10 способов сделать авторизацию и аутентификацию в приложении

Авторизация в приложении на телефоне гарантирует, что в случае утери аппарата посторонний человек не получит доступ к финансовым программам, корпоративным ресурсам, хранилищам и CRM. Часто пользователи пренебрегают рекомендациями экспертов в сфере кибербезопасности. Это приводит к утечке коммерческой тайны и несанкционированному изменению информации. Рассмотрим распространенные способы реализации авторизации и аутентификации в приложениях на смартфонах.

Как идентифицировать пользователя

Необходимость в авторизации возникла сразу после появления персональных компьютеров, которые мог приобрести и установить любой желающий. Ещё более актуальной она стала при появлении ноутбуков и смартфонов. Это мобильные устройства, поэтому есть риск их физической утери. Отсутствие идентификации в этом случае — прямая угроза получения доступа к защищённым данным.

Разработчики используют такие способы авторизации в мобильном приложении.

1. Логин и пароль

Наиболее простой и доступный вариант. Логин идентифицирует пользователя, а пароль подтверждает его право входить в приложение. Можно использовать PIN-код, но с его помощью не получится пройти идентификацию. Он служит только для авторизации.

Этот способ проверки легко реализовать программно, но он не очень гибкий и безопасный. Часто пользователи используют одинаковые или слишком простые пароли, которые легко взламываются.

2. Шифрование

Разновидность предыдущего варианта. Логин и пароль, которые вводит пользователь, шифруются и передаются по сети на сервер. Там происходит проверка на подлинность, после чего человек получает разрешение на вход. Благодаря передаче данных в зашифрованном виде исключаются их перехват и подмена.

3. Single-Sign-On

Этот способ дает возможность пройти авторизацию в приложении один раз и входить в него после этого по упрощенной процедуре. Для этого после проверки пароля доверенный сервер выдает токен, после чего операции проводятся уже с ним.

Такой способ удобен, когда программа на смартфоне постоянно обращается к защищенной базе данных, и при каждом запросе нужно знать, кто его отправляет.

4. Touch ID

Вариант защиты с использованием биометрических данных пользователя. Наиболее распространенный вариант — идентификация и авторизация по отпечатку пальца. Узор уникален, вероятность ошибки практически нулевая. Если сканер не срабатывает, разработчики предусматривают возможность входа по PIN-коду или графическому ключу.

5. Face ID

Уникальный способ авторизации, который используется только на устройствах от Apple на iOS. Смартфон «узнает» человека с помощью специальной камеры, после чего разрешает или не разрешает входить в программу.

Идентификация по лицу обеспечивает высокий уровень безопасности. От разработчика требуется только интегрировать эту возможность в корпоративное ПО и связать программу с сервером, который распределяет права доступа пользователей.

6. Мультифакторная

Увеличить безопасность при входе в программу на телефоне можно с помощью SMS API и двойной проверки пользователя. На первом этапе используется логин и пароль, который идентифицирует человека. На втором он получает одноразовый PIN-код в SMS, которым подтверждает владение определенным номером телефона. Альтернативой коду может быть телефонный звонок.

Этот способ универсален и эффективен, поэтому часто используется для входа в корпоративную сеть. Единственный минус — усложненный процесс авторизации, который может раздражать пользователей.

7. Блокчейн-технологии

Инновационная технология обеспечения безопасности на основе распределенных сетей. Цепочка блоков практически не подвержена взлому. В случае внесения изменений в один из них попытка изменения данных обнаруживается, и скомпрометированная база данных на ноде заменяется на верифицированную. 

В блокчейне сохраняется каждое действие любого участника сети, поэтому специалисты по кибербезопасности могут отследить всю активность с момента запуска блокчейна.

8. Одноразовый код или звонок

Этот способ используется для авторизации и проверки контактных данных на сайте. Его же можно использовать в качестве защиты мобильного приложения. Идентификатором пользователя выступает номер телефона, на который отправляется звонок или текстовое сообщение. Интеграция с помощью API позволяет автоматизировать процесс входа в приложение. Например, при поступлении звонка пользователь автоматически авторизуется в программе.

9. Сторонняя авторизация

Она дает возможность авторизоваться в мобильном приложении через аккаунт в социальной сети, аккаунт Google. Это актуально для смартфонов на Android. Для обмена информацией используются API различных сервисов.

10. Авторизация по QR-коду

Дополнительный способ входа в приложение — сканирование QR-кода, который генерируется корпоративным приложением. Этот вариант подходит для пользователей, которые часто используют мобильные телефоны в паре с компьютерами. На ПК или ноутбуке в этом случае запускается корпоративный сайт или программа, где будут генерироваться коды.

Примеры реализации

Самый простой способ защиты — сделать вход в приложение по паролю и логину. Но он не дает достаточной гибкости для использования в бизнес-сфере. Корпоративным пользователям необходима аутентификация с помощью API. Она дает несколько плюсов, которые наглядно видны в примерах.

Пример 1

Компания, которая занимается доставкой продуктов из супермаркетов, пользовалась услугами большого количества курьеров. Ей понадобился способ безопасной авторизации десятков пользователей. При этом нужно централизованно менять пароли, устанавливать уровни доступа к CRM и запрещать вход в корпоративное ПО удаленно.

Все эти возможности реализовали с помощью программного интерфейса. Приложение собственной разработки для смартфона требовало для авторизации логин и пароль, которые выдавались пользователю в корпоративном чате. После авторизации доступ сохранялся в течение рабочего дня. Работник мог видеть только информацию для выполнения его обязанностей.

В случае прекращения трудовых отношений доступ автоматически аннулировался. Происходил выход из клиента CRM, а новый пароль система не выдавала.

Пример 2

Компания по обслуживанию бытовой техники и электроники на дому выдавала заявки своим мастерам в приложении на смартфоне. Для защиты корпоративной информации они решили использовать двойную аутентификацию.

Целостная корпоративная экосистема

Для бизнес-пользователей необходим удобный подход к использованию информационных решений и персонализация программных инструментов. Реализовать эти возможности можно через CPaaS-платформу МТС Exolve.

Сервис предоставляет удобный программный интерфейс API, с помощью которого можно связать любые каналы, цепочки и прочие коммуникации. При этом будут учтены интересы разработчика, бизнеса и клиента.

API-авторизация в мобильном приложении через МТС Exolve позволяет:

• повысить безопасность удаленного использования корпоративных ресурсов
• реализовать сложные сценарии обеспечения безопасности данных с учетом корпоративной политики
• объединить разрозненные части IT-инфраструктуры в целостную систему с двусторонним обменом данными и общей авторизацией