logo

TechCodeview

Uwierzytelnianie kontra. Autoryzacja | Różnica między uwierzytelnianiem a autoryzacją

Uwierzytelnianie i autoryzacja to dwa słowa używane w świecie bezpieczeństwa. Mogą brzmieć podobnie, ale zupełnie się od siebie różnią. Uwierzytelnianie służy do uwierzytelniania czyjejś tożsamości, natomiast autoryzacja to sposób na udzielenie komuś pozwolenia na dostęp do określonego zasobu. Są to dwa podstawowe terminy dotyczące bezpieczeństwa i dlatego należy je dokładnie zrozumieć. W tym temacie omówimy, czym jest uwierzytelnianie i autoryzacja oraz czym się od siebie różnią.

Uwierzytelnianie kontra. Upoważnienie

Co to jest uwierzytelnianie?

  • Uwierzytelnianie to proces identyfikacji czyjejś tożsamości poprzez upewnienie się, że jest to ta sama osoba, za którą się podaje.
  • Jest używany zarówno przez serwer, jak i klienta. Serwer korzysta z uwierzytelniania, gdy ktoś chce uzyskać dostęp do informacji, a serwer musi wiedzieć, kto uzyskuje dostęp do informacji. Klient używa go, gdy chce wiedzieć, że jest to ten sam serwer, za który się podaje.
  • Uwierzytelnianie przez serwer odbywa się głównie za pomocą metody Nazwa użytkownika i hasło. Inne sposoby uwierzytelniania przez serwer można również wykonać za pomocą karty, skany siatkówki, rozpoznawanie głosu i odciski palców.
  • Uwierzytelnianie nie gwarantuje, jakie zadania w ramach procesu może wykonywać dana osoba, jakie pliki może przeglądać, czytać i aktualizować. Najczęściej identyfikuje, kim właściwie jest dana osoba lub system.

Czynniki uwierzytelniające

W zależności od poziomu bezpieczeństwa i rodzaju aplikacji istnieją różne typy czynników uwierzytelniających:

    Uwierzytelnianie jednoskładnikowe
    Uwierzytelnianie jednoskładnikowe to najprostszy sposób uwierzytelniania. Aby uzyskać dostęp do systemu, wystarczy podać nazwę użytkownika i hasło.Uwierzytelnianie dwuskładnikowe
    Jak sama nazwa wskazuje, jest to zabezpieczenie dwupoziomowe; dlatego do uwierzytelnienia użytkownika potrzebna jest weryfikacja dwuetapowa. Nie wymaga jedynie nazwy użytkownika i hasła, ale także unikalnych informacji, które zna tylko konkretny użytkownik, np jako pierwsza nazwa szkoły, ulubione miejsce docelowe . Oprócz tego może również zweryfikować użytkownika, wysyłając hasło jednorazowe lub unikalny link na numer rejestracyjny użytkownika lub adres e-mail.Uwierzytelnianie wieloskładnikowe
    Jest to najbezpieczniejszy i najbardziej zaawansowany poziom autoryzacji. Wymaga dwóch lub więcej poziomów zabezpieczeń z różnych i niezależnych kategorii. Ten typ uwierzytelniania jest zwykle stosowany w organizacjach finansowych, bankach i organach ścigania. Zapewnia to wyeliminowanie wszelkich osób ujawniających dane od osób trzecich lub hakerów.

Słynne techniki uwierzytelniania

1. Uwierzytelnianie oparte na haśle

Jest to najprostszy sposób uwierzytelnienia. Wymaga hasła dla określonej nazwy użytkownika. Jeśli hasło jest zgodne z nazwą użytkownika i oba dane są zgodne z bazą danych systemu, użytkownik zostanie pomyślnie uwierzytelniony.

2. Uwierzytelnianie bez hasła

W tej technice użytkownik nie potrzebuje żadnego hasła; zamiast tego otrzymuje OTP (hasło jednorazowe) lub link na zarejestrowany numer telefonu komórkowego lub numer telefonu. Można również powiedzieć, że uwierzytelnianie oparte na OTP.

3. 2FA/MSZ

Wyższy poziom uwierzytelniania to uwierzytelnianie 2FA/MFA lub uwierzytelnianie dwuskładnikowe/uwierzytelnianie wieloskładnikowe. Wymaga dodatkowego PIN-u lub pytań zabezpieczających, aby móc uwierzytelnić użytkownika.

4. Pojedyncze logowanie

Pojedyncze logowanie Lub Jednokrotne logowanie to sposób na umożliwienie dostępu do wielu aplikacji za pomocą jednego zestawu danych uwierzytelniających. Pozwala użytkownikowi zalogować się raz, a następnie zostanie automatycznie zalogowany do wszystkich innych aplikacji internetowych z tego samego centralnego katalogu.

