I dag vil jeg diskutere to emner, som de fleste mennesker har en tendens til at forveksle. Begge begreber bruges ofte i forbindelse med hinanden, når det drejer sig om sikkerhed og om at få adgang til systemet. Begge udtryk meget centrale emner, der ofte er forbundet med internettet som centrale dele af dets serviceinfrastruktur. Begge begreber er imidlertid ret forskellige med helt forskellige begreber. Nu undrer du dig over, hvad disse udtryk er, ja de er kendt som autentificering og autorisation. Autentifikation betyder, at man bekræfter sin egen identitet, mens autorisation betyder, at man får lov til at få adgang til systemet. I endnu mere enkle vendinger er autentifikation processen med at bekræfte sig selv, mens autorisation er processen med at bekræfte, hvad du har adgang til.
Autentifikation
Autentifikation handler om at validere dine legitimationsoplysninger såsom brugernavn/bruger-ID og adgangskode for at bekræfte din identitet. Systemet kontrollerer derefter, om du er den, du siger, du er, ved hjælp af dine legitimationsoplysninger. Uanset om der er tale om offentlige eller private netværk, autentificerer systemet brugeridentiteten ved hjælp af login-passwords. Normalt sker autentificering ved hjælp af brugernavn og adgangskode, selv om der findes andre forskellige måder at blive autentificeret på.
Autentificeringsfaktorer bestemmer de mange forskellige elementer, som systemet bruger til at verificere ens identitet, før den enkelte får adgang til noget. En persons identitet kan bestemmes ud fra, hvad personen ved, og når det drejer sig om sikkerhed, skal mindst to eller alle tre autentifikationsfaktorer verificeres for at give nogen adgang til systemet. Baseret på sikkerhedsniveauet kan autentifikationsfaktorerne variere fra en af følgende:
- Single Factor Authentication (enkeltfaktor-autentifikation): Dette er den enkleste form for autentifikationsmetode, som kræver en adgangskode for at give brugeren adgang til et bestemt system, f.eks. et websted eller et netværk. Personen kan anmode om adgang til systemet ved hjælp af kun én af de legitimationsoplysninger, der skal verificere ens identitet. Hvis man f.eks. kun kræver en adgangskode i forhold til et brugernavn, er det en måde at verificere et login-oplysninger på ved hjælp af enkeltfaktor-autentifikation.
- To-faktor-autentifikation: Denne autentificering kræver en verifikationsproces i to trin, som ikke kun kræver et brugernavn og en adgangskode, men også en oplysning, som kun brugeren kender. Ved at bruge et brugernavn og en adgangskode sammen med en fortrolig oplysning bliver det meget sværere for hackere at stjæle værdifulde og personlige data.
- Multi-faktor-autentifikation: Dette er den mest avancerede metode til autentificering, som kræver to eller flere sikkerhedsniveauer fra uafhængige kategorier af autentificering for at give brugeren adgang til systemet. Denne form for autentificering anvender faktorer, der er uafhængige af hinanden, for at eliminere enhver eksponering af data. Det er almindeligt for finansielle organisationer, banker og retshåndhævende myndigheder at anvende autentificering med flere faktorer.
Autorisering
Autorisering sker, efter at din identitet er blevet godkendt af systemet, hvilket derfor giver dig fuld adgang til ressourcer som f.eks. oplysninger, filer, databaser, midler osv. Autorisation verificerer dog først dine rettigheder for at give dig adgang til ressourcerne efter at have fastslået din evne til at få adgang til systemet og op til hvilket omfang. Autorisation er med andre ord den proces, der afgør, om den autentificerede bruger har adgang til de pågældende ressourcer. Et godt eksempel på dette er, at når man først har verificeret og bekræftet medarbejder-id og kodeord gennem autentificering, vil det næste skridt være at bestemme, hvilken medarbejder der har adgang til hvilken etage, og det sker gennem autorisation.
Access til et system er beskyttet af autentificering og autorisation, og de bruges ofte i forbindelse med hinanden. Selv om de begge har forskellige koncepter bag sig, er de afgørende for webserviceinfrastrukturen, især når det drejer sig om at få adgang til et system. Det er meget vigtigt at forstå hvert enkelt begreb og et centralt aspekt af sikkerhed.
- OAuth 2 In Action by Justin Richer and Antonio Sanso
