Для чего нужен пароль в программе

Содержание

Статья для дизайнеров интерфейсов, которые желают понять то, как работают процессы регистрации, авторизации, восстановления пароля, применяемые в различных системах. Если вы разработчик/дизайнер, и нашли ошибку/неточность — то дайте мне знать (я с радостью доработаю статью).

Начало

Сегодня я хотел бы рассказать о том, как проходит аутентификация в приложениях самых различных платформ — начиная от мобильных приложений, заканчивая консольными утилитами.

Аутентификация — это процесс, при котором пользователь подтверждает подлинность своей личности в какой-либо системе. Система предоставляет личные данные только своему владельцу.

Механизм аутентификации на базовом уровне довольно прост — вам нужно ввести данные в виде логина и пароля. Проверить данные на совпадение, и если данные совпали между собой — то вы являетесь подлинным обладателем учётной записи.

Храни пароли ПРАВИЛЬНО

Учётная запись — это хранимый в системе набор данных о пользователе. К учётной записи как правило имеет доступ лишь один пользователь — её владелец.

В кино, когда шпиона просят назвать кодовую фразу для подтверждения своей личности — то по факту осуществляется процесс аутентификации пользователя. Если кодовая фраза (пароль) верный — то шпиону доверяют и предоставляют закрытые от остальных данные. (Утрированно)

Процессы аутентификации

Так как наши данные при регистрации в каком либо сервисе хранятся в базе данных — то к процессу аутентификации применяются базовые принципы работы с базами данных (далее БД) — это чтение, запись, обновление и удаление данных. При этом, во время каждого из действий с БД проверяется возможность совершения этих действий пользователем.

Регистрация (CREATE) — создание в системе вашей личной учётной записи
Авторизация (READ) — получение доступа к вашей личной учётной записи
Восстановление доступа к учётной записи (UPDATE) — если вы на пример забыли пароль — то его можно сменить, подтвердив свою личность.
Удаление (DELETE) — удаление вашей учётной записи из системы

Варианты фиксирования уникального имени пользователя (логин)

Есть несколько возможных способов проверки подлинности при предоставлении доступа к данным учётной записи в какой-либо системе. Логином могут выступать следующие пункты:

При аутентификации в сервисе А через сторонние сервисы Б — вам не нужно проходить процесс подтверждения личности в сервисе Б, а лишь нужно подтвердить свою личность в сервисе А. (На пример зайти в учётную запись Google, и при помощи её зайти в учётную запись Figma). Могут использоваться проверки в виде сообщения на почту со ссылкой для подтверждения регистрации/авторизации.

Варианты подтверждения логина (пароль)

Логин — это ещё не полный доступ к учётной записи, ему всегда сопутствует секретный ключ (пароль), который работает только в связке Логин-Пароль (или что-то из списка ниже).

Пароль (password9379992*)
SMS код (9379992SMS)
Код в электронном сообщении (9379992MAIL)
PIN код (9379992)
Ключи доступа / Токены (как пример ssh key)
Сканеры внешности (лицо, отпечаток пальца)

Токен — это уникальный (как правило длинный) набор символов для доступа к учётной записи, который может храниться на устройстве (телефон, компьютер, флешка, чип карта). Токен обычно не вводят вручную в поле ввода пароля, а предоставляют системе целый файл с токеном, для проверки подлинности.

Необходимость интернет соединения при различных видах аутентификации

Не все виды аутентификации пользователя требуют интернет соединения для проверки соответствия логина и пароля пользователя. На пример: вы можете без подключения к интернету разблокировать свой телефон, компьютер, сейф с кодовым замком или открыть дверь в подъезд.

Соединение нужно для тех типов аутентификации, в которых личные данные пользователей хранятся на удалённом сервере. Это как доступ к банковской ячейке, открыть которую вы можете только придя в банк, подтвердив свою личность и в присутствии охраны.

Комбинации ввода логина и пароля

Описанные выше варианты логинов и паролей могут комбинироваться между собой для проверки подлинности пользователя. На пример:

Номер телефона

Уникальное имя

Код в Email сообщении

В таблице каждая колонка — это варианты логина, а строки — это доступные варианты паролей.

Механизм проверки соответствия логина и пароля

Процесс проверки соответствия логина и пароля проходит в несколько этапов.

