Autenticació i autorització

Avui discutiré dos temes que la majoria de la gent sol confondre. Ambdós termes s’utilitzen sovint conjuntament entre ells quan es tracta de seguretat i d’accedir al sistema. Tots dos termes temes molt clau que sovint s’associen a la web com a peces clau de la seva infraestructura de servei. Tot i això, tots dos termes són força diferents amb conceptes completament diferents. Ara us preguntareu quins són aquests termes, ja que es coneixen com autenticació i autorització. L’autenticació significa confirmar la vostra pròpia identitat, mentre que l’autorització significa que es pot accedir al sistema. En termes encara més simples, l’autenticació és el procés de verificació d’un mateix, mentre que l’autorització és el procés de verificació a què teniu accés.

Autenticació

L’autenticació consisteix en validar les vostres credencials com ara Nom d’usuari / Identificador d’usuari i contrasenya per verificar la vostra identitat. Aleshores, el sistema comprova si sou allò que dius que utilitzeu les vostres credencials. Ja sigui en xarxes públiques o privades, el sistema autentica la identitat de l’usuari mitjançant contrasenyes d’inici de sessió. Normalment l’autenticació es fa amb un nom d’usuari i una contrasenya, tot i que hi ha altres maneres d’autentificar-se.

Els factors d’autenticació determinen els diferents elements que el sistema utilitza per verificar la identitat d’un abans d’atorgar accés a qualsevol cosa a qualsevol cosa. La identitat d'una persona es pot determinar segons el que la persona sap i, quan es tracta de seguretat, s'han de verificar almenys dos o tots els tres factors d'autenticació per tal de concedir algú permís al sistema. Segons els nivells de seguretat, els factors d’autenticació poden variar d’un dels següents:

  • Autenticació d'un factor únic: és la forma més simple de mètode d'autenticació que requereix una contrasenya per a concedir accés a l'usuari a un sistema determinat com un lloc web o una xarxa. La persona pot sol·licitar l'accés al sistema utilitzant només una de les credencials per verificar-ne la identitat. Per exemple, només requerir una contrasenya contra un nom d’usuari seria una manera de verificar una credencial d’inici de sessió mitjançant l’autenticació d’un factor únic.
  • Autenticació de dos factors: aquesta autenticació requereix un procés de verificació en dos passos que no només requereix un nom d’usuari i una contrasenya, sinó també una informació que només coneix l’usuari. L’ús d’un nom d’usuari i una contrasenya juntament amb una informació confidencial fa que sigui molt més difícil per als pirates informàtics robar dades personals i valuoses.
  • Autenticació multi-factor: és el mètode d’autenticació més avançat que requereix dos o més nivells de seguretat de les categories independents d’autenticació per concedir l’accés dels usuaris al sistema. Aquesta forma d'autenticació utilitza factors independents els uns dels altres per eliminar qualsevol exposició de dades. És freqüent que les organitzacions financeres, els bancs i les agències policials utilitzin autenticació de múltiples factors.

Autorització

L’autorització es produeix després que la vostra identitat s’hagi autenticat amb èxit pel sistema, la qual cosa us proporciona un accés complet a recursos com ara informació, fitxers, bases de dades, fons, etc. Tot i això, l’autorització verifica els vostres drets per concedir-vos accés als recursos només després de determinar la vostra capacitat d’accés. el sistema i fins a quin punt És a dir, l’autorització és el procés per determinar si l’usuari autenticat té accés als recursos concrets. Un bon exemple d’això és que, un cop verificades i confirmades les identificacions i les contrasenyes dels empleats mitjançant l’autenticació, el següent pas seria determinar quin empleat té accés al pis i que es fa mitjançant l’autorització.

L’accés a un sistema està protegit per autenticació i autorització i s’utilitzen sovint conjuntament entre ells. Tot i que ambdós tenen conceptes diferents al darrere, són crítics per a la infraestructura del servei web, especialment quan es tracta de rebre accés a un sistema. Comprendre cada terme és molt important i un aspecte clau de la seguretat.

Recursos recomanats per DDI

  • OAuth 2 In Action de Justin Richer i Antonio Sanso