Atšķirība starp autentifikāciju un autorizāciju
Share
Abi termini drošības ziņā bieži tiek izmantoti kopā ar otru, it īpaši, ja runa ir par piekļuvi sistēmai. Abas ir ļoti svarīgas tēmas, kas bieži saistītas ar tīmekli kā tā pakalpojumu infrastruktūras galvenajiem elementiem. Tomēr abi termini ir ļoti atšķirīgi ar pilnīgi atšķirīgiem jēdzieniem. Lai gan ir taisnība, ka tos bieži izmanto vienā kontekstā ar vienu un to pašu rīku, tie ir pilnīgi atšķirīgi viens no otra.
Autentifikācija nozīmē savas identitātes apstiprināšanu, savukārt autorizācija nozīmē piekļuves piešķiršanu sistēmai. Vienkārši izsakoties, autentifikācija ir process, kurā tiek pārbaudīts, kas tu esi, savukārt autorizācija ir verificēšana tam, kas tev ir pieejams.
Autentifikācija
Autentifikācija ir paredzēta tādu akreditācijas datu pārbaudei kā Lietotājvārds / Lietotāja ID un parole, lai pārbaudītu jūsu identitāti. Sistēma nosaka, vai tieši jūs sakāt, ka izmantojat savus akreditācijas datus. Publiskajos un privātajos tīklos sistēma identificē lietotāja identitāti, izmantojot pieteikšanās paroles. Autentifikāciju parasti veic ar lietotājvārdu un paroli, un dažreiz kopā ar autentifikācijas faktoriem, kas attiecas uz dažādiem autentificēšanas veidiem..
Autentifikācijas faktori nosaka dažādus elementus, kurus sistēma izmanto, lai pārbaudītu savu identitāti, pirms viņam tiek piešķirta piekļuve jebkam, sākot no piekļuves failiem līdz bankas operācijas pieprasīšanai. Lietotāja identitāti var noteikt pēc tā, ko viņš zina, kas viņam ir vai kāds viņš ir. Runājot par drošību, ir jāpārbauda vismaz divi vai visi trīs autentifikācijas faktori, lai kādam piešķirtu piekļuvi sistēmai.
Balstoties uz drošības līmeni, autentifikācijas koeficients var atšķirties no viena no šiem:
- Vienfaktors Autentifikācija - Tā ir vienkāršākā autentifikācijas metode, kas parasti balstās uz vienkāršu paroli, lai piešķirtu lietotājam piekļuvi noteiktai sistēmai, piemēram, vietnei vai tīklam. Persona var pieprasīt piekļuvi sistēmai, izmantojot tikai vienu no akreditācijas datiem, lai pārbaudītu savu identitāti. Visbiežākais viena faktora autentifikācijas piemērs būtu pieteikšanās akreditācijas dati, kuriem nepieciešama tikai parole, nevis lietotājvārds.
- Divfaktoru autentifikācija - Kā norāda nosaukums, tas ir divpakāpju verifikācijas process, kas prasa ne tikai lietotājvārdu un paroli, bet arī kaut ko tikai lietotājam zināmu, lai nodrošinātu papildu drošības līmeni, piemēram, bankomāta tapu, kuru zina tikai lietotājs. Izmantojot lietotājvārdu un paroli kopā ar papildu konfidenciālu informāciju, krāpniekiem ir gandrīz neiespējami nozagt vērtīgus datus.
- Daudzfaktoru autentifikācija - Tā ir vismodernākā autentifikācijas metode, kas izmanto divus vai vairākus drošības līmeņus no neatkarīgām autentifikācijas kategorijām, lai lietotājiem piešķirtu piekļuvi sistēmai. Visiem faktoriem jābūt neatkarīgiem viens no otra, lai novērstu jebkādu sistēmas ievainojamību. Finanšu organizācijas, bankas un tiesībaizsardzības aģentūras izmanto daudzfaktoru autentifikāciju, lai aizsargātu savus datus un lietojumprogrammas no iespējamiem draudiem.
Piemēram, ievadot ATM karti ATM mašīnā, iekārta lūdz ievadīt PIN kodu. Pēc pareizas PIN koda ievadīšanas banka apstiprina jūsu identitāti, ka karte patiešām pieder jums un jūs esat kartes likumīgais īpašnieks. Apstiprinot jūsu ATM kartes tapu, banka faktiski pārbauda jūsu identitāti, ko sauc par autentifikāciju. Tas tikai identificē, kas jūs esat, neko citu.
