Autenticació i autorització són les dues paraules que s'utilitzen en el món de la seguretat. Poden sonar semblants però són completament diferents entre si. L'autenticació s'utilitza per autenticar la identitat d'algú, mentre que l'autorització és una manera de donar permís a algú per accedir a un recurs concret. Aquests són els dos termes bàsics de seguretat i, per tant, s'han d'entendre a fons. En aquest tema, parlarem de què són l'autenticació i l'autorització i com es diferencien entre elles.
Què és l'autenticació?
- L'autenticació és el procés d'identificar la identitat d'una persona assegurant que la persona és la mateixa que el que reclama.
- S'utilitza tant pel servidor com pel client. El servidor utilitza l'autenticació quan algú vol accedir a la informació i el servidor necessita saber qui accedeix a la informació. El client l'utilitza quan vol saber que és el mateix servidor que diu ser.
- L'autenticació per part del servidor es fa principalment mitjançant l'ús de nom d'usuari i contrasenya. També es poden fer utilitzant altres maneres d'autenticació per part del servidor targetes, exploracions de retina, reconeixement de veu i empremtes dactilars.
- L'autenticació no garanteix quines tasques d'un procés pot fer una persona, quins fitxers pot veure, llegir o actualitzar. Principalment identifica qui és realment la persona o el sistema.
Factors d'autenticació
Segons els nivells de seguretat i el tipus d'aplicació, hi ha diferents tipus de factors d'autenticació:
L'autenticació d'un sol factor és la forma més senzilla d'autenticar-se. Només necessita un nom d'usuari i una contrasenya per permetre a un usuari accedir a un sistema.
Segons el nom, es tracta de dos nivells de seguretat; per tant, necessita una verificació en dos passos per autenticar un usuari. No requereix només un nom d'usuari i una contrasenya, sinó que també necessita la informació única que només coneix l'usuari en particular, com ara com a primer nom de l'escola, una destinació preferida . A banda d'això, també pot verificar l'usuari enviant l'OTP o un enllaç únic al número de registre o a l'adreça de correu electrònic de l'usuari.
Aquest és el nivell d'autorització més segur i avançat. Requereix dos o més de dos nivells de seguretat de categories diferents i independents. Aquest tipus d'autenticació s'acostuma a utilitzar en organitzacions financeres, bancs i agències d'aplicació de la llei. Això garanteix eliminar qualsevol exposador de dades de tercers o pirates informàtics.
Tècniques d'autenticació famoses
1. Autenticació basada en contrasenya
És la forma més senzilla d'autenticar-se. Requereix la contrasenya per al nom d'usuari concret. Si la contrasenya coincideix amb el nom d'usuari i tots dos detalls coincideixen amb la base de dades del sistema, l'usuari s'autenticarà correctament.
quants anys té Kylie Jenner
2. Autenticació sense contrasenya
En aquesta tècnica, l'usuari no necessita cap contrasenya; en canvi, obté una OTP (contrasenya única) o un enllaç al seu número de mòbil o número de telèfon registrat. També es pot dir autenticació basada en OTP.
3. 2FA/MFA
java hola món
2FA/MFA o autenticació de 2 factors/autenticació multifactor és el nivell d'autenticació més alt. Requereix un PIN addicional o preguntes de seguretat perquè pugui autenticar l'usuari.
4. Inici de sessió únic
Inici de sessió únic o SSO és una manera d'habilitar l'accés a diverses aplicacions amb un sol conjunt de credencials. Permet que l'usuari iniciï sessió una vegada i s'iniciarà automàticament a totes les altres aplicacions web des del mateix directori centralitzat.
5. Autenticació social
java string replaceall
L'autenticació social no requereix seguretat addicional; en canvi, verifica l'usuari amb les credencials existents per a la xarxa social disponible.
Què és l'autorització?
- L'autorització és el procés per atorgar a algú per fer alguna cosa. Significa que és una manera de comprovar si l'usuari té permís per utilitzar un recurs o no.
- Defineix a quines dades i informació pot accedir un usuari. També es diu com a AuthZ.
- L'autorització acostuma a funcionar amb autenticació perquè el sistema pugui saber qui està accedint a la informació.
- No sempre és necessària l'autorització per accedir a la informació disponible a Internet. Es pot accedir a algunes dades disponibles a Internet sense cap autorització, com ara podeu llegir sobre qualsevol tecnologia aquí .
Tècniques d'autorització
RBAC o tècnica de control d'accés basat en rols s'ofereix als usuaris segons el seu rol o perfil a l'organització. Es pot implementar per a sistema-sistema o d'usuari a sistema.
El testimoni web JSON o JWT és un estàndard obert que s'utilitza per transmetre de manera segura les dades entre les parts en forma d'objecte JSON. Els usuaris estan verificats i autoritzats mitjançant el parell de claus pública/privada.
SAML significa Llenguatge de marcat d'assercions de seguretat. És un estàndard obert que proporciona credencials d'autorització als proveïdors de serveis. Aquestes credencials s'intercanvien mitjançant documents XML signats digitalment.
Ajuda als clients a verificar la identitat dels usuaris finals sobre la base de l'autenticació.
OAuth és un protocol d'autorització, que permet a l'API autenticar i accedir als recursos sol·licitats.
Gràfic de diferències entre autenticació i autorització
| Autenticació | Autorització |
|---|---|
| L'autenticació és el procés d'identificar un usuari per proporcionar accés a un sistema. | L'autorització és el procés de donar permís per accedir als recursos. |
| En això, es verifica l'usuari o client i el servidor. | En això, es verifica que si l'usuari està permès mitjançant les polítiques i regles definides. |
| Normalment es realitza abans de l'autorització. | Normalment es fa un cop l'usuari s'ha autenticat correctament. |
| Requereix les dades d'inici de sessió de l'usuari, com ara el nom d'usuari i la contrasenya, etc. | Requereix el privilegi o el nivell de seguretat de l'usuari. |
| Les dades es proporcionen mitjançant els identificadors de testimoni. | Les dades es proporcionen mitjançant els testimonis d'accés. |
| Exemple: És necessari introduir les dades d'inici de sessió perquè els empleats s'autentiquin per accedir als correus electrònics o al programari de l'organització. | Exemple: Després que els empleats s'autentiquin amb èxit, només poden accedir i treballar en determinades funcions segons els seus rols i perfils. |
| L'usuari pot canviar parcialment les credencials d'autenticació segons el requisit. | L'usuari no pot canviar els permisos d'autorització. Els permisos els dóna a un usuari el propietari/gestor del sistema, i només el pot canviar. |
Conclusió
Segons la discussió anterior, podem dir que l'autenticació verifica la identitat de l'usuari i l'autorització verifica l'accés i els permisos de l'usuari. Si l'usuari no pot demostrar la seva identitat, no pot accedir al sistema. I si esteu autenticat demostrant la identitat correcta, però no esteu autoritzat per dur a terme una funció específica, no hi podreu accedir. Tanmateix, sovint s'utilitzen tots dos mètodes de seguretat junts.