-
Что такое авторизация, чем она отличается от аутентификации или идентификации
-
Как оформить блок авторизации, чтобы пользователям было комфортно
Мы платим в интернете, покупаем и продаем, оставляем чувствительные данные, заводим множество аккаунтов. Так же поступают пользователи, когда посещают сайты наших проектов. Соответственно, нам нужно подтвердить, что пользователь именно тот, кто имеет разрешение на те или иные действия. Итак, давайте рассмотрим инструменты, с помощью которых можно авторизовать пользователя на сайте.
Что такое авторизация, чем она отличается от аутентификации или идентификации
Для начала определимся с терминами. Идентификация – это определение, кто перед нами. Как опознание человека на улице. Аутентификация (верификация) — подтверждение, что этот человек — тот, кем он представился или кем мы его считаем. В обычной жизни для этого показывают документы. А авторизация — это подтверждение права на определенные действия, доступ к информации и тому подобное. На сайтах обычно происходит сразу все три процесса, они не разделяются по времени.
Говорят обычно именно об авторизации, ведь при взаимодействиях в сети постоянно речь идет о предоставлении определенных прав — пересмотре содержимого, его редактировании, осуществлении платежей и т.д.
Читайте также: Как узнать CMS сайта: обзор методов анализа
Что такое авторизация и как она работает
Авторизация — это способ защиты. Она определяет права пользователей таким образом, что они будут неодинаковы: кто-то может войти в аккаунт/отправить сообщение/пользоваться устройством, кто-то может редактировать содержимое, а кто-то нет. Для того, чтобы определить, кто имеет ту или иную привилегию, проводится аутентификация — пользователь определяется как имеющий право на определенные действия.
В широком смысле авторизация — это, например, ключ от номера, который дают после поселения в отеле. В интернете это процесс проверки пользователя и предоставления ему определенных прав. Если рассматривать, что такое авторизация с точки зрения процесса, то:
-
система получает запрос на совершение определенных действий;
-
аутентифицирует пользователя как имеющего или не имеющего на них право;
-
удовлетворяет или отклоняет запрос (пропускает в почтовый ящик, рабочий аккаунт, банковское приложение и т.д.).
Какие виды авторизации сейчас используются
Некоторые сервисы позволяют авторизироваться с помощью постороннего верифицированного аккаунта — например, Google, Facebook, Twitter и т.д. Считается, что эти системы достаточно защищены, но аккаунты в них регулярно ломают.
Самый простой вид авторизации пользователя, с которым знакомы все, кто когда-то имел хотя бы электронную почту — логин и пароль. Это привычно, но на этом преимущества такой авторизации заканчиваются. Поскольку:
-
пароли часто теряют;
-
пароль легко взломать или украсть с помощью фишинга и другими способами.
Поэтому, как правило, добавляют двухфакторную авторизацию — например, после ввода правильного пароля на телефон поступает смс или звонок, или нужно ответить на контрольный вопрос.
Кстати, двухэтапная аутентификация для входа в свой аккаунт есть также на сайте Cityhost.ua. Она поможет уберечь ваш хостинг, домены, арендованные VPS и выделенные серверы от проникновения хакеров. Ознакомьтесь с инструкцией по включению двухэтапной аутентификации.
Типы авторизации, которые используют наиболее часто:
-
Авторизация клиента через сторонний сервис (google-аккаунт, аккаунт соцсетей, телефон);
-
Авторизация по почте (на электронную почту поступает письмо с одноразовым паролем;
-
Авторизация через смс;
-
Авторизация по звонку;
-
Создание токена входа (обмен зашифрованными сообщениями).
Такая авторизация требует от пользователя выполнить дополнительное действие, чтобы войти в свой кабинет.
Сервисы и инструменты для авторизации
Простейшие сервисы позволяют идентифицировать и допустить пользователя в систему по письму на электронную почту. Но это явно не подходит, если вы планируете получать через сайт платежи — например, если речь идет об интернет-магазине. Площадки, для которых важна безопасность данных своих пользователей, осуществляют более сложную верификацию с помощью одноразового кода на почту, SMS или звонка, для чего используют специализированные сервисы или инструменты. Разберемся, какие они бывают.
Решения «из коробки» на популярных CMS WordPress и PrestaShop
Движок Wordpress предлагает несколько плагинов, позволяющих включить двухфакторную аутентификацию и авторизацию пользователя:
-
Two-Factor WordPress — бесплатный плагин, присылающий одноразовые коды на электронную почту;
-
Gateway API позволяет рассылать SMS прямо из админки сайта, а также произвольно форматировать эти сообщения, в частности, добавлять имя пользователя и т.п.;
-
Rublon позволяет использовать как смски, так и коды на электронную почту, и другие методы.
Мы писали о защите сайтов на Wordpress, в частности о плагинах безопасности. Некоторые из них тоже позволяют двухфакторную авторизацию.
Модуль Security Pro для движка Prestashop, на котором делают интернет-магазины, также позволяет включать двухфакторную аутентификацию.
