Jak identyfikacja, uwierzytelnianie i autoryzacja różnią się między sobą

To zdarza się każdemu z nas każdego dnia. Jesteśmy nieustannie identyfikowani, uwierzytelniani i autoryzowani przez różne systemy. A jednak wiele osób myli znaczenie tych słów, często używając terminów identyfikacja lub autoryzacja, gdy w rzeczywistości chodzi o uwierzytelnianie.

To nic wielkiego, o ile jest to tylko codzienna rozmowa i obie strony rozumieją, o czym mówią. Zawsze lepiej jest znać znaczenie słów, których używasz, jednak prędzej czy później natkniesz się na maniaka, który doprowadzi cię do szału wyjaśnieniami, czy jest to autoryzacja czy uwierzytelnianie, mniej czy więcej, które czy tamto, i tak dalej.

Więc, co oznaczają terminy identyfikacja, uwierzytelnianie i autoryzacja i jak te procesy różnią się od siebie? Po pierwsze, zajrzymy do Wikipedii:

• „Identyfikacja to akt wskazania tożsamości osoby lub rzeczy.”
• „Uwierzytelnianie to akt udowodnienia tożsamości użytkownika systemu komputerowego” (na przykład poprzez porównanie wprowadzonego hasła z hasłem przechowywanym w bazie danych).
• „Autoryzacja to funkcja określania praw dostępu/przywilejów do zasobów.”

Możesz zobaczyć, dlaczego ludzie, którzy nie są naprawdę zaznajomieni z tymi pojęciami, mogą je pomieszać.

Użycie szopów do wyjaśnienia identyfikacji, uwierzytelniania i autoryzacji

Teraz, dla większej prostoty, użyjmy przykładu. Załóżmy, że użytkownik chce się zalogować na swoje konto Google. Google działa dobrze jako przykład, ponieważ jego proces logowania jest zgrabnie podzielony na kilka podstawowych kroków. Oto jak to wygląda:

• Po pierwsze, system prosi o podanie loginu. Użytkownik go wpisuje, a system rozpoznaje go jako prawdziwy login. To jest identyfikacja.
• Google następnie prosi o podanie hasła. Użytkownik podaje je, a jeśli wprowadzone hasło pasuje do hasła przechowywanego, to system zgadza się, że użytkownik rzeczywiście wydaje się być prawdziwy. To jest uwierzytelnianie.
• W większości przypadków, Google następnie prosi o jednorazowy kod weryfikacyjny z wiadomości tekstowej lub aplikacji authenticator, zbyt. Jeśli użytkownik wprowadzi go również poprawnie, system w końcu zgodzi się, że jest on prawdziwym właścicielem konta. To jest uwierzytelnianie dwuskładnikowe.
• Wreszcie, system daje użytkownikowi prawo do czytania wiadomości w skrzynce odbiorczej i takie tam. To jest autoryzacja.

Uwierzytelnianie bez wcześniejszej identyfikacji nie ma sensu; bezcelowe byłoby rozpoczęcie sprawdzania, zanim system wiedziałby, czyją autentyczność zweryfikować. Trzeba się najpierw przedstawić.

Podobnie, identyfikacja bez uwierzytelniania byłaby głupotą. Każdy mógłby wprowadzić dowolny login, który istniałby w bazie danych – system potrzebowałby hasła. Ale ktoś mógłby podstępnie podejrzeć hasło lub po prostu je odgadnąć. Prośba o dodatkowy dowód, który może mieć tylko prawdziwy użytkownik, taki jak jednorazowy kod weryfikacyjny, jest lepsza.

Dla kontrastu, autoryzacja bez identyfikacji, nie mówiąc już o uwierzytelnianiu, jest całkiem możliwa. Na przykład, możesz zapewnić publiczny dostęp do swojego dokumentu w Google Drive, tak, że jest on dostępny dla każdego. W takim przypadku możesz zobaczyć powiadomienie, że Twój dokument jest przeglądany przez anonimowego szopa. Nawet jeśli szop jest anonimowy, system go autoryzował – to znaczy przyznał mu prawo do przeglądania dokumentu.

Jednakże, jeśli dałeś prawo do odczytu tylko niektórym użytkownikom, szop musiałby zostać zidentyfikowany (podając swój login), a następnie uwierzytelniony (podając hasło i jednorazowy kod weryfikacyjny), aby uzyskać prawo do przeczytania dokumentu (autoryzacja).

Jeśli chodzi o czytanie zawartości Twojej skrzynki pocztowej, Google nigdy nie upoważni anonimowego szopa do czytania Twoich wiadomości Szop musiałby przedstawić się jako Ty, podając Twój login i hasło, w którym to momencie nie byłby już anonimowym szopem; Google zidentyfikowałoby go jako Ciebie.

Więc teraz już wiesz, czym identyfikacja różni się od uwierzytelniania i autoryzacji. Jeszcze jeden ważny punkt: Uwierzytelnianie jest być może kluczowym procesem, jeśli chodzi o bezpieczeństwo Twojego konta. Jeśli używasz słabego hasła do uwierzytelniania, szop może porwać twoje konto. Dlatego:

• Utwórz silne i unikalne hasła dla wszystkich swoich kont.
• Jeśli masz problemy z zapamiętaniem haseł, menedżer haseł ma twoje plecy. Może pomóc w generowaniu haseł, too.
• Activate dwuskładnikowe uwierzytelnianie, z jednorazowych kodów weryfikacyjnych w wiadomościach tekstowych lub aplikacji authenticator, dla każdej usługi, która obsługuje go. W przeciwnym razie, jakiś anonimowy szop, który dostał w swoje łapy twoje hasło, będzie mógł przeczytać twoją tajną korespondencję lub zrobić coś jeszcze paskudniejszego.

.