Różnica między uwierzytelnianiem a autoryzacją
- 4941
- 1395
- Patrycy Ziółkowski
Oba terminy są często używane w połączeniu ze sobą pod względem bezpieczeństwa, szczególnie jeśli chodzi o uzyskanie dostępu do systemu. Oba są bardzo kluczowymi tematami często kojarzonymi z siecią jako kluczowymi elementami infrastruktury serwisowej. Jednak oba terminy są bardzo różne z zupełnie innymi koncepcjami. Chociaż prawdą jest, że są one często używane w tym samym kontekście z tym samym narzędziem, są one całkowicie odmienne od siebie.
Uwierzytelnianie oznacza potwierdzenie własnej tożsamości, a autoryzacja oznacza przyznanie dostępu do systemu. Mówiąc prosto, uwierzytelnianie jest procesem weryfikacji tego, kim jesteś, podczas gdy autoryzacja jest procesem weryfikacji tego, do czego masz dostęp.
Uwierzytelnianie
Uwierzytelnianie polega na sprawdzaniu poprawności poświadczeń, takich jak nazwa użytkownika/identyfikator użytkownika i hasło, aby zweryfikować twoją tożsamość. System określa, czy jesteś tym, co mówisz, używasz poświadczeń. W sieci publicznych i prywatnych system uwierzytelnia tożsamość użytkownika za pomocą haseł logowania. Uwierzytelnianie jest zwykle wykonywane przez nazwę użytkownika i hasło, a czasem w połączeniu z czynnikami uwierzytelniania, które odnosi się do różnych sposobów uwierzytelnienia.
Czynniki uwierzytelniania określają różne elementy użyte przez system do weryfikacji tożsamości przed przyznaniem mu dostępu do wszystkiego, od dostępu do pliku po żądanie transakcji bankowej. Tożsamość użytkownika można ustalić na podstawie tego, co on wie, czym on ma lub kim on jest. Jeśli chodzi o bezpieczeństwo, należy zweryfikować co najmniej dwa lub wszystkie trzy czynniki uwierzytelnienia, aby zapewnić komuś dostęp do systemu.
Na podstawie poziomu bezpieczeństwa współczynnik uwierzytelnienia może się różnić od następujących:
- Jednoskładnik Uwierzytelnianie - Jest to najprostsza metoda uwierzytelniania, która zwykle opiera się na prostym hasło do przyznania dostępu użytkownika do określonego systemu, takiego jak strona internetowa lub sieć. Osoba może poprosić o dostęp do systemu za pomocą tylko jednego z poświadczeń w celu zweryfikowania swojej tożsamości. Najczęstszym przykładem uwierzytelnienia jednoskładnikowego byłyby poświadczenia logowania, które wymagają tylko hasła do nazwy użytkownika.
- Uwierzytelnianie dwuskładnikowe - Jak sama nazwa wskazuje, jest to dwuetapowy proces weryfikacji, który nie tylko wymaga nazwy użytkownika i hasła, ale także czegoś, co wie tylko użytkownik, aby zapewnić dodatkowy poziom bezpieczeństwa, taki jak szpilka bankomat. Używanie nazwy użytkownika i hasła wraz z dodatkowym elementem poufnych informacji sprawia, że oszustwo jest praktycznie niemożliwe do kradzieży cennych danych.
- Uwierzytelnianie wieloskładnikowe - Jest to najbardziej zaawansowana metoda uwierzytelniania, która wykorzystuje dwa lub więcej poziomów bezpieczeństwa z niezależnych kategorii uwierzytelniania, aby zapewnić dostęp użytkownika do systemu. Wszystkie czynniki powinny być od siebie niezależne, aby wyeliminować każdą podatność w systemie. Organizacje finansowe, banki i organy ścigania wykorzystują uwierzytelnianie wielu czynników do ochrony swoich danych i aplikacji przed potencjalnymi zagrożeniami.
Na przykład po wprowadzeniu karty bankomatowej na bankomat komputer prosi o wprowadzenie pinki. Po prawidłowym wprowadzeniu PIN bank potwierdza, że karta naprawdę należy do Ciebie i jesteś prawowitym właścicielem karty. Poprzez sprawdzanie PIN karty bankomatowej bank faktycznie weryfikuje twoją tożsamość, która nazywa się uwierzytelnianiem. To jedynie identyfikuje to, kim jesteś, nic więcej.
