Аутентификация в мобильных приложениях

Идеальный телефон, как верный пёс, должен узнавать хозяина по запаху и охранять имущество от посторонних.

Собаки свой нюхательный аппарат развили за миллионы лет эволюции, а нашим технологиям всего ничего, поэтому телефоны пока неидеальны.

У людей с нюхом намного хуже, поэтому в их естественной среде обитания пришлось разрабатывать искусственные системы опознания, такие как подорожная грамота, условные жесты и конспиративные пароль и отзыв.

Когда же люди стали перекладывать часть своих задач на цифровые плечи, поначалу никакой программной аутентификации не существовало – запускать программный код мог любой желающий, получивший доступ в машинный зал. Но уже тогда этот самый доступ регулировался определёнными правилами, описанными, например, в уставе караульной службы и прочих регламентах с допусками.

Скоро этого стало не хватать. У первобытных программистов появились идентификаторы, затем логин с паролем – и вот перед нами классическая Basic Authentication протокола HTTP.

Логин и пароль

Логин позволяет опознать пользователя, то есть выполнить главную функцию аутентификации.
Пароль предотвращает от несанкционированного доступа, то есть решает главную задачу информационной безопасности.

Таким образом, эта пара выполняет главную собачью задачу, при этом не требует ни выгула, ни кормёжки.

Между прочим, в мобильных телефонах существует понятие PIN-кода. Похоже на пароль? Да. Это защитный механизм, решающий задачу безопасности, при этом прямо не связанный с аутентификацией.

Почему нельзя обойтись только логином? Теоретически можно, а практически очень неудобно. Логин фигурирует в формах запросов и отчётах, его иногда приходится сообщать в службу поддержки. Сделав логин трудным для подбора и скрытым от окружающих, мы уподобим его паролю. А чтобы как-то отображать публичную информацию по нашей учётной записи, придётся добавить новое поле – скажем, ник, – что сделает всё затею не заслуживающей усилий.

Так что сегодня это наиболее привычная схема. Можно даже сказать, что всякий человек, связанный с компьютерами, имеет хотя бы один логин и пароль.

Программисты так много раз реализовывали этот подход, что практически каждая среда разработки содержит специальный тип элемента управления – поле ввода пароля, где символы заменяются звёздочками, скрывая сам пароль от посторонних глаз.

Можно было бы добавить, что всё здесь хорошо и ничего менять не надо, но – нет.

Шифрование

С появлением вычислительных сетей выяснилось, что пароль в открытом виде передавать опасно, так как его по дороге может перехватить злоумышленник. Логичным решением было внедрить шифрование пароля. Так появились Digest Authentication и NTLM. Пользователь вводит всё те же данные, но «по проводам» они передаются в закодированном виде. Расшифровать или взломать их, в принципе, специалисты могут, однако это всё равно надёжнее отправки пароля открытым текстом.

Интересующихся защищёнными каналами связи мы отсылаем к изучению протокола HTTPS, SSL и TLS, а сами движемся дальше, к постижению мобильного дао.

Single-Sign-On

Другим неприятным аспектом всеохватного запароливания оказалось, что не очень-то удобно держать в голове больше одной-двух пар логина и пароля, вводить их всякий раз при входе в программу, особенно если этих программ больше одной. Результатом решения проблемы стали аутентификация oAuth и принцип SSO, то есть Single-Sign-On (войти один раз).

Идея oAuth проста. Вместо того чтобы каждый раз требовать у пользователя его логин и пароль, лучше сделать это один раз, на основании полученных сведений получить так называемый токен у доверенного сервера и далее проводить операции уже с этим токеном. Это особенно удобно в контексте обмена данными между мобильным или web приложением и удалённым сервером, где аутентифицирующие сведения (credentials) необходимо передавать с каждым запросом.

SSO решает немного другую задачу.

