Różnica między uwierzytelnianiem a autoryzacją
Share
Oba terminy są często używane w połączeniu ze sobą pod względem bezpieczeństwa, szczególnie jeśli chodzi o uzyskanie dostępu do systemu. Oba są bardzo ważnymi tematami często kojarzonymi z Internetem jako kluczowymi elementami infrastruktury usługowej. Jednak oba terminy są bardzo różne i mają zupełnie różne koncepcje. Chociaż prawdą jest, że są one często używane w tym samym kontekście za pomocą tego samego narzędzia, są one całkowicie odmienne od siebie.
Uwierzytelnianie oznacza potwierdzenie własnej tożsamości, podczas gdy uwierzytelnienie oznacza udzielenie dostępu do systemu. Mówiąc najprościej, uwierzytelnianie to proces weryfikacji tego, kim jesteś, podczas gdy autoryzacja to proces weryfikacji tego, do czego masz dostęp.
Poświadczenie
Uwierzytelnianie polega na sprawdzeniu poprawności poświadczeń, takich jak nazwa użytkownika / identyfikator użytkownika i hasło, w celu zweryfikowania tożsamości. System określa, czy używasz swoich danych uwierzytelniających. W sieci publicznej i prywatnej system uwierzytelnia tożsamość użytkownika za pomocą haseł logowania. Uwierzytelnianie odbywa się zwykle za pomocą nazwy użytkownika i hasła, a czasem w połączeniu z czynnikami uwierzytelnienia, które odnoszą się do różnych sposobów uwierzytelnienia.
Czynniki uwierzytelniające określają różne elementy, których system używa do weryfikacji tożsamości przed udzieleniem mu dostępu do czegokolwiek, od dostępu do pliku do żądania transakcji bankowej. Tożsamość użytkownika można określić na podstawie tego, co wie, co ma lub czym jest. Jeśli chodzi o bezpieczeństwo, co najmniej dwa lub wszystkie trzy czynniki uwierzytelnienia muszą zostać zweryfikowane, aby umożliwić komuś dostęp do systemu.
W zależności od poziomu bezpieczeństwa współczynnik uwierzytelnienia może różnić się od jednego z następujących:
- Pojedynczy czynnik Poświadczenie - Jest to najprostsza metoda uwierzytelniania, która zwykle polega na prostym haśle zapewniającym użytkownikom dostęp do określonego systemu, takiego jak strona internetowa lub sieć. Osoba może poprosić o dostęp do systemu przy użyciu tylko jednego poświadczenia, aby zweryfikować swoją tożsamość. Najczęstszym przykładem uwierzytelniania jednoskładnikowego są poświadczenia logowania, które wymagają jedynie hasła do nazwy użytkownika.
- Uwierzytelnianie dwuskładnikowe - Jak sama nazwa wskazuje, jest to dwuetapowy proces weryfikacji, który wymaga nie tylko nazwy użytkownika i hasła, ale także czegoś, co zna tylko użytkownik, w celu zapewnienia dodatkowego poziomu bezpieczeństwa, takiego jak PIN bankomatu, który zna tylko użytkownik. Używanie nazwy użytkownika i hasła wraz z dodatkową poufną informacją praktycznie uniemożliwia oszustom kradzież cennych danych.
- Uwierzytelnianie wieloskładnikowe - Jest to najbardziej zaawansowana metoda uwierzytelniania, która wykorzystuje dwa lub więcej poziomów bezpieczeństwa z niezależnych kategorii uwierzytelniania, aby zapewnić użytkownikom dostęp do systemu. Wszystkie czynniki powinny być od siebie niezależne, aby wyeliminować wszelkie podatności w systemie. Organizacje finansowe, banki i organy ścigania używają uwierzytelniania wieloskładnikowego w celu ochrony swoich danych i aplikacji przed potencjalnymi zagrożeniami.
Na przykład po wprowadzeniu karty bankomatu do bankomatu urządzenie poprosi o wprowadzenie kodu PIN. Po prawidłowym wprowadzeniu numeru PIN bank potwierdza Twoją tożsamość, że karta naprawdę należy do Ciebie i jesteś prawowitym właścicielem karty. Sprawdzając kod PIN karty bankomatowej, bank faktycznie weryfikuje twoją tożsamość, która nazywa się uwierzytelnieniem. Określa jedynie, kim jesteś, nic więcej.