Вводим логин
Вводим пароль
Отправляем данные на проверку
Система получает данные, которые ввёл пользователь, ищет в своей базе данных пользователя, проверяет соответствие логина и пароля.
Система отправляет результат проверки пользователю.
Получаем результат проверки

Для всех способов аутентификации процесс проверки соответствия одинаковый.

Двухфакторная аутентификация

В некоторых случаях может потребоваться дополнительная мера защиты учётных данных пользователя, и именно для этого вводится механизм двух факторной аутентификации — это когда пользователю необходимо подтвердить подлинность своей личности двумя разными способами. Примером может служить — ввод Email + Пароль, а затем номера телефона и СМС кода.

Упрощённая схема двух факторной аутентификации

На первом этапе мы вводим логин и пароль, отправляем их системе на проверку — как в обычной аутентификации. Система проверяет логин и пароль, и отправляет ответ (результат проверки) пользователю. Ответ может быть как положительным, так и отрицательным. Если ответ положительный — то пользователь переходит ко второму этапу.

В это время ему должно прийти сообщение с кодом подтверждения в виде символов или же ссылки. После ввода кода подтверждения пользователь снова отправляет данные системе на проверку. Если ответ положительный — то пользователь получает доступ к своим данным. Если ответ отрицательный — то пользователь получает возможность повторить попытку ввода, либо процесс аутентификации начинается сначала.

Ошибки аутентификации

Во время проверки логина и пароля могут возникнуть ситуации, когда аутентификация не пройдена и пользователь не получил доступ к своим личным данным.

Логин введён неверно
Пароль введён неверно
Нет соединения с сервером
Ошибка проверки данных сервером
Превышен лимит ошибочных попыток аутентификации
Пользователь ввёл верно свои денные, но он не зарегистрирован
Учётная запись пользователя заблокирована администратором

Лимиты ошибочных попыток аутентификации вводятся для усиления безопасности личных данных пользователей. После превышения лимита обычно предлагается восстановить пароль, либо повторить аутентификацию позже. В системах с повышенным уровнем контроля за безопасностью данных пользователя принимаются меры блокировки учётной записи до момента подтверждения личности пользователя (на пример в банковских картах).

Процесс восстановления пароля

В случаях, когда пользователь забыл свой пароль — он может его восстановить при помощи системы восстановления доступа. Для этого пользователю нужно пройти несколько шагов.

Ввести логин
Подтвердить свою личность (на пример пройти по ссылке в электронном письме от сервиса восстановления пароля или ввести код из СМС)
Ввести новый пароль
Повторить ввод нового пароля
Сохранить новый пароль

После прохождения данных этапов пользователь для входа в систему может использовать свой логин и новый пароль.

В системах с повышенным контролем за безопасностью данных пользователей используется более сложный механизм подтверждения личности пользователя для смены пароля. Примером может служить приход пользователя в банк, чтобы восстановить пин-код к своей карте или личному кабинету в системе банка.

Стоит заметить, что некоторые сервисы не поддерживают восстановление пароля — например кошельки криптовалют. С одной стороны это позволяет обезопасить данные пользователя, с другой это даёт пользователю шанс навсегда потерять доступ к своим данным в системе.

Упрощённое объяснение термина «сессия»

Сессия — это механизм сохранения состояния авторизации пользователя в системе на заданный срок. Сессий одного пользователя может быть много. Примером может служить сессии в социальных сетях — когда вы можете зайти в свой аккаунт социальной сети с нескольких устройств одновременно, без необходимости выходить из учётной записи на другом устройстве.

Для того что бы различать входы с различных устройств — каждой сессии присваивается свой уникальный для каждой авторизации номер (Токен), который хранится в Cookies. Это нужно для того, что бы при выходе (закрытии сессии) с одного из устройств вы не выходили из своей учёной записи во всех остальных устройствах.

Cookies

Наверное вы часто слышали термин Cookies — это маленький фрагмент данных, которые система (сервер) хранит у пользователя. Каждый раз, когда пользователь открывает сайт — серверу отправляются данные Cookies, которые сервер сохранил у пользователя на устройстве. В нашей теме аутентификации — этим небольшим фрагментом будет уникальный номер сессии (Токен) пользователя, если он (пользователь) уже авторизован.

Вы можете проектировать свои интерфейсы как с сохранением сессий пользователей, так и без сохранения.

Заключение

В данной статье мы рассмотрели базовые принципы работы аутентификации в различных системах. Вся эта статья нацелена для того, чтобы помочь дизайнерам интерфейсов понять то — как работает процесс аутентификации, для чего он нужен, каких видов он бывает и что происходит на большинстве этапов во время авторизации, регистрации, восстановления пароля пользователем.

