Autentificare și autorizare sunt cele două cuvinte folosite în lumea securității. S-ar putea să sune asemănător, dar sunt complet diferite unul de celălalt. Autentificarea este folosită pentru a autentifica identitatea cuiva, în timp ce autorizarea este o modalitate de a oferi permisiunea cuiva de a accesa o anumită resursă. Aceștia sunt cei doi termeni de securitate de bază și, prin urmare, trebuie înțeleși în detaliu. În acest subiect, vom discuta ce sunt autentificarea și autorizarea și cum sunt diferențiate unele de altele.
Ce este autentificarea?
- Autentificarea este procesul de identificare a identității cuiva prin asigurarea faptului că persoana este aceeași cu ceea ce pretinde.
- Este folosit atât de server, cât și de client. Serverul folosește autentificarea atunci când cineva dorește să acceseze informațiile, iar serverul trebuie să știe cine accesează informațiile. Clientul îl folosește atunci când vrea să știe că este același server pe care pretinde că este.
- Autentificarea de către server se face în principal prin utilizarea nume de utilizator și parolă. Se pot face și alte moduri de autentificare de către server carduri, scanări retinei, recunoaștere vocală și amprente.
- Autentificarea nu asigură ce sarcini într-un proces poate face o persoană, ce fișiere poate vizualiza, citi sau actualiza. În mare parte, identifică cine este de fapt persoana sau sistemul.
Factori de autentificare
În funcție de nivelurile de securitate și tipul de aplicație, există diferite tipuri de factori de autentificare:
Autentificarea cu un singur factor este cea mai simplă modalitate de autentificare. Are nevoie doar de un nume de utilizator și o parolă pentru a permite unui utilizator să acceseze un sistem.
Conform numelui, este de securitate pe două niveluri; prin urmare, are nevoie de verificare în doi pași pentru a autentifica un utilizator. Nu necesită doar un nume de utilizator și o parolă, ci are nevoie și de informații unice pe care le cunoaște doar un anumit utilizator, cum ar fi ca prim nume de școală, o destinație preferată . În afară de aceasta, poate verifica și utilizatorul prin trimiterea OTP-ului sau a unui link unic pe numărul sau adresa de e-mail înregistrată a utilizatorului.
Acesta este cel mai sigur și mai avansat nivel de autorizare. Necesită două sau mai mult de două niveluri de securitate din categorii diferite și independente. Acest tip de autentificare este utilizat de obicei în organizațiile financiare, bănci și agențiile de aplicare a legii. Acest lucru asigură eliminarea oricărui exposer de date de la terți sau hackeri.
Tehnici celebre de autentificare
1. Autentificare bazată pe parolă
Este cel mai simplu mod de autentificare. Este nevoie de parola pentru numele de utilizator anume. Dacă parola se potrivește cu numele de utilizator și ambele detalii se potrivesc cu baza de date a sistemului, utilizatorul va fi autentificat cu succes.
2. Autentificare fără parolă
În această tehnică, utilizatorul nu are nevoie de nicio parolă; în schimb, primește un OTP (parolă unică) sau un link pe numărul său de telefon mobil sau numărul de telefon înregistrat. Se poate spune și autentificare bazată pe OTP.
3. 2FA/MFA
2FA/MFA sau autentificarea cu 2 factori/Autentificarea cu mai mulți factori este nivelul superior de autentificare. Necesită PIN suplimentar sau întrebări de securitate pentru a putea autentifica utilizatorul.
4. Conectare unică
O singură logare sau SSO este o modalitate de a permite accesul la mai multe aplicații cu un singur set de acreditări. Permite utilizatorului să se conecteze o singură dată și va fi conectat automat la toate celelalte aplicații web din același director centralizat.
5. Autentificare socială
Autentificarea socială nu necesită securitate suplimentară; în schimb, verifică utilizatorul cu acreditările existente pentru rețeaua socială disponibilă.
Ce este Autorizarea?
- Autorizarea este procesul prin care se acordă cuiva să facă ceva. Înseamnă că este o modalitate de a verifica dacă utilizatorul are permisiunea de a folosi o resursă sau nu.
- Acesta definește ce date și informații poate accesa un utilizator. Se mai spune și ca AuthZ.
- Autorizarea funcționează de obicei cu autentificare, astfel încât sistemul să știe cine accesează informațiile.
- Autorizarea nu este întotdeauna necesară pentru a accesa informațiile disponibile pe internet. Unele date disponibile pe internet pot fi accesate fără nicio autorizație, cum ar fi puteți citi despre orice tehnologie de la Aici .
Tehnici de autorizare
RBAC sau tehnica de control al accesului bazată pe roluri este oferită utilizatorilor în funcție de rolul sau profilul lor în organizație. Poate fi implementat pentru sistem-sistem sau de la utilizator la sistem.
JSON web token sau JWT este un standard deschis utilizat pentru a transmite în siguranță datele între părți sub forma obiectului JSON. Utilizatorii sunt verificați și autorizați folosind perechea de chei private/publice.
SAML înseamnă Limbajul de marcare a afirmațiilor de securitate. Este un standard deschis care oferă acreditări de autorizare furnizorilor de servicii. Aceste acreditări sunt schimbate prin documente XML semnate digital.
Ajută clienții să verifice identitatea utilizatorilor finali pe baza autentificării.
OAuth este un protocol de autorizare, care permite API-ului să se autentifice și să acceseze resursele solicitate.
Diagrama diferențelor dintre autentificare și autorizare
| Autentificare | Autorizare |
|---|---|
| Autentificarea este procesul de identificare a unui utilizator pentru a oferi acces la un sistem. | Autorizarea este procesul de acordare a permisiunii de acces la resurse. |
| În aceasta, utilizatorul sau clientul și serverul sunt verificate. | În aceasta, se verifică dacă utilizatorului i se permite prin politicile și regulile definite. |
| Se efectuează de obicei înainte de autorizare. | De obicei, se face odată ce utilizatorul este autentificat cu succes. |
| Necesită detaliile de conectare ale utilizatorului, cum ar fi numele de utilizator și parola etc. | Este nevoie de privilegiul utilizatorului sau nivelul de securitate. |
| Datele sunt furnizate prin ID-urile Token. | Datele sunt furnizate prin jetoanele de acces. |
| Exemplu: Introducerea detaliilor de autentificare este necesară pentru ca angajații să se autentifice pentru a accesa e-mailurile organizaționale sau software-ul. | Exemplu: După ce angajații se autentifică cu succes, pot accesa și pot lucra la anumite funcții numai conform rolurilor și profilurilor lor. |
| Acreditările de autentificare pot fi modificate parțial de către utilizator, conform cerințelor. | Permisiunile de autorizare nu pot fi modificate de către utilizator. Permisiunile sunt acordate unui utilizator de către proprietarul/administratorul sistemului, iar acesta poate doar să le modifice. |
Concluzie
Conform discuției de mai sus, putem spune că Autentificarea verifică identitatea utilizatorului, iar Autorizarea verifică accesul și permisiunile utilizatorului. Dacă utilizatorul nu își poate dovedi identitatea, nu poate accesa sistemul. Și dacă sunteți autentificat prin demonstrarea identității corecte, dar nu sunteți autorizat să îndepliniți o anumită funcție, nu veți putea accesa aceasta. Cu toate acestea, ambele metode de securitate sunt adesea folosite împreună.