Como a identificação, autenticação e autorização diferem

Acontece com cada um de nós todos os dias. Somos constantemente identificados, autenticados e autorizados por vários sistemas. E ainda assim, muitas pessoas confundem o significado dessas palavras, muitas vezes usando os termos identificação ou autorização quando, na verdade, eles estão falando sobre autenticação.

Não é nada demais, desde que seja apenas uma conversa cotidiana e ambos os lados entendam do que eles estão falando. Mas é sempre melhor saber o significado das palavras que você usa, e mais cedo ou mais tarde, você vai se deparar com um geek que vai deixá-lo louco de esclarecimentos, seja autorização versus autenticação, menos ou menos, qual ou qual, e assim por diante.

Então, o que significam os termos identificação, autenticação e autorização, e como os processos diferem um do outro? Primeiro, vamos consultar a Wikipedia:

• “Identificação é o ato de indicar a identidade de uma pessoa ou coisa”
• “Autenticação é o ato de provar a identidade de um usuário do sistema de computador” (por exemplo, comparando a senha digitada com a senha armazenada no banco de dados).
• “Autorização é a função de especificar direitos/privégios de acesso aos recursos”

Pode ver porque pessoas que não estão realmente familiarizadas com os conceitos podem misturá-los.

Utilizar guaxinins para explicar identificação, autenticação e autorização

Agora, para maior simplicidade, vamos usar um exemplo. Digamos que um usuário quer entrar na sua conta do Google. O Google funciona bem como um exemplo, porque seu processo de login é dividido em vários passos básicos. Aqui está o que parece:

• Primeiro, o sistema pede um login. O usuário entra em um e o sistema reconhece-o como um login real. Isto é identificação.
• Google então pede uma senha. O usuário a fornece, e se a senha digitada corresponder à senha armazenada, então o sistema concorda que o usuário realmente parece ser real. Isto é autenticação.
• Na maioria dos casos, o Google então pede um código de verificação único de uma mensagem de texto ou aplicativo autenticador, também. Se o usuário digitar isso corretamente também, o sistema finalmente concordará que ele ou ela é o verdadeiro dono da conta. Isto é autenticação de dois fatores.
• Finalmente, o sistema dá ao usuário o direito de ler as mensagens em sua caixa de entrada e assim por diante. Isto é autorização.

Autenticação sem identificação prévia não faz sentido; seria inútil começar a verificar antes que o sistema soubesse cuja autenticidade deve verificar. É preciso introduzir-se primeiro.

Autenticação sem autenticação seria uma tolice. Qualquer pessoa poderia digitar qualquer login que existisse no banco de dados – o sistema precisaria da senha. Mas alguém poderia dar uma olhada na senha ou simplesmente adivinhá-la. Pedir mais provas de que só o usuário real pode ter, como um código de verificação único, é melhor.

Por contraste, autorização sem identificação, quanto mais autenticação, é bem possível. Por exemplo, você pode fornecer acesso público ao seu documento no Google Drive, para que ele esteja disponível para qualquer pessoa. Nesse caso, você pode ver um aviso dizendo que seu documento está sendo visto por um guaxinim anônimo. Mesmo que o guaxinim seja anónimo, o sistema autorizou-o – ou seja, concedeu-lhe o direito de ver o documento.

No entanto, se tivesse dado o direito de leitura apenas a determinados utilizadores, o guaxinim teria de ser identificado (fornecendo o seu login), depois autenticado (fornecendo a palavra-passe e um código de verificação único) para ganhar o direito de ler o documento (autorização).

Quando se trata de ler o conteúdo da sua caixa de correio, o Google nunca autorizará um guaxinim anónimo a ler as suas mensagens O guaxinim teria de se apresentar como você, com o seu login e password, altura em que deixaria de ser um guaxinim anónimo; o Google identificá-lo-ia como você.

Então, agora você sabe de que forma a identificação é diferente da autenticação e autorização. Mais um ponto importante: A autenticação é talvez o processo chave em termos de segurança da sua conta. Se você estiver usando uma senha fraca para autenticação, um guaxinim pode seqüestrar sua conta. Portanto:

• Crie senhas fortes e únicas para todas as suas contas.
• Se você tiver problemas para lembrar suas senhas, um gerenciador de senhas tem suas costas. Ele também pode ajudar na geração de senhas.
• Ativar autenticação de dois fatores, com códigos de verificação única em mensagens de texto ou um aplicativo autenticador, para cada serviço que o suporte. Caso contrário, algum guaxinim anónimo que tenha as suas patas na sua password poderá ler a sua correspondência secreta ou fazer algo ainda mais desagradável.