Надеюсь вам было полезно, и хоть немного интересно.

Интерфейсы
Дизайн мобильных приложений
Графический дизайн
Дизайн

Источник: habr.com

Как поставить пароль на приложения – способы их блокировки на Андроиде

Приложения играют важную роль в работе любого смартфона. Они представляют собой незаменимый инструмент для решения разных задач – от общения и развлечений до работы и финансовых операций. Разумеется, столь важный компонент устройства должен находиться под надежной защитой. Поэтому нужно знать, как поставить пароль на приложение на операционной системе Андроид. Тем более что в этом нет ничего сложного.

Для чего нужен пароль на приложение?

screenshot_1

Смартфон давно перестал быть исключительно средством связи. Сегодня мобильное устройство является незаменимым компаньоном для решения разных задач. Внутри гаджета находится огромное количество информации, доступ к которой со стороны третьих лиц может привести к серьезным последствиям.

Поэтому все производители рекомендуют устанавливать пароль или отпечаток пальца на экран блокировки. Увы, этого метода защиты оказывается недостаточно. Если злоумышленник получит доступ к разблокированному экрану (например, если вы забудете поставить его на блокировку), он сможет ознакомиться со всей информацией, хранящейся на устройства. Кроме того, владельцы смартфонов нередко передают свои гаджеты другим людям. И, если вы не хотите, чтобы кто-то увидел личные фотографии или, например, смог прочитать переписку, нужно обязательно поставить пароль на приложения.

На заметку. Приложения банков по умолчанию располагают хорошей защитой, предлагая пользователю при первом запуске установить код доступа или отпечаток пальца. То есть в случае с подобным софтом дополнительные действия, описанные в материале, выполнять не обязательно.

screenshot_2

Установка пароля без программ

screenshot_2

Необходимость запароливания программ прекрасно понимают производители смартфонов. Однако компания Google, во власти которой находится операционная система Андроид, до сих пор не предложила ни одного варианта установки пароля. В этой ситуации может показаться, что без дополнительных программ установить пароль не получится. Но здесь стоит оговориться: многие производители устанавливают поверх Android собственную оболочку, которая предусматривает возможность запароливания. Ниже рассмотрим варианты защиты для устройств самых популярных марок.

На телефоны Xiaomi

Откройте настройки телефона.
Перейдите в раздел «Приложения», а затем – «Защита приложений».
Отметьте галочками программы, которые нужно защитить.
Установите метод защиты, будь то пароль или графический ключ.
Сохраните изменения.

screenshot_3

Помимо запароливания оболочка MIUI предлагает пользователям привязать защиту программ к Mi-аккаунту. И, если вам кажется, что это лишнее и совершенно не обязательное действие, то сильно ошибаетесь. Если вы забудете пароль или, например, графический ключ, то восстановить доступ к программе удастся только через Mi-аккаунт. Поэтому не поленитесь и создайте учетную запись во избежание проблем с восстановлением доступа.

Meizu

Смартфоны Meizu, за работу которых отвечает оболочка Flyme, в последнее время стали намного менее востребованными из-за отсутствия обновлений. Однако разработчики заранее создали средство установки паролей на любой софт, имеющийся на устройстве. Защита работает по следующему принципу:

Откройте настройки «Мейзу».

screenshot_4

Перейдите в раздел «Отпечатки и безопасность», а затем – «Защита приложений».

screenshot_5

Активируйте ползунок напротив пункта «Защита приложений».
Ниже отметьте программы, которые нужно запаролить.

screenshot_6

Придумайте пароль и сохраните новые настройки.

screenshot_7

В отличие от Xiaomi, Meizu не предлагает дополнительных средств восстановления доступа. Поэтому к созданию пароля нужно отнестись очень внимательно, записав код доступа на внешний носитель. В противном случае придется выполнять сброс смартфона до заводских настроек, чтобы пользоваться устройством в полной мере.

Huawei

Смартфоны китайского гиганта Huawei базируются на оболочке EMUI, в настройках которой есть пункт, позволяющий установить ПИН-код на любую программу:

Откройте настройки смартфона.

screenshot_8

Перейдите в раздел «Безопасность и конфиденциальность», а затем – «Блокировка приложений».

screenshot_9

Создайте пароль и отметьте программы, которые нужно защитить.

screenshot_10

Далее остается сохранить настройки, чтобы запуск выбранных программ сопровождался требованием ввести PIN-код или пароль. При желании вы сможете выбрать в качестве защиты отпечаток пальца или графический ключ.

