Autentizace a autorizace jsou dvě slova používaná ve světě bezpečnosti. Mohou znít podobně, ale jsou od sebe zcela odlišné. Autentizace se používá k ověření něčí identity, zatímco autorizace je způsob, jak někomu poskytnout oprávnění k přístupu ke konkrétnímu zdroji. Toto jsou dva základní bezpečnostní pojmy, a proto je třeba jim důkladně porozumět. V tomto tématu probereme, co je autentizace a autorizace a jak se od sebe liší.
Co je autentizace?
- Autentizace je proces identifikace něčí identity tím, že se zajistí, že osoba je stejná jako to, o co se domáhá.
- Je používán serverem i klientem. Server používá ověřování, když někdo chce získat přístup k informacím, a server potřebuje vědět, kdo k informacím přistupuje. Klient jej používá, když chce vědět, že se jedná o stejný server, za který se vydává.
- Autentizace serverem se provádí většinou pomocí uživatelské jméno a heslo. Další způsoby autentizace serverem lze také provést pomocí karty, skeny sítnice, rozpoznávání hlasu a otisky prstů.
- Autentizace nezajišťuje, jaké úkoly v rámci procesu může dělat jedna osoba, jaké soubory může prohlížet, číst nebo aktualizovat. Většinou identifikuje, kdo je ve skutečnosti osoba nebo systém.
Autentizační faktory
Podle úrovní zabezpečení a typu aplikace existují různé typy faktorů ověřování:
Jednofaktorová autentizace je nejjednodušší způsob autentizace. Potřebuje pouze uživatelské jméno a heslo, které umožní uživateli přístup do systému.
Podle názvu se jedná o dvouúrovňové zabezpečení; proto k ověření uživatele potřebuje dvoufázové ověření. Nevyžaduje pouze uživatelské jméno a heslo, ale potřebuje také jedinečné informace, které zná pouze konkrétní uživatel, např jako první jméno školy, oblíbená destinace . Kromě toho může také ověřit uživatele zasláním OTP nebo unikátního odkazu na registrované číslo nebo emailovou adresu uživatele.
Toto je nejbezpečnější a nejpokročilejší úroveň autorizace. Vyžaduje dvě nebo více než dvě úrovně zabezpečení z různých a nezávislých kategorií. Tento typ ověřování se obvykle používá ve finančních organizacích, bankách a donucovacích orgánech. Tím je zajištěno vyloučení jakéhokoli odhalení dat od třetí strany nebo hackerů.
Slavné autentizační techniky
1. Autentizace na základě hesla
Je to nejjednodušší způsob ověřování. Vyžaduje heslo pro konkrétní uživatelské jméno. Pokud se heslo shoduje s uživatelským jménem a oba údaje se shodují s databází systému, bude uživatel úspěšně autentizován.
2. Autentizace bez hesla
java cast char na řetězec
V této technice uživatel nepotřebuje žádné heslo; místo toho dostane OTP (jednorázové heslo) nebo odkaz na své registrované mobilní číslo nebo telefonní číslo. Dá se také říci autentizace založená na OTP.
3. 2FA/MFA
2FA/MFA nebo 2faktorová autentizace/Vícefaktorová autentizace je vyšší úroveň autentizace. Vyžaduje další PIN nebo bezpečnostní otázky, aby bylo možné uživatele ověřit.
4. Jednotné přihlášení
js onclick
Jednotné přihlášení nebo SSO je způsob, jak umožnit přístup k více aplikacím pomocí jediné sady přihlašovacích údajů. Umožňuje uživateli přihlásit se jednou a automaticky se přihlásí do všech ostatních webových aplikací ze stejného centralizovaného adresáře.
5. Sociální autentizace
Sociální autentizace nevyžaduje další zabezpečení; místo toho ověří uživatele s existujícími přihlašovacími údaji pro dostupnou sociální síť.
Co je autorizace?
- Autorizace je proces udělení někomu, aby něco udělal. Znamená to způsob, jak zkontrolovat, zda má uživatel oprávnění k použití zdroje nebo ne.
- Definuje, k jakým datům a informacím má jeden uživatel přístup. Říká se také jako AuthZ.
- Autorizace obvykle funguje s autentizací, aby systém věděl, kdo k informacím přistupuje.
- Pro přístup k informacím dostupným přes internet není vždy nutná autorizace. K některým datům dostupným přes internet lze přistupovat bez jakéhokoli oprávnění, například si můžete přečíst o jakékoli technologii tady .
Autorizační techniky
RBAC nebo technika řízení přístupu založená na rolích je dána uživatelům podle jejich role nebo profilu v organizaci. Může být implementován pro systém-systém nebo uživatel-systém.
Webový token JSON neboli JWT je otevřený standard používaný k bezpečnému přenosu dat mezi stranami ve formě objektu JSON. Uživatelé jsou ověřeni a autorizováni pomocí páru soukromý/veřejný klíč.
SAML znamená Security Assertion Markup Language. Jedná se o otevřený standard, který poskytuje autorizační údaje poskytovatelům služeb. Tyto přihlašovací údaje se vyměňují prostřednictvím digitálně podepsaných dokumentů XML.
Pomáhá klientům ověřit identitu koncových uživatelů na základě autentizace.
OAuth je autorizační protokol, který umožňuje rozhraní API ověřovat a přistupovat k požadovaným zdrojům.
Tabulka rozdílů mezi autentizací a autorizací
Autentizace | Oprávnění |
---|---|
Autentizace je proces identifikace uživatele za účelem poskytnutí přístupu do systému. | Autorizace je proces udělení oprávnění k přístupu ke zdrojům. |
V tomto případě se ověřuje uživatel nebo klient a server. | V tomto se ověřuje, zda je uživatel povolen prostřednictvím definovaných zásad a pravidel. |
Obvykle se provádí před autorizací. | Obvykle se provádí, jakmile je uživatel úspěšně ověřen. |
Vyžaduje přihlašovací údaje uživatele, jako je uživatelské jméno a heslo atd. | Vyžaduje oprávnění uživatele nebo úroveň zabezpečení. |
Údaje jsou poskytovány prostřednictvím ID tokenů. | Údaje jsou poskytovány prostřednictvím přístupových tokenů. |
Příklad: Zadání přihlašovacích údajů je nezbytné, aby se zaměstnanci mohli autentizovat pro přístup k organizačním e-mailům nebo softwaru. | Příklad: Poté, co se zaměstnanci úspěšně autentizují, mohou přistupovat a pracovat na určitých funkcích pouze podle svých rolí a profilů. |
Ověřovací údaje může uživatel částečně změnit podle požadavku. | Autorizační oprávnění nemůže uživatel změnit. Oprávnění uděluje uživateli vlastník/správce systému a může je pouze měnit. |
Závěr
Podle výše uvedené diskuse můžeme říci, že Autentizace ověřuje identitu uživatele a Autorizace ověřuje přístup a oprávnění uživatele. Pokud uživatel nemůže prokázat svou identitu, nemá přístup do systému. A pokud jste autentizováni prokázáním správné identity, ale nejste oprávněni vykonávat konkrétní funkci, nebudete mít k ní přístup. Oba způsoby zabezpečení se však často používají společně.