Autenticação e autorização são as duas palavras usadas no mundo da segurança. Eles podem parecer semelhantes, mas são completamente diferentes um do outro. A autenticação é usada para autenticar a identidade de alguém, enquanto a autorização é uma forma de fornecer permissão a alguém para acessar um recurso específico. Esses são os dois termos básicos de segurança e, portanto, precisam ser totalmente compreendidos. Neste tópico, discutiremos o que são autenticação e autorização e como elas se diferenciam.
comando sed
O que é autenticação?
- Autenticação é o processo de identificar a identidade de alguém, garantindo que a pessoa é a mesma que está reivindicando.
- É usado tanto pelo servidor quanto pelo cliente. O servidor usa autenticação quando alguém deseja acessar as informações, e o servidor precisa saber quem está acessando as informações. O cliente o utiliza quando deseja saber se é o mesmo servidor que afirma ser.
- A autenticação pelo servidor é feita principalmente usando o usuário e senha. Outras formas de autenticação pelo servidor também podem ser feitas usando cartões, varreduras de retina, reconhecimento de voz e impressões digitais.
- A autenticação não garante quais tarefas em um processo uma pessoa pode realizar, quais arquivos ela pode visualizar, ler ou atualizar. Identifica principalmente quem é realmente a pessoa ou sistema.
Fatores de autenticação
De acordo com os níveis de segurança e o tipo de aplicação, existem diferentes tipos de fatores de autenticação:
A autenticação de fator único é a forma mais simples de autenticação. Ele só precisa de um nome de usuário e senha para permitir que um usuário acesse um sistema.
Conforme o nome, é uma segurança de dois níveis; portanto, é necessária uma verificação em duas etapas para autenticar um usuário. Não requer apenas um nome de usuário e senha, mas também informações exclusivas que apenas o usuário específico conhece, como como primeiro nome de escola, um destino favorito . Além disso, também pode verificar o usuário enviando o OTP ou um link exclusivo no número cadastrado ou endereço de e-mail do usuário.
Este é o nível de autorização mais seguro e avançado. Requer dois ou mais níveis de segurança de categorias diferentes e independentes. Esse tipo de autenticação geralmente é usado em organizações financeiras, bancos e agências de aplicação da lei. Isso garante a eliminação de qualquer expostor de dados de terceiros ou hackers.
Técnicas de autenticação famosas
1. Autenticação baseada em senha
É a forma mais simples de autenticação. Requer a senha do nome de usuário específico. Se a senha corresponder ao nome de usuário e ambos os detalhes corresponderem ao banco de dados do sistema, o usuário será autenticado com sucesso.
2. Autenticação sem senha
string.formato
Nesta técnica o usuário não necessita de senha; em vez disso, ele recebe uma OTP (senha de uso único) ou link em seu número de celular ou telefone registrado. Também pode ser dito autenticação baseada em OTP.
3. 2FA/MFA
2FA/MFA ou autenticação de dois fatores/autenticação multifator é o nível mais alto de autenticação. Requer PIN adicional ou perguntas de segurança para que possa autenticar o usuário.
4. Logon único
características de uma série de pandas
Logon único ou SSO é uma forma de permitir o acesso a vários aplicativos com um único conjunto de credenciais. Ele permite que o usuário faça login uma vez e será automaticamente conectado a todos os outros aplicativos da web do mesmo diretório centralizado.
5. Autenticação Social
A autenticação social não requer segurança adicional; em vez disso, verifica o usuário com as credenciais existentes para a rede social disponível.
O que é autorização?
- Autorização é o processo de conceder a alguém para fazer algo. Significa uma forma de verificar se o usuário tem permissão para usar um recurso ou não.
- Ele define quais dados e informações um usuário pode acessar. Também é dito como AuthZ.
- A autorização geralmente funciona com autenticação para que o sistema saiba quem está acessando as informações.
- Nem sempre é necessária autorização para acessar informações disponíveis na internet. Alguns dados disponíveis na internet podem ser acessados sem qualquer autorização, como você pode ler sobre qualquer tecnologia em aqui .
Técnicas de Autorização
RBAC ou técnica de controle de acesso baseado em função é fornecida aos usuários de acordo com sua função ou perfil na organização. Ele pode ser implementado para sistema-sistema ou usuário para sistema.
O token da web JSON ou JWT é um padrão aberto usado para transmitir com segurança os dados entre as partes na forma do objeto JSON. Os usuários são verificados e autorizados usando o par de chaves privada/pública.
SAML significa Linguagem de marcação de declaração de segurança. É um padrão aberto que fornece credenciais de autorização aos provedores de serviços. Essas credenciais são trocadas por meio de documentos XML assinados digitalmente.
Ajuda os clientes a verificar a identidade dos usuários finais com base na autenticação.
OAuth é um protocolo de autorização que permite à API autenticar e acessar os recursos solicitados.
Gráfico de diferença entre autenticação e autorização
Autenticação | Autorização |
---|---|
Autenticação é o processo de identificação de um usuário para fornecer acesso a um sistema. | Autorização é o processo de dar permissão para acessar os recursos. |
Neste, o usuário ou cliente e servidor são verificados. | Neste, verifica-se se o usuário é permitido através das políticas e regras definidas. |
Geralmente é realizado antes da autorização. | Geralmente isso é feito quando o usuário é autenticado com sucesso. |
Requer os detalhes de login do usuário, como nome de usuário e senha, etc. | Requer privilégio ou nível de segurança do usuário. |
Os dados são fornecidos através dos Token Ids. | Os dados são fornecidos por meio de tokens de acesso. |
Exemplo: A inserção dos detalhes de login é necessária para que os funcionários se autentiquem para acessar os e-mails organizacionais ou software. | Exemplo: Depois que os funcionários se autenticarem com êxito, eles poderão acessar e trabalhar em determinadas funções somente de acordo com suas funções e perfis. |
As credenciais de autenticação podem ser parcialmente alteradas pelo usuário conforme a necessidade. | As permissões de autorização não podem ser alteradas pelo usuário. As permissões são dadas a um usuário pelo proprietário/gerente do sistema, e ele só pode alterá-las. |
Conclusão
De acordo com a discussão acima, podemos dizer que a Autenticação verifica a identidade do usuário e a Autorização verifica o acesso e as permissões do usuário. Se o usuário não puder provar sua identidade, ele não poderá acessar o sistema. E se você estiver autenticado comprovando a identidade correta, mas não estiver autorizado a exercer uma função específica, não conseguirá acessá-la. No entanto, ambos os métodos de segurança são frequentemente usados em conjunto.