Come differiscono identificazione, autenticazione e autorizzazione

Succede a ognuno di noi ogni giorno. Siamo costantemente identificati, autenticati e autorizzati da vari sistemi. Eppure, molte persone confondono il significato di queste parole, spesso usando i termini identificazione o autorizzazione quando, in realtà, stanno parlando di autenticazione.

Non è un grosso problema finché si tratta solo di una conversazione quotidiana ed entrambe le parti capiscono di cosa stanno parlando. È sempre meglio conoscere il significato delle parole che si usano, però, e prima o poi vi imbatterete in uno smanettone che vi farà impazzire con i chiarimenti, se si tratta di autorizzazione contro autenticazione, meno o meno, quale o quello, e così via.

Quindi, cosa significano i termini identificazione, autenticazione e autorizzazione, e come differiscono i processi tra loro? Per prima cosa, consulteremo Wikipedia:

• “L’identificazione è l’atto di indicare l’identità di una persona o di una cosa”
• “L’autenticazione è l’atto di provare l’identità dell’utente di un sistema informatico” (per esempio, confrontando la password inserita con quella memorizzata nel database).
• “L’autorizzazione è la funzione di specificare i diritti/privilegi di accesso alle risorse.”

Capite perché le persone che non hanno molta familiarità con questi concetti potrebbero confonderli.

Usare i procioni per spiegare identificazione, autenticazione e autorizzazione

Ora, per maggiore semplicità, facciamo un esempio. Diciamo che un utente vuole accedere al suo account Google. Google funziona bene come esempio perché il suo processo di login è ben suddiviso in diversi passi fondamentali. Ecco come appare:

• Primo, il sistema chiede un login. L’utente ne inserisce uno e il sistema lo riconosce come un vero login. Questa è l’identificazione.
• Google chiede poi una password. L’utente la fornisce, e se la password inserita corrisponde alla password memorizzata, allora il sistema concorda che l’utente sembra essere reale. Questa è l’autenticazione.
• Nella maggior parte dei casi, Google chiede poi un codice di verifica una tantum da un messaggio di testo o da un’app di autenticazione. Se l’utente inserisce anche questo correttamente, il sistema finalmente accetta che lui o lei è il vero proprietario dell’account. Questa è l’autenticazione a due fattori.
• Infine, il sistema dà all’utente il diritto di leggere i messaggi nella sua casella di posta e simili. Questa è l’autorizzazione.

L’autenticazione senza identificazione preliminare non ha senso; sarebbe inutile iniziare a controllare prima che il sistema sappia di chi è l’autenticità da verificare. Bisogna prima presentarsi.

Sulla stessa linea, l’identificazione senza autenticazione sarebbe stupida. Chiunque potrebbe inserire qualsiasi login che esiste nel database – il sistema avrebbe bisogno della password. Ma qualcuno potrebbe sbirciare di nascosto la password o semplicemente indovinarla. Chiedere un’ulteriore prova che solo il vero utente può avere, come un codice di verifica una tantum, è meglio.

Al contrario, l’autorizzazione senza identificazione, per non parlare dell’autenticazione, è abbastanza possibile. Per esempio, si può fornire un accesso pubblico al proprio documento in Google Drive, in modo che sia disponibile a chiunque. In questo caso potreste vedere un avviso che dice che il vostro documento viene visualizzato da un procione anonimo. Anche se il procione è anonimo, il sistema lo ha autorizzato – cioè gli ha concesso il diritto di visualizzare il documento.

Tuttavia, se aveste dato il diritto di lettura solo a certi utenti, il procione avrebbe dovuto essere identificato (fornendo il suo login), poi autenticato (fornendo la password e un codice di verifica unico) per ottenere il diritto di leggere il documento (autorizzazione).

Quando si tratta di leggere il contenuto della tua casella di posta, Google non autorizzerà mai un procione anonimo a leggere i tuoi messaggi Il procione dovrebbe presentarsi come te, con il tuo login e la tua password, a quel punto non sarebbe più un procione anonimo; Google lo identificherebbe come te.

Quindi, ora sai in che modo l’identificazione è diversa dall’autenticazione e dall’autorizzazione. Un altro punto importante: L’autenticazione è forse il processo chiave in termini di sicurezza del vostro account. Se state usando una password debole per l’autenticazione, un procione potrebbe dirottare il vostro account. Pertanto:

• Crea password forti e uniche per tutti i tuoi account.
• Se hai problemi a ricordare le tue password, un password manager ti aiuta. Può aiutare anche a generare password.
• Attiva l’autenticazione a due fattori, con codici di verifica una tantum in messaggi di testo o un’applicazione di autenticazione, per ogni servizio che la supporta. Altrimenti, qualche procione anonimo che ha messo le zampe sulla tua password sarà in grado di leggere la tua corrispondenza segreta o fare qualcosa di ancora più brutto.