Comment l’identification, l’authentification et l’autorisation diffèrent

Cela arrive à chacun d’entre nous tous les jours. Nous sommes constamment identifiés, authentifiés et autorisés par divers systèmes. Et pourtant, de nombreuses personnes confondent la signification de ces mots, utilisant souvent les termes identification ou autorisation alors qu’il s’agit en fait d’authentification.

Ce n’est pas grave tant qu’il s’agit d’une simple conversation de tous les jours et que les deux parties comprennent de quoi elles parlent. Il est toujours préférable de connaître le sens des mots que vous utilisez, cependant, et tôt ou tard, vous tomberez sur un geek qui vous rendra fou avec des clarifications, qu’il s’agisse d’autorisation par rapport à authentification, moins ou moins, lequel ou lequel, et ainsi de suite.

Donc, que signifient les termes identification, authentification et autorisation, et comment les processus diffèrent-ils les uns des autres ? Tout d’abord, nous allons consulter Wikipédia :

• « L’identification est l’action d’indiquer l’identité d’une personne ou d’une chose. »
• « L’authentification est l’action de prouver l’identité d’un utilisateur de système informatique » (par exemple, en comparant le mot de passe saisi avec le mot de passe stocké dans la base de données).
• « L’autorisation est la fonction qui consiste à spécifier les droits d’accès/privilèges aux ressources. »

Vous pouvez voir pourquoi les personnes qui ne sont pas vraiment familières avec ces concepts pourraient les mélanger.

Utilisation de ratons laveurs pour expliquer l’identification, l’authentification et l’autorisation

Maintenant, pour plus de simplicité, utilisons un exemple. Disons qu’un utilisateur veut se connecter à son compte Google. Google fonctionne bien comme exemple parce que son processus de connexion est proprement décomposé en plusieurs étapes de base. Voici à quoi il ressemble :

• Premièrement, le système demande un login. L’utilisateur en saisit un et le système le reconnaît comme un vrai login. C’est l’identification.
• Google demande ensuite un mot de passe. L’utilisateur le fournit, et si le mot de passe saisi correspond au mot de passe stocké, alors le système reconnaît que l’utilisateur semble effectivement être réel. C’est l’authentification.
• Dans la plupart des cas, Google demande ensuite un code de vérification à usage unique à partir d’un message texte ou d’une application d’authentification, également. Si l’utilisateur le saisit correctement également, le système acceptera finalement qu’il soit le véritable propriétaire du compte. C’est l’authentification à deux facteurs.
• Enfin, le système donne à l’utilisateur le droit de lire les messages dans sa boîte de réception et autres. C’est l’autorisation.

L’authentification sans identification préalable n’a aucun sens ; il serait inutile de commencer à vérifier avant que le système sache quelle authenticité vérifier. Il faut d’abord se présenter.

Dans le même ordre d’idées, l’identification sans authentification serait stupide. N’importe qui pourrait entrer n’importe quel login existant dans la base de données – le système aurait besoin du mot de passe. Mais quelqu’un pourrait jeter un coup d’œil furtif sur le mot de passe ou simplement le deviner. Demander une preuve supplémentaire que seul le véritable utilisateur peut avoir, comme un code de vérification à usage unique, est mieux.

En revanche, l’autorisation sans identification, et encore moins sans authentification, est tout à fait possible. Par exemple, vous pouvez fournir un accès public à votre document dans Google Drive, afin qu’il soit disponible pour tout le monde. Dans ce cas, vous pouvez voir un avis indiquant que votre document est consulté par un raton laveur anonyme. Même si le raton laveur est anonyme, le système l’a bien autorisé, c’est-à-dire lui a accordé le droit de consulter le document.

Cependant, si vous aviez donné le droit de lecture uniquement à certains utilisateurs, le raton laveur aurait dû se faire identifier (en fournissant son login), puis authentifier (en fournissant le mot de passe et un code de vérification à usage unique) pour obtenir le droit de lire le document (autorisation).

Lorsqu’il s’agit de lire le contenu de votre boîte aux lettres, Google n’autorisera jamais un raton laveur anonyme à lire vos messages Le raton laveur aurait dû se présenter comme vous, avec votre login et votre mot de passe, et à ce moment-là, ce ne serait plus un raton laveur anonyme ; Google l’identifierait comme vous.

Donc, vous savez maintenant en quoi l’identification est différente de l’authentification et de l’autorisation. Un autre point important : L’authentification est peut-être le processus clé en termes de sécurité de votre compte. Si vous utilisez un mot de passe faible pour l’authentification, un raton laveur pourrait détourner votre compte. Par conséquent :

• Créer des mots de passe forts et uniques pour tous vos comptes.
• Si vous avez du mal à vous souvenir de vos mots de passe, un gestionnaire de mots de passe a votre dos. Il peut aider à générer des mots de passe, aussi.
• Activer l’authentification à deux facteurs, avec des codes de vérification à usage unique dans les messages texte ou une application d’authentification, pour chaque service qui le prend en charge. Sinon, un raton laveur anonyme qui a mis la patte sur votre mot de passe pourra lire votre correspondance secrète ou faire quelque chose d’encore plus méchant.

.