В рамках web все приложения, использующие один и тот же доверенный сервер для oAuth-аутентификации (например, сайты с Гугль-аккаунтом), автоматически разделяют между собой сведения пользователя (credentials). То есть, введя логин и пароль в одном приложении, в другое пользователь заходит уже опознанным.

Для мобильных приложений данный подход тоже работает, но с оговорками, и требует от разработчиков дополнительных усилий.

Сведения пользователя нужно сохранять на устройстве, чтобы их можно было вычитать при последующем запуске приложения, а также чтобы другие приложения, которым это нужно (и которые имеют право доступа к этим сведениям) могли ими воспользоваться для автоматической аутентификации.

Где хранятся пароли

У читателя, который не просто скользит взглядом по тексту и смог пробиться через предыдущий абзац, должен возникнуть вопрос: а что же это за место такое, где можно безопасно хранить такие чувствительные данные о пользователе, как логин и пароль? Это место специальное, в зависимости от платформы и технологии называемое по-разному, но чаще всего – KeyChain (iOS, Android). Данные здесь шифруются, доступ к ним ограничен – в общем, это самое безопасное место на устройстве, защищённость которого гарантируется на уровне операционной системы.

Где пароли нельзя хранить

Довести офицера Secure Service до истерики можно хранением пароля в базе данных. Плохой идеей также будет отправлять логины с паролями куда-нибудь в системный лог. Замечание средней недопустимости можно получить за временное хранение пароля в публичных переменных – хорошим тоном считается вычитка сведений о пользователе из KeyChain по мере необходимости, без хранения их где-либо ещё.

TouchID/Fingerprints

Широко известно, что человек обладает уникальными отпечатками пальцев. Кроме того, уникальными являются отпечатки носов и ушей, причём если пальцы – атрибут в основном сугубо человеческий, то носы есть и у домашних животных. На практике опознавание по отпечаткам носов используется для идентификации кошек, собак и коров.

Когда-нибудь, возможно, мы научим наши телефоны опознавать хозяина, просто взяв его в руку, но пока что технология сосредоточилась на дактилоскопии, закрепившейся в криминалистической практике ещё сто лет назад (то, что это очень удобно и для АНБ, мы оставим за рамками статьи).

Кроме того, что многие телефончики оснащены сканерами отпечатков пальцев и уже упоминавшимся PIN-кодом, ряд из них дополняется графическим ключом – то есть можно задать вместо цифровой комбинации некий кодовый рисунок, соединяя точки на экране в той или иной последовательности.

Face ID

Последнее новшество от Apple – аутентификация посредством распознавания лица. Если для отпечатков пальцев достаточно теоретически несложной алгоритмической обработки, то для распознавания лиц прибегают к идеям Розенблатта и строят нейросеть.

Конечно же, мощности нейросети в iPhone недостаточно для игры в шахматы или го, но со своей задачей она справляется. Телефон теперь может опознать своего хозяина визуально.

Эти последние новшества, как нетрудно представить, бесконечно радуют корпоративных офицеров безопасности и настолько же бесконечно раздражают конечных пользователей. Здесь, на передовом технологическом крае, сходятся щит и меч, добро и зло, и лёд, и пламя. Здесь куётся MFA.

Multifactor authentication

Мы не знаем, в чью именно голову пришла эта светлая мысль, но теперь, когда она воплотилась в цифровой вселенной, нам приходится сначала вводить логин и пароль, а затем подтверждать нашу личность ещё и посредством пин-кода.

Идея заключается в том, что подделать один канал аутентификации проще, чем два. Побочным эффектом является то, что сегодня в типичную корпоративную сеть без телефона войти не удастся: ведь на него приходит пин-код, который нужно ввести для подтверждения своей личности.

Применение данной технологии для мобильных приложений выглядит немного спорным, но вполне возможным.

Блокчейн и китайские куры

После того, как биткоин и прочие криптовалюты произвели ажиотажный общественный резонанс, было бы странно, если бы лежащий в основе трансакций этих валют блокчейн не привлёк внимание разработчиков систем безопасности.