Pilnvarojums
No otras puses, autorizācija notiek pēc tam, kad sistēma ir veiksmīgi identificējusi jūsu identitāti, kas galu galā dod jums pilnīgu atļauju piekļūt tādiem resursiem kā informācija, faili, datu bāzes, fondi, vietas, gandrīz jebkas. Vienkārši izsakoties, autorizācija nosaka jūsu spēju piekļūt sistēmai un cik lielā mērā. Kad sistēma pēc veiksmīgas autentifikācijas ir pārbaudījusi jūsu identitāti, jūs esat pilnvarots piekļūt sistēmas resursiem.
Autorizācija ir process, kurā nosaka, vai autentificētam lietotājam ir pieeja konkrētajiem resursiem. Tas pārbauda jūsu tiesības piešķirt jums piekļuvi resursiem, piemēram, informācijai, datu bāzēm, failiem utt. Autorizācija parasti notiek pēc autentifikācijas, kas apstiprina jūsu veiktās privilēģijas. Vienkārši izsakoties, tas ir tāpat kā dot oficiālu atļauju kādam kaut ko darīt.
Piemēram, darbinieku ID un paroļu pārbaudes un apstiprināšanas procesu organizācijā sauc par autentifikāciju, bet tā noteikšanu, kuram darbiniekam ir pieeja, kurai grīdai sauc par autorizāciju. Pieņemsim, ka jūs ceļojat un gatavojaties iekāpt lidojumā. Uzrādot biļeti un zināmu identifikāciju pirms reģistrēšanās, jūs saņemat iekāpšanas karti, kas apstiprina, ka lidostas pārvalde ir autentificējusi jūsu identitāti. Bet tas nav tas. Stjuartim ir jāpilnvaro jūs iekāpt lidojumā, uz kuru jūs domājat lidot, ļaujot piekļūt lidmašīnas iekšpusei un tā resursiem..
Piekļuvi sistēmai aizsargā gan autentifikācija, gan autorizācija. Jebkurus mēģinājumus piekļūt sistēmai var autentificēt, ievadot derīgus akreditācijas datus, taču tos var pieņemt tikai pēc veiksmīgas autorizācijas. Ja mēģinājums tiek autentificēts, bet nav autorizēts, sistēma liedz piekļuvi sistēmai.
| Autentifikācija | Pilnvarojums |
| Autentifikācija apstiprina jūsu identitāti, lai piešķirtu piekļuvi sistēmai. | Autorizācija nosaka, vai jums ir tiesības piekļūt resursiem. |
| Tas ir lietotāja akreditācijas datu apstiprināšanas process, lai iegūtu lietotāja piekļuvi. | Tas ir process, kurā tiek pārbaudīts, vai piekļuve ir atļauta vai nē. |
| Tas nosaka, vai lietotājs ir tas, par kuru viņš apgalvo. | Tas nosaka to, kam lietotājs var piekļūt un kam nevar piekļūt. |
| Autentifikācijai parasti ir nepieciešams lietotājvārds un parole. | Autorizācijai nepieciešamie autentifikācijas faktori var atšķirties atkarībā no drošības līmeņa. |
| Autentifikācija ir pirmais autorizācijas solis, tāpēc vienmēr tas notiek vispirms. | Autorizācija tiek veikta pēc veiksmīgas autentifikācijas. |
| Piemēram, noteiktas universitātes studentiem tiek prasīts autentificēties, pirms viņi piekļūst studentu saitei universitātes oficiālajā vietnē. To sauc par autentifikāciju. | Piemēram, autorizācija precīzi nosaka to, kādai informācijai studentiem ir atļauts piekļūt universitātes vietnē pēc veiksmīgas autentifikācijas. |
Kopsavilkums
Lai arī abi termini bieži tiek izmantoti kopā ar tiem, tiem ir pilnīgi atšķirīgi jēdzieni un nozīme. Lai gan abiem jēdzieniem ir izšķiroša nozīme tīmekļa pakalpojumu infrastruktūrā, it īpaši, ja runa ir par piekļuves piešķiršanu sistēmai, galvenā nozīme ir katra termina izpratnei attiecībā uz drošību. Lai gan vairums no mums jauc vienu terminu ar citu, ir svarīgi saprast galvenās atšķirības starp tiem, kas patiesībā ir ļoti vienkārši. Ja autentifikācija ir tas, kas jūs esat, autorizācija ir tā, kurai varat piekļūt un ko modificēt. Vienkārši izsakoties, autentifikācija nosaka, vai kāds ir tas, kurš, pēc viņa domām, ir. No otras puses, autorizācija nosaka viņa tiesības piekļūt resursiem.
