Heute werde ich zwei Themen besprechen, die von den meisten Menschen gerne verwechselt werden. Beide Begriffe werden oft in Verbindung miteinander verwendet, wenn es um Sicherheit und Zugang zum System geht. Bei beiden Begriffen handelt es sich um sehr wichtige Themen, die oft mit dem Web als Kernstück seiner Service-Infrastruktur in Verbindung gebracht werden. Allerdings handelt es sich bei beiden Begriffen um völlig unterschiedliche Konzepte. Sie fragen sich jetzt, was diese Begriffe sind, nun, sie sind bekannt als Authentifizierung und Autorisierung. Authentifizierung bedeutet die Bestätigung der eigenen Identität, während Autorisierung bedeutet, dass man Zugang zum System erhält. Noch einfacher ausgedrückt bedeutet Authentifizierung, dass man sich selbst verifiziert, während Autorisierung bedeutet, dass man überprüft, worauf man Zugriff hat.
Authentifizierung
Bei der Authentifizierung geht es darum, Ihre Anmeldedaten wie Benutzername/Benutzerkennung und Kennwort zu überprüfen, um Ihre Identität zu bestätigen. Das System prüft dann, ob Sie der sind, für den Sie sich ausgeben, indem es Ihre Anmeldedaten verwendet. Ob in öffentlichen oder privaten Netzen, das System authentifiziert die Benutzeridentität durch Anmeldekennwörter. Normalerweise erfolgt die Authentifizierung durch einen Benutzernamen und ein Kennwort, obwohl es auch andere Möglichkeiten der Authentifizierung gibt.
Authentifizierungsfaktoren bestimmen die vielen verschiedenen Elemente, die das System verwendet, um die Identität einer Person zu überprüfen, bevor es der Person Zugang zu irgendetwas gewährt. Die Identität einer Person kann durch das, was die Person weiß, bestimmt werden, und wenn es um Sicherheit geht, müssen mindestens zwei oder alle drei Authentifizierungsfaktoren überprüft werden, um jemandem Zugang zum System zu gewähren. Je nach Sicherheitsstufe können die Authentifizierungsfaktoren wie folgt aussehen:
- Einzelfaktor-Authentifizierung: Dies ist die einfachste Form der Authentifizierungsmethode, bei der ein Kennwort erforderlich ist, um dem Benutzer Zugang zu einem bestimmten System wie einer Website oder einem Netzwerk zu gewähren. Die Person kann den Zugriff auf das System beantragen, indem sie nur einen der Berechtigungsnachweise zur Überprüfung ihrer Identität verwendet. Wenn beispielsweise nur ein Kennwort für einen Benutzernamen erforderlich ist, wäre dies eine Möglichkeit, einen Anmeldedatenschlüssel mit der Ein-Faktor-Authentifizierung zu verifizieren.
- Zwei-Faktor-Authentifizierung: Diese Authentifizierung erfordert einen zweistufigen Verifizierungsprozess, der nicht nur einen Benutzernamen und ein Passwort erfordert, sondern auch eine Information, die nur der Benutzer kennt. Die Verwendung eines Benutzernamens und eines Kennworts zusammen mit einer vertraulichen Information erschwert es Hackern, wertvolle und persönliche Daten zu stehlen.
- Multi-Faktor-Authentifizierung: Dies ist die fortschrittlichste Methode der Authentifizierung, die zwei oder mehr Sicherheitsstufen aus unabhängigen Authentifizierungskategorien erfordert, um dem Benutzer Zugang zum System zu gewähren. Bei dieser Form der Authentifizierung kommen voneinander unabhängige Faktoren zum Einsatz, um eine Gefährdung von Daten auszuschließen. Finanzinstitute, Banken und Strafverfolgungsbehörden verwenden in der Regel die Mehrfaktor-Authentifizierung.
Autorisierung
Die Autorisierung erfolgt, nachdem Ihre Identität erfolgreich vom System authentifiziert wurde, wodurch Sie vollen Zugriff auf Ressourcen wie Informationen, Dateien, Datenbanken, Geldmittel usw. erhalten. Die Autorisierung überprüft jedoch Ihre Rechte, um Ihnen den Zugang zu den Ressourcen erst dann zu gewähren, wenn festgestellt wurde, dass Sie in der Lage sind, auf das System zuzugreifen und bis zu welchem Grad. Mit anderen Worten: Die Autorisierung ist der Prozess, mit dem festgestellt wird, ob der authentifizierte Benutzer Zugang zu bestimmten Ressourcen hat. Ein gutes Beispiel hierfür ist, dass nach der Überprüfung und Bestätigung der Mitarbeiter-ID und der Passwörter durch die Authentifizierung im nächsten Schritt festgestellt wird, welcher Mitarbeiter Zugang zu welchem Stockwerk hat, und das geschieht durch die Autorisierung.
Der Zugang zu einem System wird durch Authentifizierung und Autorisierung geschützt, und sie werden häufig in Verbindung miteinander verwendet. Obwohl sich hinter beiden unterschiedliche Konzepte verbergen, sind sie für die Web-Service-Infrastruktur von entscheidender Bedeutung, insbesondere wenn es darum geht, Zugang zu einem System zu erhalten. Beide Begriffe zu verstehen ist sehr wichtig und ein Schlüsselaspekt der Sicherheit.
- OAuth 2 In Action von Justin Richer und Antonio Sanso
