Dzisiaj omówię dwa tematy, które większość ludzi ma tendencję do mylenia. Oba terminy są często używane w połączeniu ze sobą, jeśli chodzi o bezpieczeństwo i uzyskanie dostępu do systemu. Oba terminy bardzo kluczowe tematy, które są często związane z sieci jako kluczowe elementy jego infrastruktury usług. Jednak oba te terminy są całkiem różne z zupełnie innych koncepcji. Teraz zastanawiasz się, co te terminy są, dobrze, że są one znane jako uwierzytelniania i autoryzacji. Uwierzytelnienie oznacza potwierdzenie własnej tożsamości, podczas gdy autoryzacja oznacza zezwolenie na dostęp do systemu. W jeszcze prostszych słowach, uwierzytelnianie jest procesem weryfikacji siebie, podczas gdy autoryzacja jest procesem weryfikacji tego, do czego masz dostęp.
Uwierzytelnianie
Uwierzytelnianie polega na walidacji twoich danych uwierzytelniających, takich jak nazwa użytkownika/identyfikator użytkownika i hasło, aby zweryfikować twoją tożsamość. System następnie sprawdza, czy jesteś tym, co mówisz, że jesteś za pomocą swoich poświadczeń. Zarówno w sieciach publicznych jak i prywatnych, system uwierzytelnia tożsamość użytkownika poprzez hasła logowania. Zazwyczaj uwierzytelnianie odbywa się za pomocą nazwy użytkownika i hasła, chociaż istnieją inne różne sposoby uwierzytelniania.
Czynniki uwierzytelniające określają wiele różnych elementów, które system wykorzystuje do weryfikacji tożsamości użytkownika przed przyznaniem mu dostępu do czegokolwiek. Tożsamość osoby może być określona przez to, co ta osoba wie, a jeśli chodzi o bezpieczeństwo, przynajmniej dwa lub wszystkie trzy czynniki uwierzytelniające muszą być zweryfikowane, aby przyznać komuś uprawnienia do systemu. W zależności od poziomu bezpieczeństwa, czynniki uwierzytelniające mogą się różnić od jednego z następujących:
- Uwierzytelnianie jednoczynnikowe: Jest to najprostsza forma metody uwierzytelniania, która wymaga hasła, aby przyznać użytkownikowi dostęp do określonego systemu, takiego jak strona internetowa lub sieć. Osoba może zażądać dostępu do systemu przy użyciu tylko jednego z poświadczeń w celu weryfikacji tożsamości. Na przykład, tylko wymaganie hasła przeciwko nazwie użytkownika byłoby sposobem weryfikacji poświadczenia logowania przy użyciu uwierzytelniania jednoczynnikowego.
- Uwierzytelnianie dwuczynnikowe: To uwierzytelnianie wymaga dwuetapowego procesu weryfikacji, który nie tylko wymaga nazwy użytkownika i hasła, ale także informacji, które zna tylko użytkownik. Używanie nazwy użytkownika i hasła wraz z poufnymi informacjami sprawia, że jest to o wiele trudniejsze dla hakerów do kradzieży cennych i osobistych danych.
- Uwierzytelnianie wieloczynnikowe: Jest to najbardziej zaawansowana metoda uwierzytelniania, która wymaga dwóch lub więcej poziomów bezpieczeństwa z niezależnych kategorii uwierzytelniania, aby przyznać użytkownikowi dostęp do systemu. Ta forma uwierzytelniania wykorzystuje czynniki, które są niezależne od siebie w celu wyeliminowania ekspozycji danych. Powszechnie organizacje finansowe, banki i organy ścigania stosują uwierzytelnianie wieloczynnikowe.
Autoryzacja
Autoryzacja następuje po pomyślnym uwierzytelnieniu tożsamości użytkownika przez system, co daje mu pełny dostęp do zasobów, takich jak informacje, pliki, bazy danych, fundusze itp. Jednak autoryzacja weryfikuje Twoje uprawnienia, aby przyznać Ci dostęp do zasobów dopiero po określeniu Twojej zdolności do uzyskania dostępu do systemu i w jakim zakresie. Innymi słowy, autoryzacja jest procesem mającym na celu określenie, czy uwierzytelniony użytkownik ma dostęp do poszczególnych zasobów. Dobrym przykładem tego jest, po zweryfikowaniu i potwierdzeniu ID pracownika i hasła poprzez uwierzytelnienie, następnym krokiem byłoby określenie, który pracownik ma dostęp do którego piętra, a to odbywa się poprzez autoryzację.
Dostęp do systemu jest chroniony przez uwierzytelnianie i autoryzację, i są one często używane w połączeniu ze sobą. Chociaż oba mają różne koncepcje za to, są one krytyczne dla infrastruktury usług internetowych, zwłaszcza jeśli chodzi o przyznanie dostępu do systemu. Zrozumienie każdego z tych pojęć jest bardzo ważne i stanowi kluczowy aspekt bezpieczeństwa.
- OAuth 2 In Action by Justin Richer and Antonio Sanso
.