En qué se diferencian la identificación, la autenticación y la autorización

Nos pasa a todos cada día. Constantemente somos identificados, autentificados y autorizados por diversos sistemas. Y, sin embargo, mucha gente confunde los significados de estas palabras, utilizando a menudo los términos identificación o autorización cuando, en realidad, están hablando de autenticación.

Eso no es un gran problema siempre que se trate de una conversación cotidiana y ambas partes entiendan de qué están hablando. Sin embargo, siempre es mejor conocer el significado de las palabras que se usan, y tarde o temprano te encontrarás con un friki que te volverá loco con las aclaraciones, si es autorización frente a autenticación, menos o menos, cuál o cuál, y así sucesivamente.

Entonces, ¿qué significan los términos identificación, autenticación y autorización, y en qué se diferencian unos procesos de otros? En primer lugar, consultaremos la Wikipedia:

• «La identificación es el acto de indicar la identidad de una persona o cosa»
• «La autenticación es el acto de probar la identidad de un usuario de un sistema informático» (por ejemplo, comparando la contraseña introducida con la almacenada en la base de datos).
• «La autorización es la función de especificar los derechos/privilegios de acceso a los recursos».

Puedes ver por qué la gente que no está realmente familiarizada con los conceptos podría confundirlos.

Usando mapaches para explicar la identificación, la autenticación y la autorización

Ahora, para mayor simplicidad, vamos a usar un ejemplo. Digamos que un usuario quiere iniciar sesión en su cuenta de Google. Google funciona bien como ejemplo porque su proceso de inicio de sesión está claramente dividido en varios pasos básicos. Esto es lo que parece:

• En primer lugar, el sistema pide un nombre de usuario. El usuario introduce uno y el sistema lo reconoce como un inicio de sesión real. Esto es una identificación.
• A continuación, Google pide una contraseña. El usuario la proporciona, y si la contraseña introducida coincide con la almacenada, entonces el sistema acepta que el usuario efectivamente parece ser real. Esto es la autenticación.
• En la mayoría de los casos, Google entonces pide un código de verificación de una sola vez de un mensaje de texto o una aplicación de autenticación, también. Si el usuario también lo introduce correctamente, el sistema finalmente aceptará que es el verdadero propietario de la cuenta. Esto es la autenticación de dos factores.
• Por último, el sistema da al usuario el derecho a leer los mensajes en su bandeja de entrada y demás. Esto es la autorización.

La autenticación sin identificación previa no tiene sentido; no tendría sentido empezar a comprobar antes de que el sistema supiera de quién es la autenticidad a verificar. Hay que presentarse primero.

En la misma línea, la identificación sin autentificación sería una tontería. Cualquiera podría introducir cualquier nombre de usuario que existiera en la base de datos: el sistema necesitaría la contraseña. Pero alguien podría ver a escondidas la contraseña o simplemente adivinarla. Pedir una prueba adicional que sólo el usuario real puede tener, como un código de verificación de una sola vez, es mejor.

Por el contrario, la autorización sin identificación, por no hablar de la autenticación, es bastante posible. Por ejemplo, puedes proporcionar acceso público a tu documento en Google Drive, de modo que esté disponible para cualquiera. En ese caso, podrías ver un aviso diciendo que tu documento está siendo visto por un mapache anónimo. Aunque el mapache es anónimo, el sistema lo autorizó, es decir, le concedió el derecho a ver el documento.

Sin embargo, si hubieras dado el derecho de lectura sólo a ciertos usuarios, el mapache habría tenido que identificarse (proporcionando su nombre de usuario), y luego autenticarse (proporcionando la contraseña y un código de verificación de una sola vez) para obtener el derecho a leer el documento (autorización).

Cuando se trata de leer el contenido de tu buzón de correo, Google nunca autorizará a un mapache anónimo a leer tus mensajes El mapache tendría que presentarse como tú, con tu nombre de usuario y contraseña, momento en el que ya no sería un mapache anónimo; Google lo identificaría como tú.

Así que ahora ya sabes en qué se diferencian la identificación de la autenticación y la autorización. Un punto más importante: La autenticación es quizás el proceso clave en términos de seguridad de su cuenta. Si usted está usando una contraseña débil para la autenticación, un mapache podría secuestrar su cuenta. Por lo tanto:

• Crea contraseñas fuertes y únicas para todas tus cuentas.
• Si tienes problemas para recordar tus contraseñas, un gestor de contraseñas te respalda. También puede ayudarte a generar contraseñas.
• Activa la autenticación de dos factores, con códigos de verificación de una sola vez en mensajes de texto o una aplicación de autenticación, para todos los servicios que la admitan. De lo contrario, algún mapache anónimo que haya puesto sus garras en tu contraseña podrá leer tu correspondencia secreta o hacer algo aún más desagradable.