Autentifikacija i autorizacija dvije su riječi koje se koriste u svijetu sigurnosti. Možda zvuče slično, ali su potpuno različiti jedni od drugih. Autentifikacija se koristi za provjeru autentičnosti nečijeg identiteta, dok je autorizacija način da se nekome omogući pristup određenom resursu. Ovo su dva osnovna sigurnosna pojma i stoga ih treba temeljito razumjeti. U ovoj temi raspravljat ćemo o tome što su autentifikacija i autorizacija i kako se međusobno razlikuju.
razlika tigra i lava
Što je autentifikacija?
- Autentifikacija je proces identifikacije nečijeg identiteta uvjeravanjem da je osoba ista kao ono za što tvrdi.
- Koriste ga i poslužitelj i klijent. Poslužitelj koristi autentifikaciju kada netko želi pristupiti informacijama, a poslužitelj mora znati tko pristupa informacijama. Klijent ga koristi kada želi znati da je to isti poslužitelj za kojeg se predstavlja.
- Provjera autentičnosti od strane poslužitelja uglavnom se vrši pomoću korisničko ime i lozinka. Drugi načini autentifikacije od strane poslužitelja također se mogu izvršiti pomoću kartice, skeniranje mrežnice, prepoznavanje glasa i otiske prstiju.
- Autentifikacija ne osigurava koje zadatke unutar procesa jedna osoba može obavljati, koje datoteke može pregledavati, čitati ili ažurirati. Uglavnom identificira tko je zapravo osoba ili sustav.
Čimbenici autentifikacije
Ovisno o razinama sigurnosti i vrsti aplikacije, postoje različite vrste faktora provjere autentičnosti:
Jednofaktorska autentifikacija je najjednostavniji način autentifikacije. Potrebni su mu samo korisničko ime i lozinka kako bi se korisniku omogućio pristup sustavu.
Prema nazivu, radi se o dvorazinskoj sigurnosti; stoga mu je potrebna provjera u dva koraka za autentifikaciju korisnika. Ne zahtijeva samo korisničko ime i lozinku, već također treba jedinstvene informacije koje zna samo određeni korisnik, kao što je npr kao ime prve škole, omiljeno odredište . Osim toga, također može verificirati korisnika slanjem OTP-a ili jedinstvene poveznice na korisnikov registrirani broj ili adresu e-pošte.
Ovo je najsigurnija i najnaprednija razina autorizacije. Zahtijeva dvije ili više od dvije razine sigurnosti iz različitih i neovisnih kategorija. Ova vrsta provjere autentičnosti obično se koristi u financijskim organizacijama, bankama i agencijama za provođenje zakona. Time se osigurava eliminacija svakog izlagača podataka od treće strane ili hakera.
Poznate tehnike autentifikacije
1. Autentikacija temeljena na lozinci
To je najjednostavniji način autentifikacije. Zahtijeva lozinku za određeno korisničko ime. Ako se lozinka podudara s korisničkim imenom i oba detalja odgovaraju bazi podataka sustava, korisnik će biti uspješno autentificiran.
2. Autentikacija bez lozinke
veličina lateks slova
U ovoj tehnici, korisniku nije potrebna lozinka; umjesto toga dobiva OTP (jednokratnu lozinku) ili poveznicu na svoj registrirani broj mobitela ili telefonski broj. Može se reći i provjera autentičnosti temeljena na OTP-u.
3. 2FA/MFA
2FA/MFA ili 2-faktorska autentifikacija/Višefaktorska autentifikacija je viša razina autentifikacije. Zahtijeva dodatni PIN ili sigurnosna pitanja kako bi mogao autentificirati korisnika.
4. Jedinstvena prijava
math.random java
Jedinstvena prijava ili SSO je način da se omogući pristup većem broju aplikacija s jednim skupom vjerodajnica. Omogućuje korisniku da se jednom prijavi i automatski će biti prijavljen na sve ostale web aplikacije iz istog centraliziranog imenika.
5. Društvena autentifikacija
Društvena autentifikacija ne zahtijeva dodatnu sigurnost; umjesto toga, provjerava korisnika s postojećim vjerodajnicama za dostupnu društvenu mrežu.
Što je autorizacija?
- Ovlaštenje je postupak davanja nekome da nešto učini. To znači da je to način provjere ima li korisnik dopuštenje za korištenje resursa ili ne.
- Definira kojim podacima i informacijama jedan korisnik može pristupiti. Također se kaže kao AuthZ.
- Autorizacija obično radi s autentifikacijom kako bi sustav mogao znati tko pristupa informacijama.
- Autorizacija nije uvijek potrebna za pristup informacijama dostupnim putem interneta. Nekim podacima dostupnim putem interneta može se pristupiti bez ikakvog ovlaštenja, kao što možete čitati o bilo kojoj tehnologiji ovdje .
Tehnike autorizacije
RBAC ili tehnika kontrole pristupa temeljena na ulogama daje se korisnicima prema njihovoj ulozi ili profilu u organizaciji. Može se implementirati za sustav-sustav ili korisnik-sustav.
JSON web token ili JWT otvoreni je standard koji se koristi za siguran prijenos podataka između strana u obliku JSON objekta. Korisnici se provjeravaju i autoriziraju korištenjem para privatni/javni ključ.
SAML je kratica za Označni jezik sigurnosne tvrdnje. To je otvoreni standard koji davateljima usluga daje vjerodajnice za autorizaciju. Te se vjerodajnice razmjenjuju putem digitalno potpisanih XML dokumenata.
Pomaže klijentima da provjere identitet krajnjih korisnika na temelju autentifikacije.
OAuth je autorizacijski protokol koji API-ju omogućuje autentifikaciju i pristup traženim resursima.
Tablica razlika između autentifikacije i autorizacije
Ovjera | Autorizacija |
---|---|
Autentikacija je proces identifikacije korisnika za omogućavanje pristupa sustavu. | Autorizacija je proces davanja dopuštenja za pristup resursima. |
Pri tome se provjeravaju korisnik ili klijent i poslužitelj. | Pri tome se provjerava je li korisniku dopušteno kroz definirane politike i pravila. |
Obično se provodi prije autorizacije. | To se obično radi nakon što je korisnik uspješno autentificiran. |
Zahtijeva podatke za prijavu korisnika, kao što su korisničko ime i lozinka, itd. | Zahtijeva korisničku povlasticu ili razinu sigurnosti. |
Podaci se pružaju putem ID-ova tokena. | Podaci se pružaju putem pristupnih tokena. |
Primjer: Unos podataka za prijavu je neophodan kako bi se zaposlenici autentificirali za pristup organizacijskoj e-pošti ili softveru. | Primjer: Nakon što se zaposlenici uspješno autentificiraju, mogu pristupiti i raditi na određenim funkcijama samo prema svojim ulogama i profilima. |
Korisnik može djelomično promijeniti vjerodajnice za autentifikaciju prema zahtjevu. | Korisnik ne može mijenjati dopuštenja za autorizaciju. Dozvole korisniku daje vlasnik/upravitelj sustava, a on ih može samo mijenjati. |
Zaključak
Prema gornjoj raspravi, možemo reći da Autentikacija provjerava identitet korisnika, a Autorizacija provjerava korisnikov pristup i dopuštenja. Ako korisnik ne može dokazati svoj identitet, ne može pristupiti sustavu. A ako ste autentificirani dokazivanjem točnog identiteta, ali niste ovlašteni za obavljanje određene funkcije, nećete joj moći pristupiti. Međutim, obje sigurnosne metode često se koriste zajedno.