Autentificering og autorisation er de to ord, der bruges i sikkerhedsverdenen. De lyder måske ens, men er fuldstændig forskellige fra hinanden. Godkendelse bruges til at godkende en persons identitet, hvorimod autorisation er en måde at give nogen tilladelse til at få adgang til en bestemt ressource. Dette er de to grundlæggende sikkerhedsudtryk og skal derfor forstås grundigt. I dette emne vil vi diskutere, hvad godkendelse og autorisation er, og hvordan de adskiller sig fra hinanden.
Hvad er godkendelse?
- Autentificering er processen med at identificere en persons identitet ved at sikre, at personen er den samme, som han gør krav på.
- Det bruges af både server og klient. Serveren bruger godkendelse, når nogen vil have adgang til informationen, og serveren skal vide, hvem der tilgår informationen. Klienten bruger det, når han vil vide, at det er den samme server, som den hævder at være.
- Autentificeringen af serveren udføres for det meste ved at bruge brugernavn og adgangskode. Andre måder til autentificering af serveren kan også udføres ved hjælp af kort, nethindescanninger, stemmegenkendelse og fingeraftryk.
- Autentificering sikrer ikke, hvilke opgaver under en proces én person kan udføre, hvilke filer han kan se, læse eller opdatere. Det identificerer for det meste, hvem personen eller systemet faktisk er.
Autentificeringsfaktorer
I henhold til sikkerhedsniveauerne og applikationstypen er der forskellige typer godkendelsesfaktorer:
Enkeltfaktorgodkendelse er den enkleste måde at godkende på. Det skal bare bruge et brugernavn og en adgangskode for at give en bruger adgang til et system.
Ifølge navnet er det to-niveau sikkerhed; derfor har den brug for totrinsbekræftelse for at godkende en bruger. Det kræver ikke kun et brugernavn og adgangskode, men har også brug for den unikke information, som kun den enkelte bruger kender, f.eks som første skolenavn, en favorit destination . Udover dette kan den også bekræfte brugeren ved at sende OTP eller et unikt link på brugerens registrerede nummer eller e-mailadresse.
Dette er det mest sikre og avancerede autorisationsniveau. Det kræver to eller mere end to sikkerhedsniveauer fra forskellige og uafhængige kategorier. Denne type godkendelse bruges normalt i finansielle organisationer, banker og retshåndhævende myndigheder. Dette sikrer at eliminere enhver dataeksponering fra tredjepart eller hackere.
Berømte godkendelsesteknikker
1. Adgangskodebaseret godkendelse
Det er den enkleste måde at autentificere. Det kræver adgangskoden til det pågældende brugernavn. Hvis adgangskoden stemmer overens med brugernavnet, og begge detaljer matcher systemets database, vil brugeren blive autentificeret.
2. Adgangskodefri godkendelse
I denne teknik behøver brugeren ikke nogen adgangskode; i stedet får han en OTP (One-time password) eller link på sit registrerede mobilnummer eller telefonnummer. Det kan også siges OTP-baseret godkendelse.
3. 2FA/MFA
2FA/MFA eller 2-faktor-godkendelse/multi-faktor-godkendelse er det højeste niveau af godkendelse. Det kræver yderligere PIN- eller sikkerhedsspørgsmål, så det kan autentificere brugeren.
4. Single Sign-on
Single Sign-on eller SSO er en måde at give adgang til flere applikationer med et enkelt sæt legitimationsoplysninger. Det giver brugeren mulighed for at logge ind én gang, og det vil automatisk blive logget ind på alle andre webapps fra den samme centraliserede mappe.
5. Social autentificering
Social autentificering kræver ikke yderligere sikkerhed; i stedet verificerer den brugeren med de eksisterende legitimationsoplysninger for det tilgængelige sociale netværk.
Hvad er autorisation?
- Autorisation er processen med at give nogen til at gøre noget. Det betyder, at det er en måde at kontrollere, om brugeren har tilladelse til at bruge en ressource eller ej.
- Den definerer, hvilke data og oplysninger en bruger kan få adgang til. Det siges også som AuthZ.
- Autorisationen fungerer normalt med godkendelse, så systemet kan vide, hvem der har adgang til oplysningerne.
- Autorisation er ikke altid nødvendig for at få adgang til oplysninger, der er tilgængelige via internettet. Nogle data, der er tilgængelige over internettet, kan tilgås uden nogen autorisation, som du kan læse om enhver teknologi fra her .
Autorisationsteknikker
RBAC eller rollebaseret adgangskontrolteknik gives til brugere i henhold til deres rolle eller profil i organisationen. Det kan implementeres for system-system eller bruger-til-system.
JSON-webtoken eller JWT er en åben standard, der bruges til sikker transmission af data mellem parterne i form af JSON-objektet. Brugerne verificeres og autoriseres ved hjælp af det private/offentlige nøglepar.
SAML står for Security Assertion Markup Language. Det er en åben standard, der giver autorisationsoplysninger til tjenesteudbydere. Disse legitimationsoplysninger udveksles gennem digitalt signerede XML-dokumenter.
Det hjælper kunderne med at verificere slutbrugernes identitet på grundlag af autentificering.
OAuth er en godkendelsesprotokol, som gør det muligt for API'en at godkende og få adgang til de anmodede ressourcer.
Forskelsdiagram mellem godkendelse og autorisation
| Godkendelse | Bemyndigelse |
|---|---|
| Autentificering er processen med at identificere en bruger for at give adgang til et system. | Autorisation er processen med at give tilladelse til at få adgang til ressourcerne. |
| I denne verificeres brugeren eller klienten og serveren. | I denne er det verificeret, at hvis brugeren er tilladt gennem de definerede politikker og regler. |
| Det udføres normalt før autorisation. | Det gøres normalt, når brugeren er blevet godkendt. |
| Det kræver brugerens loginoplysninger, såsom brugernavn og adgangskode osv. | Det kræver brugerens privilegium eller sikkerhedsniveau. |
| Data leveres gennem token-id'erne. | Data leveres gennem adgangstokens. |
| Eksempel: Indtastning af loginoplysninger er nødvendig for, at medarbejderne kan autentificere sig selv for at få adgang til organisatoriske e-mails eller software. | Eksempel: Efter at medarbejderne har godkendt sig selv, kan de kun få adgang til og arbejde på visse funktioner i henhold til deres roller og profiler. |
| Autentificeringslegitimationsoplysninger kan ændres delvist af brugeren i henhold til kravet. | Autorisationstilladelser kan ikke ændres af brugeren. Tilladelserne gives til en bruger af ejeren/administratoren af systemet, og han kan kun ændre det. |
Konklusion
I henhold til ovenstående diskussion kan vi sige, at godkendelse verificerer brugerens identitet, og autorisation verificerer brugerens adgang og tilladelser. Hvis brugeren ikke kan bevise sin identitet, kan de ikke få adgang til systemet. Og hvis du er autentificeret ved at bevise den korrekte identitet, men du ikke er autoriseret til at udføre en bestemt funktion, vil du ikke kunne få adgang til det. Begge sikkerhedsmetoder bruges dog ofte sammen.