 2 рубля, с учетом двух миллионов отправок — 4 000 000 р. в месяц.
Аутентификация через звонок абоненту
Аналогично предыдущему, способ позволяет передать клиенту одноразовый код в виде входящего звонка. Кодом является часть номера — как правило, это последние цифры номера, с которого вам поступил звонок. Данный метод передачи кода очень хорошо себя зарекомендовал в 2019–2022 гг. Многие компании перешли именно на данную механику.
Но в 2022 г. сотовые операторы из-за потерь доходов от верификационных SMS стали расценивать вызовы с передачей кода как «нежелательные» в своей сети. Номера, используемые в данной механике, попадали в черный список, а вызовы просто не доставлялись до абонентов. Сотовые операторы искусственно ухудшили качество данного способа передачи кода с целью вернуть бизнес на верификационные SMS.
TOTP (одноразовый пароль на основе времени) для аутентификации пользователей
Метод заключается в генерации паролей на стороне устройства клиента, где установлено специальное приложение с генератором. После того как клиент регистрируется в системе, она отправляет на приложение секретный ключ, который затем используется для создания строки кода, уникальной для пользователя в текущий момент времени.
Проще говоря, выбирая аутентификацию по TOTP, клиент получает запрос на приложение в смартфоне, которое генерирует пароль. Вводя его в систему, пользователь подтверждает, что это именно он. При этом код действует непродолжительное время и создается заново каждые 30 секунд — злоумышленникам просто не хватит времени его перехватить.
Также метод дешев по сравнению с аналогами, т. к. пароль отправляет сам пользователь через интернет, и даже не обязательно разрабатывать свой генератор — существуют стандартные приложения, например от Google. Нужно только встроить их в систему.
Казалось бы, TOTP будет панацеей от всех проблем предыдущих способов, но нет — использование метода требует привыкания, сам процесс сложнее и требует постоянного наличия стабильного интернета на устройстве клиента. Все это приводит к ориентации способа на специфические сферы, где предъявляются высочайшие требования к безопасности соединения и аутентификации.
Call Password ID — аутентификация по звонку, но уже со стороны клиента
По той причине, что верификационные SMS значительно бьют по карману бизнеса, а звонки, где кодом является часть номера, не всегда доставляются до абонентского номера, нужно было искать альтернативные способы авторизации пользователей — так появился CallPassword ID.
Суть новой механики — в тот в момент подтверждения телефонного номера пользователя ему показывается уникальный номер, на который он должен сделать звонок. Сама процедура не сложна, пользователю нужно лишь нажать на кнопку «позвонить» или отсканировать QR-код, звонок произойдёт в автоматическом режиме. Для данной механики стоимость верификации значительно ниже, а вызовы не блокируются со стороны сотовых операторов.
Преимущества:
Звонок для клиента бесплатный, соединение с конечной стороной не осуществляется.
Если запрос на верификацию запрашивал не сам пользователь, то ему не будут приходить SMS и звонки (данная механика «не интересна» SMSBomber/CallBomber).
Бизнес производит оплату только за успешные верификации, а не за запрос на передачу кода.
По стоимости CallPassword ID значительно дешевле SMS: тариф компании New-Tel составляет 50 копеек за прием одного звонка, т. е. аутентификация удешевляется как минимум в 4 раза (без учета необходимости повторных сообщений/дозвонов).
На сегодняшний день компании с опаской относятся к новой механике, но это понятно: все новое требует проверки. Аналогичная ситуация была и с передачей кода в номере телефона. При этом нужно отметить, что государство помогает повысить достоверность и безопасность в интернет-торговле и коммуникациях. Система Антифрод, запущенная в сетях телефонных операторов, блокирует подмену номеров телефонов при совершение звонка, тем самым делая CallPassword ID безопасным способом верификации.
Перспективы аутентификации в применении к бизнесу
Мы описали наиболее ходовые способы аутентифицировать пользователей и клиентов на сегодняшний день. Есть и другие методы, их число постоянно растет и бизнесу есть из чего выбрать. Чтобы подобрать подходящую методику, важно понимать:
Цель бизнеса, конечной системы работы с клиентом или кампании.
Бюджет на контакт с клиентской базой.
Частоту и объем предположительной аутентификации.
Портреты клиентов.
Очевидно, что новую формацию людей, активно использующую высокие технологии, больше привлекают технологичные решения, такие как TOTP, более консервативная аудитория предпочитает более легкую верификацию, которую можно пройти с помощью подтверждения своего номера телефона.
Всегда проще использовать более доступные методы, позволяющие к тому же удешевить процесс аутентификации. Если же клиенты не обладают к ним достаточным уровнем доверия, то нужно оставить и альтернативные способы, которыми человек может воспользоваться, если что-то не получилось с первого раза.
