Аутентификация с обратной связью
Аутентификация с обратной связью (англ. closed-loop authentication) — механизм, при котором одна сторона проверяет заявленную идентичность другой стороны, требуя предоставить копию токена, отправленного на каноническую или доверенную точку контакта этой идентичности. Применительно к коммуникациям в компьютерных сетях. Иногда этот термин также используется для обозначения системы взаимной аутентификации, при которой две стороны подтверждают друг другу свои полномочия путём подписания и обмена криптографически подписанными одноразовыми числами, каждая из сторон демонстрирует, что контролирует соответствующий Секретный ключ, применяемый для подтверждения своей идентичности.
Аутентификация по электронной почте
Аутентификация с обратной связью по электронной почте полезна в простых ситуациях, когда одна сторона хочет продемонстрировать другой контроль над своим адресом электронной почты как слабую форму подтверждения личности. Эта методика не является надёжной формой аутентификации против атак на уровне хоста или сети, например, если злоумышленник может перехватить почту другого пользователя, получив тем самым доступ к одноразовому числу и выдавая себя за настоящего адресата.
Обычной областью применения аутентификации с обратной связью по email является восстановление доступа к учётной записи при использовании совместно используемого секрета, например, аккаунт на сайте, защищённый паролем. Вместо отправки пароля на email, современные сайты отправляют одноразовую, ограниченную по времени ссылку или токен для сброса пароля на заранее зарегистрированный адрес, позволяя пользователю самостоятельно задать новый пароль[1]. В прошлом некоторые системы отправляли существующие или сгенерированные пароли по электронной почте, однако такой подход признан небезопасным, поскольку сервисы не должны хранить восстанавливаемые пароли[2].
Одна из проблем такого подхода связана с тем, что неопытные пользователи могут кликнуть по ссылке в полученном письме, не проверяя её безопасность. Поэтому большинство сайтов позволяет сбросить забытый пароль только через заранее зарегистрированный адрес и не отправляет существующие пароли или возможность задать новый пароль пользователю, не владеющему текущим паролем[1]. Руководства по безопасности также указывают, что email не следует считать аутентификатором вне основного канала, поскольку он не доказывает наличие у пользователя конкретного устройства[3].
В некоторых случаях на сайтах аутентификация с обратной связью применяется перед предоставлением пользователю доступа к функциям, недоступным анонимам. Это бывает оправдано, если отношения между пользователем и сайтом имеют долгосрочное значение, что оправдывает большее количество шагов и потенциальное снижение надёжности процесса регистрации. Данный метод также используется для усложнения автоматической регистрации (ботами) и предотвращения рассылки спама или других злоупотреблений.
Аутентификация с обратной связью, как и другие виды, направлена на подтверждение личности. Однако она не исключает Анонимность, если применяется вместе с системой псевдонимов, в которой аутентифицированная сторона обладает достаточной уверенностью в участниках.