Как же можно задействовать цепочку блоков для аутентификации? Очень просто.

Применительно к человеку, сама по себе технология блокчейн уже сегодня работает в Эстонии как платформа для электронного гражданства; есть подобные попытки в Бразилии и Финляндии. А японская Sony скрестила MFA и блокчейн (U.S. patent 2017/0310653 A1*). Так что теперь, когда в очередной раз вы где-нибудь введёте код подтверждения из SMS-ки, вполне вероятно, что эта ваша активность будет сохранена навечно (в рамках существования нашей цифровой вселенной).

Что же касается других применений, то известно, что в Китае придумали посредством блокчейн отслеживать, что случалось в жизни кур, попадающих на стол особых ценителей высокой кухни.

Проектировщики будущего! Пожалуйста, постарайтесь, чтобы наши гаджеты узнавали своих хозяев не хуже собаки, при этом, по возможности, обходясь без собачьего корма, и чтобы их не нужно было слишком часто выгуливать.

Автор этих строк также выражает надежду на то, что его телефон лет через десять не удастся приманить и облапошить аппетитно пахнущей сосиской.

• аутентификация пользователей
• mfa
• blockchain
• mobile developement

Как на Android безпарольное приложение запускать с паролем

Зачем нужны пароли на отдельные Android-приложения?

Часто случается, что приходится дать кому-то свой смартфон для того чтобы позвонить или написать. В любом подобном случае возникает опасность того, что посторонний человек увидит личную информацию владельца мобильного устройства. Но есть отличный способ уберечь укромные местечки своего смартфона от посторонних глаз. Для этого и придумали возможность устанавливать не только общие пароли, которые не позволят постороннему зайти на рабочий стол смартфона, но и на отдельные приложения.

Наиболее надежно использовать разные пароли на разные приложения, потому что даже если третье лицо разгадает пароль от одного приложения, он не сможет получить доступ и ко всем остальным.

Итак, главной целью установки парольной защиты является, прежде всего, безопасность.

Установить пароль на Android-приложения можно с помощью специализированных программ, а также с помощью определенных настроек смартфона.

Как установить пароль на отдельные Android-приложения без дополнительных программ?

В современных смартфонах с последними версиями операционной системы Android предусмотрены встроенные возможности, позволяющие установить пароль на отдельные приложения. Это не требует особых затрат, а сделать все что нужно можно по следующей инструкции. Частный случай – смартфон Honor, но работает и на других android-устройствах:

1. Зайдите в настройки смартфона.
2. Перейдите во вкладку « Безопасность » или « Приложения ».

Если по каким-то причинам не получается установить дополнительную защиту паролем стандартными средствами смартфона, то можно скачать приложения, реализующие подобный функционал. Самое надежное ― приложение AppLock.

Обзор AppLock

AppLock ― это одно из самых популярных специализированных приложений, доступных в Play Market. С его помощью можно ограничить доступ к личной информации владельца смартфона

Функции и возможности AppLock

К функциям данной программы можно отнести:

• блокировка любых Android-приложений;
• скрытие фото и видео из галереи и их перенос в хранилище;
• скрытие значков приложений на главном экране смартфоне.

Плюсы и минусы AppLock.

Приложение AppLock не идеальное, как и многие другие. У него есть свои недостатки и преимущества.

1. Наличие большого количества рекламы при использовании бесплатной версии.
2. Чтобы убрать рекламу, нужно перейти в режим «Премиум».
3. Неудобный интерфейс.
4. Некоторые расширенные функции доступны только за деньги.
5. Режим «Премиум» сложен в использовании и его нельзя отменить.

1. Есть возможность использовать эту полезную программу совершенно бесплатно.
2. Отличный инструмент для того чтобы заблокировать Android-приложение от посторонних.
3. Поддерживается на всех устройствах с Android версии от 4.0 до последних релизов.
4. Имеется несколько способов защитить Android-приложения паролем.
5. Занимает немного памяти.
6. Приложение доступно не только в России, так как поддерживает 32 языка.

