Πιστοποίηση ταυτότητας έναντι εξουσιοδότησης

Σήμερα πρόκειται να συζητήσω δύο θέματα που οι περισσότεροι άνθρωποι τείνουν να συγχέουν. Και οι δύο όροι χρησιμοποιούνται συχνά σε συνδυασμό μεταξύ τους όσον αφορά την ασφάλεια και την πρόσβαση στο σύστημα. Και οι δύο όροι είναι πολύ βασικά θέματα που συχνά συνδέονται με τον ιστό ως βασικά κομμάτια της υποδομής υπηρεσιών του. Ωστόσο, και οι δύο αυτοί όροι είναι εντελώς διαφορετικοί με εντελώς διαφορετικές έννοιες. Τώρα αναρωτιέστε τι είναι αυτοί οι όροι, και είναι γνωστοί ως έλεγχος ταυτότητας και εξουσιοδότηση. Ο έλεγχος ταυτότητας σημαίνει επιβεβαίωση της δικής σας ταυτότητας, ενώ η εξουσιοδότηση σημαίνει ότι επιτρέπεται η πρόσβαση στο σύστημα. Σε ακόμα πιο απλούς όρους, η εξακρίβωση της ταυτότητας είναι η διαδικασία επαλήθευσης, ενώ η εξουσιοδότηση είναι η διαδικασία επαλήθευσης του τι έχετε πρόσβαση.

Αυθεντικοποίηση

Ο έλεγχος ταυτότητας αφορά την επικύρωση των διαπιστευτηρίων σας, όπως αναγνωριστικό χρήστη / χρήστη και κωδικό πρόσβασης για την επαλήθευση της ταυτότητάς σας. Το σύστημα ελέγχει αν είστε αυτό που λέτε ότι χρησιμοποιείτε τα διαπιστευτήριά σας. Είτε σε δημόσιο είτε ιδιωτικό δίκτυο, το σύστημα επαληθεύει την ταυτότητα του χρήστη μέσω κωδικών πρόσβασης σύνδεσης. Συνήθως, ο έλεγχος ταυτότητας πραγματοποιείται με όνομα χρήστη και κωδικό πρόσβασης, αν και υπάρχουν και διάφοροι άλλοι τρόποι για την εξακρίβωση της ταυτότητας.

Οι παράγοντες επαλήθευσης προσδιορίζουν τα πολλά διαφορετικά στοιχεία που χρησιμοποιεί το σύστημα για την επαλήθευση της ταυτότητάς του προτού παραχωρήσει την ατομική πρόσβαση σε οτιδήποτε. Η ταυτότητα ενός ατόμου μπορεί να προσδιοριστεί από αυτό που το πρόσωπο γνωρίζει και, όταν πρόκειται για την ασφάλεια, πρέπει να επαληθευτούν τουλάχιστον δύο ή και οι τρεις παράγοντες επαλήθευσης, προκειμένου να δοθεί κάποιος άδεια στο σύστημα. Με βάση το επίπεδο ασφάλειας, οι παράγοντες επαλήθευσης ταυτότητας μπορούν να διαφέρουν από ένα από τα ακόλουθα:

  • Έλεγχος ταυτότητας με ένα μόνο παράγοντα: Αυτή είναι η απλούστερη μορφή της μεθόδου ελέγχου ταυτότητας που απαιτεί κωδικό πρόσβασης για την πρόσβαση του χρήστη σε ένα συγκεκριμένο σύστημα, όπως ένας ιστότοπος ή ένα δίκτυο. Το άτομο μπορεί να ζητήσει πρόσβαση στο σύστημα χρησιμοποιώντας μόνο ένα από τα διαπιστευτήρια για να επαληθεύσει την ταυτότητά του. Για παράδειγμα, μόνο η απαίτηση ενός κωδικού πρόσβασης σε ένα όνομα χρήστη θα ήταν ένας τρόπος για να επαληθεύσετε μια πιστοποίηση σύνδεσης χρησιμοποιώντας έλεγχο ταυτότητας με έναν παράγοντα.
  • Έλεγχος ταυτότητας δύο παραγόντων: Αυτός ο έλεγχος ταυτότητας απαιτεί διαδικασία επαλήθευσης σε δύο βήματα, η οποία όχι μόνο απαιτεί όνομα χρήστη και κωδικό πρόσβασης αλλά και πληροφορίες που γνωρίζει μόνο ο χρήστης. Χρησιμοποιώντας ένα όνομα χρήστη και έναν κωδικό πρόσβασης μαζί με μια εμπιστευτική πληροφορία καθιστά πολύ πιο δύσκολο για τους χάκερ να κλέψουν πολύτιμα και προσωπικά δεδομένα.
  • Έλεγχος ταυτότητας πολλαπλών παραγόντων: Αυτή είναι η πιο προηγμένη μέθοδος ελέγχου ταυτότητας η οποία απαιτεί δύο ή περισσότερα επίπεδα ασφάλειας από ανεξάρτητες κατηγορίες πιστοποιήσεων για την παροχή πρόσβασης χρηστών στο σύστημα. Αυτή η μορφή ελέγχου ταυτότητας χρησιμοποιεί παράγοντες που είναι ανεξάρτητοι ο ένας από τον άλλο προκειμένου να εξαλειφθεί οποιαδήποτε έκθεση σε δεδομένα. Είναι σύνηθες για χρηματοπιστωτικούς οργανισμούς, τράπεζες και υπηρεσίες επιβολής του νόμου να χρησιμοποιούν έλεγχο ταυτότητας πολλαπλών παραγόντων.

Εξουσιοδότηση

Η εξουσιοδότηση πραγματοποιείται μετά την επιτυχή πιστοποίηση της ταυτότητάς σας από το σύστημα, το οποίο σας δίνει πλήρη πρόσβαση σε πόρους όπως πληροφορίες, αρχεία, βάσεις δεδομένων, κονδύλια κλπ. Ωστόσο, η εξουσιοδότηση ελέγχει τα δικαιώματά σας για να σας παραχωρήσει πρόσβαση σε πόρους μόνο αφού προσδιορίσετε την ικανότητά σας πρόσβασης το σύστημα και μέχρι ποιο βαθμό. Με άλλα λόγια, η εξουσιοδότηση είναι η διαδικασία για να προσδιοριστεί εάν ο χρήστης με έλεγχο ταυτότητας έχει πρόσβαση στους συγκεκριμένους πόρους. Ένα καλό παράδειγμα είναι ότι, αφού επαληθευτεί και επιβεβαιωθεί η ταυτότητα των εργαζομένων και οι κωδικοί πρόσβασης μέσω της επαλήθευσης ταυτότητας, το επόμενο βήμα θα ήταν να καθοριστεί σε ποιον υπάλληλο έχει πρόσβαση σε ποιο λόγο και αυτό γίνεται μέσω εξουσιοδότησης.

Η πρόσβαση σε ένα σύστημα προστατεύεται με έλεγχο ταυτότητας και εξουσιοδότηση και χρησιμοποιούνται συχνά σε συνδυασμό μεταξύ τους. Παρόλο που και οι δύο έχουν διαφορετικές έννοιες από τότε, είναι κρίσιμες για την υποδομή των υπηρεσιών web, ειδικά όταν πρόκειται για την πρόσβαση σε ένα σύστημα. Η κατανόηση κάθε όρου είναι πολύ σημαντική και βασική πτυχή της ασφάλειας.

Συνιστώμενοι πόροι DDI

  • OAuth 2 σε δράση από τον Justin Richer και τον Antonio Sanso