Jak se liší identifikace, autentizace a autorizace

Stává se to každému z nás každý den. Jsme neustále identifikováni, autentizováni a autorizováni různými systémy. A přesto si mnozí lidé pletou význam těchto slov a často používají termíny identifikace nebo autorizace, i když ve skutečnosti mluví o autentizaci.

To není nic hrozného, pokud jde jen o běžnou konverzaci a obě strany chápou, o čem mluví. Vždy je však lepší znát význam používaných slov a dříve nebo později narazíte na podivína, který vás bude vytáčet upřesňováním, zda jde o autorizaci versus autentizaci, méně nebo méně, který nebo ten a tak dále.

Co tedy znamenají pojmy identifikace, autentizace a autorizace a jak se od sebe tyto procesy liší? Nejprve se podíváme do Wikipedie:

• „Identifikace je akt označení identity osoby nebo věci.“
• „Autentizace je akt prokázání identity uživatele počítačového systému“ (například porovnáním zadaného hesla s heslem uloženým v databázi).
• „Autorizace je funkce určení přístupových práv/privilegií ke zdrojům.“

Je vám jasné, proč si je lidé, kteří se v těchto pojmech příliš nevyznají, mohou plést.

Pomocí mývalů vysvětlíme identifikaci, autentizaci a autorizaci

Nyní pro větší jednoduchost použijeme příklad. Řekněme, že se uživatel chce přihlásit ke svému účtu Google. Google funguje jako příklad dobře, protože jeho přihlašovací proces je přehledně rozdělen do několika základních kroků. Takto vypadá:

• Nejprve systém požádá o přihlášení. Uživatel ho zadá a systém ho rozpozná jako skutečné přihlášení. Jedná se o identifikaci.
• Google poté požádá o zadání hesla. Uživatel jej zadá, a pokud se zadané heslo shoduje s uloženým heslem, pak systém uzná, že se uživatel skutečně jeví jako skutečný. To je autentizace.
• Ve většině případů pak Google požádá o jednorázový ověřovací kód také z textové zprávy nebo autentizační aplikace. Pokud uživatel zadá správně i ten, systém nakonec odsouhlasí, že je skutečným vlastníkem účtu. Jedná se o dvoufaktorové ověřování.
• Nakonec systém uživateli poskytne právo číst zprávy ve své schránce a podobně. To je autorizace.

Ověřování bez předchozí identifikace nemá smysl; bylo by zbytečné začít s kontrolou dříve, než by systém věděl, čí pravost má ověřit. Člověk se musí nejprve představit.

Podle stejného principu by identifikace bez autentizace byla hloupost. Každý by mohl zadat jakýkoli login, který by existoval v databázi – systém by potřeboval heslo. Ale někdo by mohl heslo tajně nahlédnout nebo ho prostě uhodnout. Požadovat další důkaz, který může mít jen skutečný uživatel, například jednorázový ověřovací kód, je lepší.

Oproti tomu autorizace bez identifikace, natož autentizace, je docela dobře možná. Můžete například poskytnout veřejný přístup k dokumentu na Disku Google, takže bude dostupný komukoli. V takovém případě se může zobrazit oznámení, že si váš dokument prohlíží anonymní mýval. Přestože je mýval anonymní, systém ho autorizoval – tj. udělil mu právo na prohlížení dokumentu.

Pokud byste však právo na čtení udělili pouze určitým uživatelům, musel by se mýval nechat identifikovat (zadáním svého přihlašovacího jména), poté ověřit (zadáním hesla a jednorázového ověřovacího kódu), aby získal právo na čtení dokumentu (autorizaci).

Pokud jde o čtení obsahu vaší poštovní schránky, Google nikdy neautorizuje anonymního mývala ke čtení vašich zpráv Mýval by se musel představit jako vy, s vaším přihlašovacím jménem a heslem, v tu chvíli by již nebyl anonymním mývalem; Google by ho identifikoval jako vás.

Takže nyní víte, v čem se identifikace liší od autentizace a autorizace. Ještě jeden důležitý bod: Autentizace je pravděpodobně klíčovým procesem z hlediska zabezpečení vašeho účtu. Pokud pro ověření používáte slabé heslo, může se vašeho účtu zmocnit mýval. Proto:

• Vytvořte si silná a jedinečná hesla pro všechny své účty.
• Pokud máte problémy se zapamatováním hesel, správce hesel vám kryje záda. Může vám pomoci i s generováním hesel.
• Aktivujte dvoufaktorové ověřování pomocí jednorázových ověřovacích kódů v textových zprávách nebo v autentizační aplikaci u všech služeb, které ho podporují. Jinak si nějaký anonymní mýval, který se dostal k vašemu heslu, bude moci přečíst vaši tajnou korespondenci nebo provést něco ještě nepěknějšího.