Autentisering og autorisasjon er de to ordene som brukes i sikkerhetsverdenen. De kan høres like ut, men er helt forskjellige fra hverandre. Autentisering brukes til å autentisere noens identitet, mens autorisasjon er en måte å gi tillatelse til noen til å få tilgang til en bestemt ressurs. Dette er de to grunnleggende sikkerhetsbegrepene og må derfor forstås grundig. I dette emnet vil vi diskutere hva autentisering og autorisasjon er og hvordan de skiller seg fra hverandre.
Hva er autentisering?
- Autentisering er prosessen med å identifisere noens identitet ved å sikre at personen er den samme som det han krever.
- Den brukes av både server og klient. Serveren bruker autentisering når noen vil ha tilgang til informasjonen, og serveren må vite hvem som har tilgang til informasjonen. Klienten bruker den når han vil vite at det er den samme serveren som den utgir seg for å være.
- Autentiseringen av serveren gjøres for det meste ved å bruke brukernavn og passord. Andre måter for autentisering av serveren kan også gjøres ved å bruke kort, netthinneskanninger, stemmegjenkjenning og fingeravtrykk.
- Autentisering sikrer ikke hvilke oppgaver under en prosess én person kan gjøre, hvilke filer han kan se, lese eller oppdatere. Det identifiserer for det meste hvem personen eller systemet faktisk er.
Autentiseringsfaktorer
I henhold til sikkerhetsnivåene og applikasjonstypen er det forskjellige typer autentiseringsfaktorer:
Enkeltfaktorautentisering er den enkleste måten å autentisere på. Den trenger bare et brukernavn og passord for å gi en bruker tilgang til et system.
I henhold til navnet er det to-nivå sikkerhet; derfor trenger den to-trinns bekreftelse for å autentisere en bruker. Det krever ikke bare et brukernavn og passord, men trenger også den unike informasjonen som bare den bestemte brukeren kjenner, for eksempel som første skolenavn, et favorittmål . Bortsett fra dette kan den også bekrefte brukeren ved å sende OTP eller en unik lenke på brukerens registrerte nummer eller e-postadresse.
Dette er det sikreste og mest avanserte autorisasjonsnivået. Det krever to eller flere enn to sikkerhetsnivåer fra forskjellige og uavhengige kategorier. Denne typen autentisering brukes vanligvis i finansielle organisasjoner, banker og rettshåndhevelsesbyråer. Dette sikrer å eliminere enhver dataeksponerer fra tredjeparten eller hackere.
Kjente autentiseringsteknikker
1. Passordbasert autentisering
Det er den enkleste måten å autentisere på. Det krever passordet for det aktuelle brukernavnet. Hvis passordet samsvarer med brukernavnet og begge detaljene samsvarer med systemets database, vil brukeren bli autentisert.
2. Passordløs autentisering
I denne teknikken trenger ikke brukeren noe passord; i stedet får han en OTP (Engangspassord) eller lenke på sitt registrerte mobilnummer eller telefonnummer. Det kan også sies OTP-basert autentisering.
3. 2FA/MFA
2FA/MFA eller 2-faktor autentisering/Multi-faktor autentisering er det høyeste nivået av autentisering. Den krever ekstra PIN- eller sikkerhetsspørsmål slik at den kan autentisere brukeren.
4. Enkel pålogging
Enkel pålogging eller SSO er en måte å gi tilgang til flere applikasjoner med ett enkelt sett med legitimasjon. Den lar brukeren logge på én gang, og den vil automatisk logges på alle andre nettapper fra samme sentraliserte katalog.
5. Sosial autentisering
Sosial autentisering krever ikke ekstra sikkerhet; i stedet verifiserer den brukeren med den eksisterende legitimasjonen for det tilgjengelige sosiale nettverket.
Hva er autorisasjon?
- Autorisasjon er prosessen med å gi noen til å gjøre noe. Det betyr at det er en måte å sjekke om brukeren har tillatelse til å bruke en ressurs eller ikke.
- Den definerer hvilke data og informasjon en bruker kan få tilgang til. Det sies også som AuthZ.
- Autorisasjonen fungerer vanligvis med autentisering slik at systemet kan vite hvem som har tilgang til informasjonen.
- Autorisasjon er ikke alltid nødvendig for å få tilgang til informasjon tilgjengelig over internett. Noen data tilgjengelig over internett kan nås uten noen autorisasjon, som du kan lese om hvilken som helst teknologi fra her .
Autorisasjonsteknikker
RBAC eller Rollebasert tilgangskontrollteknikk gis til brukere i henhold til deres rolle eller profil i organisasjonen. Det kan implementeres for system-system eller bruker-til-system.
JSON web token eller JWT er en åpen standard som brukes til å overføre dataene mellom partene på en sikker måte i form av JSON-objektet. Brukerne er verifisert og autorisert ved å bruke det private/offentlige nøkkelparet.
SAML står for Security Assertion Markup Language. Det er en åpen standard som gir autorisasjonslegitimasjon til tjenesteleverandører. Disse legitimasjonene utveksles gjennom digitalt signerte XML-dokumenter.
Det hjelper kundene med å verifisere identiteten til sluttbrukere på grunnlag av autentisering.
OAuth er en autorisasjonsprotokoll som gjør at API-en kan autentisere og få tilgang til de forespurte ressursene.
Differansediagram mellom autentisering og autorisasjon
| Autentisering | Autorisasjon |
|---|---|
| Autentisering er prosessen med å identifisere en bruker for å gi tilgang til et system. | Autorisasjon er prosessen med å gi tillatelse til å få tilgang til ressursene. |
| I dette verifiseres brukeren eller klienten og serveren. | I dette er det verifisert at hvis brukeren er tillatt gjennom de definerte policyene og reglene. |
| Det utføres vanligvis før autorisasjonen. | Det gjøres vanligvis når brukeren er autentisert. |
| Det krever brukerens innloggingsdetaljer, for eksempel brukernavn og passord, etc. | Det krever brukerens rettigheter eller sikkerhetsnivå. |
| Data leveres gjennom token-ID-ene. | Data leveres gjennom tilgangssymbolene. |
| Eksempel: Det er nødvendig å angi påloggingsdetaljer for at de ansatte skal autentisere seg for å få tilgang til organisasjonens e-post eller programvare. | Eksempel: Etter at ansatte har autentisert seg selv, kan de bare få tilgang til og arbeide med visse funksjoner i henhold til deres roller og profiler. |
| Autentiseringslegitimasjon kan delvis endres av brukeren i henhold til kravet. | Autorisasjonstillatelser kan ikke endres av brukeren. Tillatelsene er gitt til en bruker av eieren/administratoren av systemet, og han kan bare endre det. |
Konklusjon
I henhold til diskusjonen ovenfor kan vi si at autentisering bekrefter brukerens identitet, og autorisasjon bekrefter brukerens tilgang og tillatelser. Hvis brukeren ikke kan bevise sin identitet, kan de ikke få tilgang til systemet. Og hvis du er autentisert ved å bevise den riktige identiteten, men du ikke er autorisert til å utføre en bestemt funksjon, vil du ikke få tilgang til det. Imidlertid brukes begge sikkerhetsmetodene ofte sammen.