Autenticazione e autorizzazione sono le due parole usate nel mondo della sicurezza. Potrebbero sembrare simili ma sono completamente diversi l'uno dall'altro. L'autenticazione viene utilizzata per autenticare l'identità di qualcuno, mentre l'autorizzazione è un modo per fornire il permesso a qualcuno di accedere a una particolare risorsa. Questi sono i due termini di sicurezza di base e quindi devono essere compresi a fondo. In questo argomento discuteremo cosa sono l'autenticazione e l'autorizzazione e come si differenziano l'una dall'altra.
Cos'è l'autenticazione?
- L'autenticazione è il processo di identificazione dell'identità di qualcuno assicurando che la persona corrisponda a ciò che sta rivendicando.
- Viene utilizzato sia dal server che dal client. Il server utilizza l'autenticazione quando qualcuno desidera accedere alle informazioni e il server deve sapere chi sta accedendo alle informazioni. Il client lo utilizza quando vuole sapere che è lo stesso server che afferma di essere.
- L'autenticazione da parte del server viene eseguita principalmente utilizzando il file nome utente e password. È possibile utilizzare anche altri metodi di autenticazione da parte del server carte, scansioni della retina, riconoscimento vocale e impronte digitali.
- L'autenticazione non garantisce quali attività nell'ambito di un processo una persona può eseguire, quali file può visualizzare, leggere o aggiornare. Identifica principalmente chi è effettivamente la persona o il sistema.
Fattori di autenticazione
A seconda dei livelli di sicurezza e del tipo di applicazione, esistono diversi tipi di fattori di autenticazione:
L'autenticazione a fattore singolo è il modo più semplice di autenticazione. Ha solo bisogno di un nome utente e una password per consentire a un utente di accedere a un sistema.
Come dice il nome, si tratta di una sicurezza a due livelli; quindi è necessaria la verifica in due passaggi per autenticare un utente. Non richiede solo un nome utente e una password, ma necessita anche di informazioni univoche che solo il particolare utente conosce, ad esempio come nome della prima scuola, una destinazione preferita . Oltre a ciò, può anche verificare l'utente inviando l'OTP o un collegamento univoco al numero registrato o all'indirizzo e-mail dell'utente.
Questo è il livello di autorizzazione più sicuro e avanzato. Richiede due o più livelli di sicurezza di categorie diverse e indipendenti. Questo tipo di autenticazione viene solitamente utilizzato nelle organizzazioni finanziarie, nelle banche e nelle forze dell'ordine. Ciò garantisce l'eliminazione di qualsiasi esposizione di dati da parte di terzi o hacker.
Famose tecniche di autenticazione
1. Autenticazione basata su password
È il modo più semplice di autenticazione. Richiede la password per il particolare nome utente. Se la password corrisponde al nome utente ed entrambi i dettagli corrispondono al database del sistema, l'utente verrà autenticato con successo.
2. Autenticazione senza password
In questa tecnica l'utente non necessita di alcuna password; riceve invece una OTP (password monouso) o un collegamento sul suo numero di cellulare o numero di telefono registrato. Si può anche dire autenticazione basata su OTP.
3. 2FA/MFA
L'autenticazione 2FA/MFA o a 2 fattori/autenticazione a più fattori è il livello di autenticazione più elevato. Richiede PIN aggiuntivi o domande di sicurezza per poter autenticare l'utente.
4. Accesso singolo
Accesso singolo O SSO è un modo per consentire l'accesso a più applicazioni con un unico set di credenziali. Consente all'utente di accedere una volta e verrà automaticamente connesso a tutte le altre app Web dalla stessa directory centralizzata.
5. Autenticazione sociale
L'autenticazione sociale non richiede sicurezza aggiuntiva; verifica invece l'utente con le credenziali esistenti per il social network disponibile.
Cos'è l'autorizzazione?
- L'autorizzazione è il processo che concede a qualcuno di fare qualcosa. Significa che è un modo per verificare se l'utente ha il permesso di utilizzare una risorsa o meno.
- Definisce a quali dati e informazioni un utente può accedere. Si dice anche come AuthZ.
- L'autorizzazione di solito funziona con l'autenticazione in modo che il sistema possa sapere chi sta accedendo alle informazioni.
- Non sempre è necessaria l'autorizzazione per accedere alle informazioni disponibili su Internet. È possibile accedere ad alcuni dati disponibili su Internet senza alcuna autorizzazione, ad esempio è possibile leggere informazioni su qualsiasi tecnologia da Qui .
Tecniche di autorizzazione
La tecnica RBAC o di controllo degli accessi basata sul ruolo viene fornita agli utenti in base al loro ruolo o profilo nell'organizzazione. Può essere implementato per sistema-sistema o utente-sistema.
Il token web JSON o JWT è uno standard aperto utilizzato per trasmettere in modo sicuro i dati tra le parti sotto forma di oggetto JSON. Gli utenti vengono verificati e autorizzati utilizzando la coppia di chiavi privata/pubblica.
SAML sta per Linguaggio di markup per l'asserzione di sicurezza. È uno standard aperto che fornisce credenziali di autorizzazione ai fornitori di servizi. Tali credenziali vengono scambiate tramite documenti XML firmati digitalmente.
Aiuta i clienti a verificare l'identità degli utenti finali sulla base dell'autenticazione.
OAuth è un protocollo di autorizzazione che consente all'API di autenticarsi e accedere alle risorse richieste.
Grafico delle differenze tra autenticazione e autorizzazione
| Autenticazione | Autorizzazione |
|---|---|
| L'autenticazione è il processo di identificazione di un utente per fornire l'accesso a un sistema. | L'autorizzazione è il processo di concessione del permesso per accedere alle risorse. |
| In questo, l'utente o il client e il server vengono verificati. | In questo, viene verificato che l'utente sia autorizzato attraverso le politiche e le regole definite. |
| Di solito viene eseguita prima dell'autorizzazione. | Di solito viene eseguito una volta che l'utente è stato autenticato con successo. |
| Richiede i dettagli di accesso dell'utente, come nome utente e password, ecc. | Richiede i privilegi o il livello di sicurezza dell'utente. |
| I dati vengono forniti tramite gli ID token. | I dati vengono forniti tramite i token di accesso. |
| Esempio: L'immissione dei dettagli di accesso è necessaria affinché i dipendenti possano autenticarsi per accedere alle e-mail o al software organizzativi. | Esempio: Dopo che i dipendenti si sono autenticati con successo, possono accedere e lavorare su determinate funzioni solo in base ai loro ruoli e profili. |
| Le credenziali di autenticazione possono essere parzialmente modificate dall'utente secondo il requisito. | I permessi di autorizzazione non possono essere modificati dall'utente. I permessi vengono concessi all'utente dal proprietario/gestore del sistema e questi può solo modificarli. |
Conclusione
Secondo la discussione precedente, possiamo dire che l'autenticazione verifica l'identità dell'utente e l'autorizzazione verifica l'accesso e le autorizzazioni dell'utente. Se l'utente non può dimostrare la propria identità, non può accedere al sistema. E se ti sei autenticato dimostrando la corretta identità, ma non sei autorizzato a svolgere una determinata funzione, non potrai accedervi. Tuttavia, entrambi i metodi di sicurezza vengono spesso utilizzati insieme.