Autentisering och auktorisering är de två orden som används i säkerhetsvärlden. De kan låta lika men är helt olika varandra. Autentisering används för att autentisera någons identitet, medan auktorisering är ett sätt att ge tillstånd till någon att komma åt en viss resurs. Dessa är de två grundläggande säkerhetstermerna och måste därför förstås ordentligt. I det här ämnet kommer vi att diskutera vad autentisering och auktorisering är och hur de skiljer sig från varandra.
Vad är autentisering?
- Autentisering är processen att identifiera någons identitet genom att försäkra sig om att personen är densamma som han gör anspråk på.
- Den används av både server och klient. Servern använder autentisering när någon vill komma åt informationen, och servern behöver veta vem som kommer åt informationen. Klienten använder den när han vill veta att det är samma server som den utger sig för att vara.
- Autentiseringen av servern görs mestadels med hjälp av användarnamn och lösenord. Andra sätt för autentisering av servern kan också göras med hjälp av kort, näthinnaskanningar, röstigenkänning och fingeravtryck.
- Autentisering säkerställer inte vilka uppgifter under en process en person kan utföra, vilka filer han kan visa, läsa eller uppdatera. Det identifierar mestadels vem personen eller systemet faktiskt är.
Autentiseringsfaktorer
Enligt säkerhetsnivåerna och typen av applikation finns det olika typer av autentiseringsfaktorer:
spetsig vinkel
Enfaktorsautentisering är det enklaste sättet för autentisering. Det behöver bara ett användarnamn och lösenord för att en användare ska kunna komma åt ett system.
Enligt namnet är det tvånivåsäkerhet; därför behöver den tvåstegsverifiering för att autentisera en användare. Det kräver inte bara ett användarnamn och lösenord utan behöver också den unika information som bara den specifika användaren känner till, till exempel som första skolnamn, en favoritdestination . Förutom detta kan den också verifiera användaren genom att skicka OTP eller en unik länk på användarens registrerade nummer eller e-postadress.
Detta är den säkraste och mest avancerade behörighetsnivån. Det kräver två eller fler än två säkerhetsnivåer från olika och oberoende kategorier. Denna typ av autentisering används vanligtvis i finansiella organisationer, banker och brottsbekämpande myndigheter. Detta säkerställer att all dataexponerare elimineras från tredje part eller hackare.
Kända autentiseringstekniker
1. Lösenordsbaserad autentisering
Det är det enklaste sättet för autentisering. Det kräver lösenordet för det specifika användarnamnet. Om lösenordet matchar användarnamnet och båda detaljerna matchar systemets databas, kommer användaren att autentiseras.
2. Lösenordslös autentisering
I denna teknik behöver användaren inget lösenord; istället får han en OTP (Engångslösenord) eller länk på sitt registrerade mobilnummer eller telefonnummer. Det kan också sägas OTP-baserad autentisering.
3. 2FA/MFA
2FA/MFA eller 2-faktors autentisering/Multi-faktor autentisering är den högre nivån av autentisering. Den kräver ytterligare PIN- eller säkerhetsfrågor så att den kan autentisera användaren.
4. Enkel inloggning
exempel på delsträng i java
Enkel inloggning eller SSO är ett sätt att möjliggöra åtkomst till flera applikationer med en enda uppsättning autentiseringsuppgifter. Det låter användaren logga in en gång, och det kommer automatiskt att loggas in på alla andra webbappar från samma centraliserade katalog.
5. Social autentisering
Social autentisering kräver inte ytterligare säkerhet; istället verifierar den användaren med befintliga referenser för det tillgängliga sociala nätverket.
Vad är auktorisering?
- Auktorisation är processen att ge någon att göra något. Det betyder att det är ett sätt att kontrollera om användaren har behörighet att använda en resurs eller inte.
- Den definierar vilken data och information en användare kan komma åt. Det sägs också som AuthZ.
- Auktoriseringen fungerar vanligtvis med autentisering så att systemet kan veta vem som kommer åt informationen.
- Auktorisering är inte alltid nödvändigt för att få tillgång till information tillgänglig över internet. Vissa data som är tillgängliga över internet kan nås utan tillstånd, som du kan läsa om vilken teknik som helst från här .
Auktoriseringstekniker
RBAC eller rollbaserad åtkomstkontrollteknik ges till användare enligt deras roll eller profil i organisationen. Det kan implementeras för system-system eller användare-till-system.
JSON webbtoken eller JWT är en öppen standard som används för att säkert överföra data mellan parterna i form av JSON-objektet. Användarna verifieras och auktoriseras med det privata/offentliga nyckelparet.
SAML står för Security Assertion Markup Language. Det är en öppen standard som tillhandahåller behörighetsuppgifter till tjänsteleverantörer. Dessa referenser utbyts genom digitalt signerade XML-dokument.
Det hjälper kunderna att verifiera slutanvändarnas identitet på basis av autentisering.
OAuth är ett auktoriseringsprotokoll som gör det möjligt för API:et att autentisera och komma åt de begärda resurserna.
Skillnadsdiagram mellan autentisering och auktorisering
| Autentisering | Tillstånd |
|---|---|
| Autentisering är processen att identifiera en användare för att ge åtkomst till ett system. | Auktorisering är processen för att ge tillstånd att komma åt resurserna. |
| I detta verifieras användaren eller klienten och servern. | I detta verifieras att om användaren tillåts genom de definierade policyerna och reglerna. |
| Det utförs vanligtvis före auktorisationen. | Det görs vanligtvis när användaren har autentiserats. |
| Det kräver användarens inloggningsuppgifter, såsom användarnamn och lösenord, etc. | Det kräver användarens behörighet eller säkerhetsnivå. |
| Data tillhandahålls via Token-ID:n. | Data tillhandahålls genom åtkomsttoken. |
| Exempel: Att ange inloggningsuppgifter är nödvändigt för att de anställda ska kunna autentisera sig för att komma åt organisationens e-postmeddelanden eller programvara. | Exempel: Efter att anställda har autentiserat sig själva kan de få tillgång till och arbeta med vissa funktioner endast enligt deras roller och profiler. |
| Autentiseringsuppgifter kan delvis ändras av användaren enligt kravet. | Auktoriseringsbehörigheter kan inte ändras av användaren. Behörigheterna ges till en användare av ägaren/ansvarig för systemet, och han kan bara ändra det. |
Slutsats
Enligt diskussionen ovan kan vi säga att autentisering verifierar användarens identitet och auktorisering verifierar användarens åtkomst och behörigheter. Om användaren inte kan bevisa sin identitet kan de inte komma åt systemet. Och om du är autentiserad genom att bevisa den korrekta identiteten, men du inte är behörig att utföra en specifik funktion, kommer du inte att kunna komma åt det. Båda säkerhetsmetoderna används dock ofta tillsammans.