Honor

Honor – это суббренд корпорации Huawei, о чем, к сожалению, знают далеко не все владельцы данных устройств. В нашей ситуации важно отметить это сходство, так как блокировка приложений на Honor осуществляется точно так же, как и на Huawei. Поэтому просто воспользуйтесь инструкцией, представленной в предыдущем пункте материала, чтобы поставить на замок весь установленный софт.

Samsung

Защита на смартфонах «Самсунг» реализована иначе. Южнокорейский производитель не дает возможность установки пароля на отдельные программы. Однако вы можете создать защищенную папку, чтобы в дальнейшем поместить в нее все необходимые приложения:

Откройте настройки Samsung.
Перейдите в раздел «Биометрия и безопасность», а затем – «Защищенная папка».
Авторизуйтесь в учетной записи Samsung или войдите через Google-аккаунт.
Задайте защиту папки. Это может быть рисунок, PIN-код или пароль.
Нажмите на кнопку «Добавить приложения» и выберите все программы, которые хотите защитить.

screenshot_11

Защищенная папка отобразится на главном экране в виде отдельной иконки. Тапнув по ней, вы будете должны ввести пароль. После этого перед вами откроются все защищенные приложения, для запуска которых никакой код доступа уже не потребуется.

Стороннее ПО

Как вы понимаете, возможность установки пароля на приложения доступна далеко не на каждом смартфоне. И, если вы не нашли соответствующую опцию в настройках своего устройства, то сможете осуществить задуманное при помощи специализированного софта, благо операционная система Android открыта к любым изменениям. Ниже рассмотрим лучшие программы, которые помогут защитить ваши приложения.

Smart Applock

Удобная программа, выполняющая сразу несколько полезных функций. В их числе удаление ненужных файлов, оптимизация телефона и экономия батареи. Нас же будет интересовать блокировка приложений, для которой понадобится:

Установить Smart Applock, используя Play Market.
Запустить программу.
Нажать на кнопку «Включить».

screenshot_12

Отметить приложения, которые нужно заблокировать.
Еще раз нажать на кнопку «Включить» и придумать графический ключ.
Сохранить настройки.

screenshot_13

Обращаем ваше внимание, что при первом запуске Smart Applock потребуется выдать утилите несколько разрешений. Это необходимо для получения доступа к другим приложениям. В противном случае они не будут защищены ни паролем, ни графическим ключом.

App Lock

Менее функциональная, но оттого не менее полезная программа, позволяющая установить пароль на приложения. Принцип действия здесь следующий:

Устанавливаем AppLock любым удобным способом (например, через Play Market).

screenshot_14

Запускаем прогу.

screenshot_15

Придумываем PIN-код.
Переходим во вкладку «Приложения» и нажимаем на кнопку «+».

screenshot_16

Добавляем нужные программы, передвигая ползунок напротив каждой в правую сторону.
Сохраняем изменения.

Как и предыдущая прога, AppLock тоже имеет ряд нюансов. Так, для стабильной защиты требуется разрешить AppLock отправлять уведомления. Сделать это можно в настройках приложений.

Vault

Очередная программа, работающая схожим образом. Чтобы блокировать приложения, понадобится:

Запустить Vault.
Придумать PIN.
При желании оформить платную подписку, но можно обойтись и без нее.
Перейти в раздел «Блокировка приложений».
Поставить галочки напротив нужных программ.
Нажать на кнопку «Заблокировать».

Теперь весь софт будет под надежной защитой. А платная версия Vault, кстати, поможет сделать блокировку незаметной. При запуске приложений будет появляться сообщение об ошибке, а для получения доступа понадобится в течение нескольких секунд задержать палец на кнопке «ОК».

screenshot_17

Tasker

Завершает подборку платное приложение. Оно стоит 319 рублей, а также доступно для бесплатного скачивания обладателям подписки Play Pass. Прога является продвинутым средством защиты, позволяющим помимо прочего следить удаленно за своим смартфоном. Чтобы сделать пароль, понадобится:

Запустить Tasker.
Пройти регистрацию.
Открыть раздел «Приложения».
Выбрать программы и придумать пароль.
Сохранить настройки.