Upoważnienie
Z drugiej strony autoryzacja występuje po z powodzeniem uwierzytelnionym przez system, co ostatecznie daje pełną zgodę dostępu do zasobów, takich jak informacje, pliki, bazy danych, fundusze, lokalizacje, prawie wszystko. Mówiąc prosto, autoryzacja określa zdolność dostępu do systemu i do jakiego stopnia. Po zweryfikowaniu systemu po pomyślnym uwierzytelnianiu, jesteś następnie upoważniony do dostępu do zasobów systemu.
Autoryzacja to proces ustalenia, czy uwierzytelniony użytkownik ma dostęp do konkretnych zasobów. Weryfikuje twoje prawa do przyznania dostępu do zasobów, takich jak informacje, bazy danych, pliki itp. Autoryzacja zwykle następuje po uwierzytelnianiu, które potwierdza twoje przywileje do wykonywania. Mówiąc prosto, to jak udzielenie komuś oficjalnej zgody na zrobienie czegoś lub cokolwiek.
Na przykład proces weryfikacji i potwierdzenia identyfikatora pracowników i haseł w organizacji nazywa się uwierzytelnianiem, ale ustalenie, który pracownik ma dostęp, do którego piętro nazywa się autoryzacją. Powiedzmy, że podróżujesz i masz zamiar wsiąść do lotu. Kiedy pokazasz bilet i pewną identyfikację przed zameldowaniem, otrzymasz przepustkę pokładową, która potwierdza, że organ lotniska uwierzył twoją tożsamość. Ale to nie to. Stewardesa musi upoważnić cię do pokładu lotu, na którym powinieneś latać, umożliwiając dostęp do wnętrza samolotu i jego zasobów.
Dostęp do systemu jest chroniony zarówno przez uwierzytelnianie, jak i autoryzację. Każda próba uzyskania dostępu do systemu może zostać uwierzytelniona poprzez wprowadzenie ważnych poświadczeń, ale można ją zaakceptować dopiero po pomyślnej autoryzacji. Jeśli próba zostanie uwierzytelniona, ale nie autoryzowana, system odmówi dostępu do systemu.
Uwierzytelnianie | Upoważnienie |
Uwierzytelnianie potwierdza twoją tożsamość, aby zapewnić dostęp do systemu. | Autoryzacja określa, czy jesteś upoważniony do dostępu do zasobów. |
Jest to proces sprawdzania poprawności poświadczeń użytkownika, aby uzyskać dostęp do użytkownika. | Jest to proces weryfikacji, czy dostęp jest dozwolony, czy nie. |
Określa, czy użytkownik jest tym, co twierdzi, że jest. | Określa, jaki użytkownik może i nie może uzyskać dostępu. |
Uwierzytelnianie zwykle wymaga nazwy użytkownika i hasła. | Czynniki uwierzytelnienia wymagane do autoryzacji mogą się różnić, w zależności od poziomu bezpieczeństwa. |
Uwierzytelnianie jest pierwszym krokiem autoryzacji, więc zawsze jest na pierwszym miejscu. | Autoryzacja odbywa się po pomyślnym uwierzytelnianiu. |
Na przykład studenci konkretnego uniwersytetu są zobowiązani do uwierzytelnienia się przed uzyskaniem dostępu do linku studenckiego oficjalnej strony internetowej uniwersytetu. Nazywa się to uwierzytelnianiem. | Na przykład autoryzacja określa dokładnie, jakie informacje są upoważnieni do dostępu na stronie internetowej uniwersytetu po pomyślnym uwierzytelnianiu. |
Streszczenie
Chociaż oba terminy są często używane w połączeniu ze sobą, mają zupełnie inne pojęcia i znaczenia. Podczas gdy obie koncepcje mają kluczowe znaczenie dla infrastruktury usług internetowych, szczególnie jeśli chodzi o dostęp do systemu, zrozumienie każdego terminu w odniesieniu do bezpieczeństwa jest kluczowym. Podczas gdy większość z nas myli jeden semestr z drugim, zrozumienie kluczowej różnicy między nimi jest ważne, co w rzeczywistości jest bardzo proste. Jeśli uwierzytelnianie jest tym, kim jesteś, autoryzacja jest tym, co możesz uzyskać i zmodyfikować. Mówiąc prosto, uwierzytelnianie ustala, czy ktoś jest tym, kim twierdzi, że jest. Z drugiej strony autoryzacja określa jego prawa do dostępu do zasobów.