Авторизация в приложении на телефоне гарантирует, что в случае утери аппарата посторонний человек не получит доступ к финансовым программам, корпоративным ресурсам, хранилищам и CRM. Часто пользователи пренебрегают рекомендациями экспертов в сфере кибербезопасности. Это приводит к утечке коммерческой тайны и несанкционированному изменению информации. Рассмотрим распространенные способы реализации авторизации и аутентификации в приложениях на смартфонах.
Как идентифицировать пользователя
Необходимость в авторизации возникла сразу после появления персональных компьютеров, которые мог приобрести и установить любой желающий. Ещё более актуальной она стала при появлении ноутбуков и смартфонов. Это мобильные устройства, поэтому есть риск их физической утери. Отсутствие идентификации в этом случае — прямая угроза получения доступа к защищённым данным.
Разработчики используют такие способы авторизации в мобильном приложении.
1. Логин и пароль
Наиболее простой и доступный вариант. Логин идентифицирует пользователя, а пароль подтверждает его право входить в приложение. Можно использовать PIN-код, но с его помощью не получится пройти идентификацию. Он служит только для авторизации.
Этот способ проверки легко реализовать программно, но он не очень гибкий и безопасный. Часто пользователи используют одинаковые или слишком простые пароли, которые легко взламываются.
2. Шифрование
Разновидность предыдущего варианта. Логин и пароль, которые вводит пользователь, шифруются и передаются по сети на сервер. Там происходит проверка на подлинность, после чего человек получает разрешение на вход. Благодаря передаче данных в зашифрованном виде исключаются их перехват и подмена.
3. Single-Sign-On
Этот способ дает возможность пройти авторизацию в приложении один раз и входить в него после этого по упрощенной процедуре. Для этого после проверки пароля доверенный сервер выдает токен, после чего операции проводятся уже с ним.
Такой способ удобен, когда программа на смартфоне постоянно обращается к защищенной базе данных, и при каждом запросе нужно знать, кто его отправляет.
4. Touch ID
Вариант защиты с использованием биометрических данных пользователя. Наиболее распространенный вариант — идентификация и авторизация по отпечатку пальца. Узор уникален, вероятность ошибки практически нулевая. Если сканер не срабатывает, разработчики предусматривают возможность входа по PIN-коду или графическому ключу.
5. Face ID
Уникальный способ авторизации, который используется только на устройствах от Apple на iOS. Смартфон «узнает» человека с помощью специальной камеры, после чего разрешает или не разрешает входить в программу.
Идентификация по лицу обеспечивает высокий уровень безопасности. От разработчика требуется только интегрировать эту возможность в корпоративное ПО и связать программу с сервером, который распределяет права доступа пользователей.
6. Мультифакторная
Увеличить безопасность при входе в программу на телефоне можно с помощью SMS API и двойной проверки пользователя. На первом этапе используется логин и пароль, который идентифицирует человека. На втором он получает одноразовый PIN-код в SMS, которым подтверждает владение определенным номером телефона. Альтернативой коду может быть телефонный звонок.
Этот способ универсален и эффективен, поэтому часто используется для входа в корпоративную сеть. Единственный минус — усложненный процесс авторизации, который может раздражать пользователей.
7. Блокчейн-технологии
Инновационная технология обеспечения безопасности на основе распределенных сетей. Цепочка блоков практически не подвержена взлому. В случае внесения изменений в один из них попытка изменения данных обнаруживается, и скомпрометированная база данных на ноде заменяется на верифицированную.
В блокчейне сохраняется каждое действие любого участника сети, поэтому специалисты по кибербезопасности могут отследить всю активность с момента запуска блокчейна.
8. Одноразовый код или звонок
Этот способ используется для авторизации и проверки контактных данных на сайте. Его же можно использовать в качестве защиты мобильного приложения. Идентификатором пользователя выступает номер телефона, на который отправляется звонок или текстовое сообщение. Интеграция с помощью API позволяет автоматизировать процесс входа в приложение. Например, при поступлении звонка пользователь автоматически авторизуется в программе.
9. Сторонняя авторизация
Она дает возможность авторизоваться в мобильном приложении через аккаунт в социальной сети, аккаунт Google. Это актуально для смартфонов на Android. Для обмена информацией используются API различных сервисов.
10. Авторизация по QR-коду
Дополнительный способ входа в приложение — сканирование QR-кода, который генерируется корпоративным приложением. Этот вариант подходит для пользователей, которые часто используют мобильные телефоны в паре с компьютерами. На ПК или ноутбуке в этом случае запускается корпоративный сайт или программа, где будут генерироваться коды.
Примеры реализации
Самый простой способ защиты — сделать вход в приложение по паролю и логину. Но он не дает достаточной гибкости для использования в бизнес-сфере. Корпоративным пользователям необходима аутентификация с помощью API. Она дает несколько плюсов, которые наглядно видны в примерах.
Пример 1
Компания, которая занимается доставкой продуктов из супермаркетов, пользовалась услугами большого количества курьеров. Ей понадобился способ безопасной авторизации десятков пользователей. При этом нужно централизованно менять пароли, устанавливать уровни доступа к CRM и запрещать вход в корпоративное ПО удаленно.
Все эти возможности реализовали с помощью программного интерфейса. Приложение собственной разработки для смартфона требовало для авторизации логин и пароль, которые выдавались пользователю в корпоративном чате. После авторизации доступ сохранялся в течение рабочего дня. Работник мог видеть только информацию для выполнения его обязанностей.
В случае прекращения трудовых отношений доступ автоматически аннулировался. Происходил выход из клиента CRM, а новый пароль система не выдавала.
Пример 2
Компания по обслуживанию бытовой техники и электроники на дому выдавала заявки своим мастерам в приложении на смартфоне. Для защиты корпоративной информации они решили использовать двойную аутентификацию.
Целостная корпоративная экосистема
Для бизнес-пользователей необходим удобный подход к использованию информационных решений и персонализация программных инструментов. Реализовать эти возможности можно через CPaaS-платформу МТС Exolve.
Сервис предоставляет удобный программный интерфейс API, с помощью которого можно связать любые каналы, цепочки и прочие коммуникации. При этом будут учтены интересы разработчика, бизнеса и клиента.
API-авторизация в мобильном приложении через МТС Exolve позволяет:
- повысить безопасность удаленного использования корпоративных ресурсов
- реализовать сложные сценарии обеспечения безопасности данных с учетом корпоративной политики
-
объединить разрозненные части IT-инфраструктуры в целостную систему с двусторонним обменом данными и общей авторизацией