Поэтапная инструкция по скачиванию и использованию приложения AppLock.

Выше упоминалось, что приложение достаточно легкое в использовании. Для того чтобы скачать и установить его, нужно сделать следующее:

• зайти в Play Market;
• в поисковую строку вбить название AppLock;
• кликнуть по кнопке «Установить».

Для того чтобы перейти к непосредственному использованию возможностей программы, необходимо:

• Зайти в AppLock;
• Чтобы разблокировать настройки нужно ввести графический ключ (Важно! Лучше запомнить или записать его, так как этот ключ в дальнейшем пригодится для доступа к приложению);

Пароли для внешних приложений

Внешние приложения — это почтовые и другие программы, в которые вы входите с аккаунтом Mail.ru: например, Microsoft Outlook, стандартное почтовое приложение на смартфоне и так далее. Если вы хотите войти в такую программу, нужно создать специальный пароль и ввести его вместо обычного пароля.

В почтовой программе вместо основного пароля нужно вводить пароль для внешнего приложения

К внешним приложениям не относятся мобильные приложения Mail.ru: Почта, Облако, Агент и Мой Мир. Для них создавать отдельный пароль не нужно.

Если в Почте Mail.ru вы пользуетесь ящиком стороннего сервиса (Gmail, «Яндекс.Почта», Yahoo и пр.) и хотите зайти в этот ящик с помощью почтовой программы, попробуйте создать пароль для внешнего приложения в настройках стороннего сервиса. В настройках Mail.ru сделать это нельзя.

Как работает пароль для внешнего приложения?

Вы генерируете пароль в настройках своего аккаунта и даете ему название. Чтобы это сделать, нужно ввести пароль от аккаунта. Один пароль можно использовать для разных программ, но для безопасности мы рекомендуем создавать каждый раз новый пароль.

По паролю для внешнего приложения нельзя войти на сайте Mail.ru — только в почтовую программу.

Созданным паролям можно дать названия, чтобы не забыть в каких программах их использовали для входа

Зачем это нужно?

Это дополнительно защищает аккаунт. Часто злоумышленники взламывают аккаунт именно через внешние приложения — почтовые программы. Если они узнают пароль от внешнего приложения, войти в ваш аккаунт через Mail.ru все равно не получится.

Когда вы удалите этот пароль для внешнего приложения, у злоумышленника исчезнет доступ к почте.

Создать пароль для внешнего приложения

Пароль для внешнего приложения можно создать, только если к почте привязан номер телефона. Перед созданием пароля проверьте, привязана ли почта к вашему номеру. Если нет, привяжите. Как это сделать?

Чтобы создать пароль для внешнего приложения:

1. Перейдите в настройки Mail ID → «Безопасность» → «Пароли для внешних приложений».
2. Нажмите .
3. Введите название приложения, чтобы не забыть, для какой программы пароль.
4. Скопируйте код.
5. Введите его при первом входе в приложение вместо пароля .

Если почтовая программа запрашивает пароль при каждом входе, всегда вводите этот пароль для внешнего приложения вместо пароля.

Мы не рекомендуем и спользовать один код для всех внешних приложений. Чтобы обезопасить аккаунт, создавайте отдельный пароль для каждого внешнего приложения.

Удалить пароль для внешнего приложения

1. Перейдите в настройки Mail ID → «Безопасность» → «Пароли для внешних приложений».
2. Нажмите рядом с паролем, который хотите удалить.
3. Подтвердите удаление пароля.

После удаления пароля остановится синхронизация почты — не получится отправлять и получать новые письма в почтовой программе.

При подготовке материала использовались источники:
https://habr.com/ru/companies/infopulse/articles/346318/
https://www.internet-technologies.ru/articles/newbie/kak-ustanovit-paroli-dlya-android-prilozheniy.html
https://help.mail.ru/mail/security/protection/external