Читайте также: CRM-системы — что это такое, зачем нужны и какую выбрать
Сервисы для авторизации с помощью SMS — Kyivstar, Messedo, Decision
Авторизация через сообщение предполагает, что пользователь вводит пароль или входит на сайт другим способом, а затем система посылает ему код с помощью смс. Код вводится в специальное поле на сайте или подставляется автоматически.
Один из крупнейших операторов, предоставляющий такие услуги — Kyivstar. Мобильный оператор предлагает возможность рассылки самых разных сообщений для бизнеса, в том числе и для верификации.
Специализированные сервисы, занимающиеся только SMS-рассылками, предлагают двухфакторную аутентификацию через сообщения на телефон, классической SMS или Viber. Например, Messedo предлагает за сообщение в мессенджер платить меньше копейки, в то время как классическое сообщение будет стоить 58 копеек. Код поступает в сообщении, клиент вводит его на сайт и попадает в свой кабинет.
А вот другой аналогичный сервис, более сдержанный — Decision. Здесь также речь идет о массовых смс-рассылках, например для рекламы, для подтверждения заказов и т.д. И смс для двухфакторной идентификации — одна из услуг. Интегрировав этот протокол на сайт, можно также отправлять смс для подтверждения транзакций.
Сервисы подключаются к сайту с помощью SMS API, протоколов, позволяющих интегрировать смс-рассылку в имеющееся программное обеспечение и делать все быстро.
Плюс таких сервисов по сравнению с плагинами и модулями CMS, позволяющими рассылать смс прямо из админки сайта, в том, что на связи с вами может быть специалист, который быстро все уладит, если что-то пойдет не так.
Сервисы для авторизации по звонку — Zadarma, ITTel, AlphaSMS
Этот способ верификации широко использует, например, ПриватБанк. Способы аутентификации могут быть разными. Где-то нужно ответить на звонок и нажать определенные цифры, где просто принять его, где-то ввести на сайте последние цифры номера, с которого только что совершался звонок.
Авторизация по номеру телефона по звонку имеет два преимущества:
-
звонок приходит быстрее и практически не теряется, в отличие от SMS;
-
звонок дешевле;
-
считается, что звонок труднее перехватить.
Для такой авторизации есть открытый API на известном сервисе Zadarma. Это сервис облачной телефонии. Создав виртуальный номер и интегрировав протокол на свой сайт, можно совершать верификационные звонки с кодом. Вот только нужен работник, сумеющий корректно интегрировать код, или определенное время, чтобы разобраться.
Есть сервисы, предлагающие сделать все за деньги клиента.
Авторизация по звонку в ITTel, например, возможна как с сайта, так и с мобильного приложения, может интегрироваться с CRM и системой лояльности.
А AlphaSMS сразу дадут бесплатный виджет, чтобы не привлекать программистов.
Большинство сервисов предлагают бесплатное тестирование.
Читайте также: Как создать свой сайт для бизнеса: самостоятельно, легко и относительно дешево
Как оформить блок авторизации, чтобы пользователям было комфортно
Главный принцип состоит в том, чтобы быть понятными и не отвлекать пользователя от основной цели. Если вы и так авторизируете клиента, не стоит предлагать ему еще и капчу, угадывание картинок или какие-нибудь другие квесты. По возможности можно даже избегать ввода одновременно и пароля, и кода из смс. Авторизация — это дополнительное действие в процессе, а современные люди всегда спешат и не любят останавливаться.
Чем понятнее поле авторизации, лаконичнее и однозначнее, тем лучше на него реагируют.
В частности, оно должно быть:
-
достаточно большим для информации, которая туда вводится;
-
содержать только одну понятную кнопку, понятный призыв к действию, минимум других деталей;
-
желательно размещенным так, чтобы привлекать внимание. Ничто так не смущает на сайте Харьковских теплосетей, как поиск, где здесь авторизоваться, чтобы передать показатели.
Существует и множество способов сделать введение более приятным и привлекательным:
-
строка, реагирующая на введение;
-
контрастная кнопка, реагирующая на нажатие;
-
лаконичное и понятное сообщение о том, чего ждать после ввода данных (вас направят на сайт, на телефон придет смс, письмо на почту и т.п.);
-
удобное сообщение об ошибке, если клиент допустил ее;
-
автоподстановка кода, если приходит смс.
Вообще, весь процесс авторизации стоит пройти мысленно несколько раз с точки зрения клиента и обратить внимание, на каких этапах вам уже становится немного скучно или сложно, нельзя ли от чего-то отказаться. Тогда баланс между безопасностью и удобством будет таким, как надо — возможно, не идеальным, но идеальных вещей вообще немного.
Сервисы, рассмотренные в этой статье, составляют далеко не исчерпывающий список. Однако плагины, платные сервисы и открытые API действуют по схожим принципам. Следовательно, следует выбирать с точки зрения допустимой для бюджета цены и, возможно, дополнительных опций, которые требуются в конкретной ситуации. Организовать двухфакторную авторизацию с их помощью нетрудно, но она защищает как проект, так и его клиентов.