5. Uwierzytelnianie społecznościowe

Uwierzytelnianie społecznościowe nie wymaga dodatkowych zabezpieczeń; zamiast tego weryfikuje użytkownika przy użyciu istniejących poświadczeń dla dostępnej sieci społecznościowej.

Co to jest autoryzacja?

  • Autoryzacja to proces zezwalania komuś na zrobienie czegoś. Oznacza to, że jest to sposób na sprawdzenie, czy użytkownik ma uprawnienia do korzystania z zasobu, czy nie.
  • Określa, do jakich danych i informacji może uzyskać dostęp jeden użytkownik. Mówi się również jako AuthZ.
  • Autoryzacja zwykle współpracuje z uwierzytelnianiem, dzięki czemu system może wiedzieć, kto uzyskuje dostęp do informacji.
  • Aby uzyskać dostęp do informacji dostępnych w Internecie, nie zawsze wymagana jest autoryzacja. Dostęp do niektórych danych dostępnych w Internecie można uzyskać bez autoryzacji, np. można przeczytać o dowolnej technologii Tutaj .

Techniki autoryzacji

    Kontrola dostępu oparta na rolach
    RBAC, czyli technika kontroli dostępu oparta na rolach, jest przyznawana użytkownikom zgodnie z ich rolą lub profilem w organizacji. Można go wdrożyć w systemie system-system lub użytkownik-system.Token sieciowy JSON
    Token sieciowy JSON lub JWT to otwarty standard służący do bezpiecznego przesyłania danych pomiędzy stronami w postaci obiektu JSON. Użytkownicy są weryfikowani i autoryzowani przy użyciu pary kluczy prywatny/publiczny.SAML
    SAML oznacza Język znaczników asercji zabezpieczeń. Jest to otwarty standard zapewniający dostawcom usług dane uwierzytelniające. Poświadczenia te są wymieniane za pośrednictwem podpisanych cyfrowo dokumentów XML.Autoryzacja OpenID
    Pomaga klientom weryfikować tożsamość użytkowników końcowych na podstawie uwierzytelnienia.OAuth
    OAuth to protokół autoryzacji, który umożliwia interfejsowi API uwierzytelnianie i uzyskiwanie dostępu do żądanych zasobów.

Tabela różnic między uwierzytelnianiem a autoryzacją

Uwierzytelnianie kontra. Upoważnienie
Uwierzytelnianie Upoważnienie
Uwierzytelnianie to proces identyfikacji użytkownika w celu zapewnienia dostępu do systemu. Autoryzacja to proces udzielania pozwolenia na dostęp do zasobów.
W tym przypadku weryfikowany jest użytkownik lub klient i serwer. W tym przypadku sprawdza się, czy użytkownik jest dozwolony zgodnie z określonymi zasadami i regułami.
Zwykle przeprowadza się ją przed autoryzacją. Zwykle odbywa się to po pomyślnym uwierzytelnieniu użytkownika.
Wymaga podania danych logowania użytkownika, takich jak nazwa użytkownika i hasło itp. Wymaga uprawnień użytkownika lub poziomu zabezpieczeń.
Dane są dostarczane poprzez Token Id. Dane przekazywane są poprzez tokeny dostępowe.
Przykład: Podanie danych logowania jest konieczne, aby pracownicy mogli się uwierzytelnić i uzyskać dostęp do firmowych e-maili lub oprogramowania. Przykład: Po pomyślnym uwierzytelnieniu pracownicy mogą uzyskiwać dostęp do niektórych funkcji i pracować nad nimi tylko zgodnie ze swoimi rolami i profilami.
Dane uwierzytelniające mogą zostać częściowo zmienione przez użytkownika zgodnie z wymaganiami. Uprawnienia autoryzacyjne nie mogą być zmieniane przez użytkownika. Uprawnienia nadawane są użytkownikowi przez właściciela/zarządcę systemem i może on jedynie je zmieniać.

Wniosek

Zgodnie z powyższą dyskusją możemy powiedzieć, że uwierzytelnianie weryfikuje tożsamość użytkownika, a autoryzacja weryfikuje dostęp i uprawnienia użytkownika. Jeśli użytkownik nie może potwierdzić swojej tożsamości, nie może uzyskać dostępu do systemu. A jeśli zostaniesz uwierzytelniony poprzez potwierdzenie prawidłowej tożsamości, ale nie jesteś upoważniony do wykonywania określonej funkcji, nie będziesz mieć do niej dostępu. Jednak obie metody zabezpieczeń są często używane razem.