Upoważnienie
Z drugiej strony autoryzacja następuje po pomyślnym uwierzytelnieniu tożsamości przez system, co ostatecznie daje pełne uprawnienia dostępu do zasobów, takich jak informacje, pliki, bazy danych, fundusze, lokalizacje, prawie wszystko. Upraszczając, autoryzacja określa twoją zdolność dostępu do systemu i do jakiego stopnia. Po zweryfikowaniu tożsamości przez system po udanym uwierzytelnieniu użytkownik jest upoważniony do uzyskania dostępu do zasobów systemu.
Autoryzacja to proces określania, czy uwierzytelniony użytkownik ma dostęp do określonych zasobów. Weryfikuje twoje prawa do przyznania ci dostępu do zasobów, takich jak informacje, bazy danych, pliki itp. Autoryzacja zwykle następuje po uwierzytelnieniu, co potwierdza twoje uprawnienia do wykonania. Mówiąc najprościej, to tak, jakby dać komuś oficjalne pozwolenie na zrobienie czegoś lub czegoś.
Na przykład proces weryfikacji i potwierdzania identyfikatora pracowników i haseł w organizacji nazywa się uwierzytelnianiem, ale określenie, który pracownik ma dostęp do którego piętra, nazywa się autoryzacją. Powiedzmy, że podróżujesz i masz zamiar wsiąść do samolotu. Po okazaniu biletu i dowodu tożsamości przed odprawą otrzymujesz kartę pokładową, która potwierdza, że władze lotniska uwierzytelniły twoją tożsamość. Ale to nie wszystko. Stewardesa musi upoważnić Cię do wejścia na lot, na który lecisz, umożliwiając ci dostęp do wnętrza samolotu i jego zasobów.
Dostęp do systemu jest chroniony zarówno przez uwierzytelnianie, jak i autoryzację. Każda próba uzyskania dostępu do systemu może zostać uwierzytelniona przez wprowadzenie prawidłowych poświadczeń, ale można ją zaakceptować dopiero po pomyślnej autoryzacji. Jeśli próba zostanie uwierzytelniona, ale nie autoryzowana, system odmówi dostępu do systemu.
| Poświadczenie | Upoważnienie |
| Uwierzytelnianie potwierdza Twoją tożsamość w celu udzielenia dostępu do systemu. | Autoryzacja określa, czy masz uprawnienia dostępu do zasobów. |
| Jest to proces sprawdzania poświadczeń użytkownika w celu uzyskania dostępu do niego. | Jest to proces sprawdzania, czy dostęp jest dozwolony, czy nie. |
| Określa, czy użytkownik jest tym, za kogo się podaje. | Określa, do czego użytkownik może uzyskać dostęp. |
| Uwierzytelnianie zwykle wymaga nazwy użytkownika i hasła. | Czynniki uwierzytelnienia wymagane do autoryzacji mogą się różnić w zależności od poziomu bezpieczeństwa. |
| Uwierzytelnianie jest pierwszym krokiem autoryzacji, więc zawsze jest najważniejsze. | Autoryzacja odbywa się po udanym uwierzytelnieniu. |
| Na przykład studenci określonego uniwersytetu muszą się uwierzytelnić przed uzyskaniem dostępu do linku studenckiego na oficjalnej stronie uczelni. To się nazywa uwierzytelnianie. | Na przykład autoryzacja określa dokładnie, jakie informacje studenci są upoważnieni do dostępu na stronie internetowej uniwersytetu po udanym uwierzytelnieniu. |
streszczenie
Chociaż oba terminy są często używane w połączeniu ze sobą, mają one zupełnie inne pojęcia i znaczenia. Chociaż obie te koncepcje mają kluczowe znaczenie dla infrastruktury usług sieciowych, zwłaszcza jeśli chodzi o zapewnienie dostępu do systemu, kluczem jest zrozumienie każdego terminu w odniesieniu do bezpieczeństwa. Podczas gdy większość z nas myli jeden termin z drugim, zrozumienie kluczowej różnicy między nimi jest ważne, co w rzeczywistości jest bardzo proste. Jeśli uwierzytelnianie jest tym, kim jesteś, możesz uzyskać dostęp i zmodyfikować autoryzację. Mówiąc prościej, uwierzytelnianie określa, czy ktoś jest tym, za kogo się podaje. Z kolei autoryzacja określa jego prawa dostępu do zasobów.
