Authentifizierung und Autorisierung sind die beiden Wörter, die in der Sicherheitswelt verwendet werden. Sie klingen vielleicht ähnlich, unterscheiden sich aber völlig voneinander. Die Authentifizierung wird verwendet, um die Identität einer Person zu authentifizieren, während die Autorisierung eine Möglichkeit ist, jemandem die Erlaubnis zu erteilen, auf eine bestimmte Ressource zuzugreifen. Dies sind die beiden grundlegenden Sicherheitsbegriffe und müssen daher gründlich verstanden werden. In diesem Thema besprechen wir, was Authentifizierung und Autorisierung sind und wie sie sich voneinander unterscheiden.
Was ist Authentifizierung?
- Bei der Authentifizierung handelt es sich um den Prozess der Identifizierung der Identität einer Person, indem sichergestellt wird, dass die Person mit dem übereinstimmt, was sie behauptet.
- Es wird sowohl vom Server als auch vom Client verwendet. Der Server verwendet eine Authentifizierung, wenn jemand auf die Informationen zugreifen möchte, und der Server muss wissen, wer auf die Informationen zugreift. Der Client verwendet ihn, wenn er wissen möchte, dass es sich um denselben Server handelt, für den er sich ausgibt.
- Die Authentifizierung durch den Server erfolgt meist über die Benutzername und Passwort. Es können auch andere Möglichkeiten der Authentifizierung durch den Server verwendet werden Karten, Netzhautscans, Spracherkennung und Fingerabdrücke.
- Durch die Authentifizierung wird nicht sichergestellt, welche Aufgaben im Rahmen eines Prozesses eine Person ausführen kann, welche Dateien sie anzeigen, lesen oder aktualisieren kann. Es identifiziert hauptsächlich, wer die Person oder das System tatsächlich ist.
Authentifizierungsfaktoren
Abhängig von der Sicherheitsstufe und der Art der Anwendung gibt es verschiedene Arten von Authentifizierungsfaktoren:
Die Ein-Faktor-Authentifizierung ist die einfachste Art der Authentifizierung. Es sind lediglich ein Benutzername und ein Passwort erforderlich, um einem Benutzer den Zugriff auf ein System zu ermöglichen.
Wie der Name schon sagt, handelt es sich um zweistufige Sicherheit; Daher ist zur Authentifizierung eines Benutzers eine zweistufige Verifizierung erforderlich. Es sind nicht nur ein Benutzername und ein Passwort erforderlich, sondern auch eindeutige Informationen, die nur der jeweilige Benutzer kennt, z als Vorname der Schule ein Lieblingsziel . Darüber hinaus kann der Benutzer auch durch Senden des OTP oder eines eindeutigen Links an die registrierte Nummer oder E-Mail-Adresse des Benutzers überprüft werden.
Dies ist die sicherste und fortschrittlichste Autorisierungsstufe. Es erfordert zwei oder mehr Sicherheitsstufen aus unterschiedlichen und unabhängigen Kategorien. Diese Art der Authentifizierung wird üblicherweise in Finanzorganisationen, Banken und Strafverfolgungsbehörden verwendet. Dadurch wird sichergestellt, dass jegliche Datenexponierung durch Dritte oder Hacker ausgeschlossen wird.
Berühmte Authentifizierungstechniken
1. Passwortbasierte Authentifizierung
Es ist die einfachste Art der Authentifizierung. Es erfordert das Passwort für den jeweiligen Benutzernamen. Wenn das Passwort mit dem Benutzernamen übereinstimmt und beide Angaben mit der Datenbank des Systems übereinstimmen, wird der Benutzer erfolgreich authentifiziert.
2. Passwortlose Authentifizierung
Bei dieser Technik benötigt der Benutzer kein Passwort; Stattdessen erhält er ein OTP (Einmalpasswort) oder einen Link zu seiner registrierten Mobiltelefonnummer oder Telefonnummer. Man kann auch von einer OTP-basierten Authentifizierung sprechen.
3. 2FA/MFA
2FA/MFA oder 2-Faktor-Authentifizierung/Multi-Faktor-Authentifizierung ist die höhere Authentifizierungsstufe. Zur Authentifizierung des Benutzers sind zusätzliche PIN- oder Sicherheitsfragen erforderlich.
4. Einmaliges Anmelden
Einmalige Anmeldung oder SSO ist eine Möglichkeit, den Zugriff auf mehrere Anwendungen mit einem einzigen Satz von Anmeldeinformationen zu ermöglichen. Der Benutzer kann sich einmal anmelden und wird dann automatisch bei allen anderen Web-Apps aus demselben zentralen Verzeichnis angemeldet.
5. Soziale Authentifizierung
Für die soziale Authentifizierung ist keine zusätzliche Sicherheit erforderlich. Stattdessen wird der Benutzer anhand der vorhandenen Anmeldeinformationen für das verfügbare soziale Netzwerk überprüft.
Was ist eine Autorisierung?
- Bei der Autorisierung handelt es sich um den Vorgang, jemandem zu gestatten, etwas zu tun. Dies bedeutet, dass es eine Möglichkeit ist, zu überprüfen, ob der Benutzer die Berechtigung zur Nutzung einer Ressource hat oder nicht.
- Es definiert, auf welche Daten und Informationen ein Benutzer zugreifen kann. Es wird auch als AuthZ bezeichnet.
- Die Autorisierung funktioniert normalerweise mit einer Authentifizierung, sodass das System erkennen kann, wer auf die Informationen zugreift.
- Für den Zugriff auf im Internet verfügbare Informationen ist nicht immer eine Genehmigung erforderlich. Auf einige über das Internet verfügbare Daten kann ohne Genehmigung zugegriffen werden, z. B. können Sie sich über jede Technologie informieren Hier .
Autorisierungstechniken
RBAC oder rollenbasierte Zugriffskontrolltechnik wird Benutzern entsprechend ihrer Rolle oder ihrem Profil in der Organisation bereitgestellt. Es kann für System-System oder Benutzer-zu-System implementiert werden.
JSON Web Token oder JWT ist ein offener Standard, der zur sicheren Übertragung der Daten zwischen den Parteien in Form des JSON-Objekts verwendet wird. Die Benutzer werden mithilfe des privaten/öffentlichen Schlüsselpaars überprüft und autorisiert.
SAML steht für Markup-Sprache für Sicherheitsbehauptungen. Es handelt sich um einen offenen Standard, der Dienstanbietern Autorisierungsnachweise bereitstellt. Diese Anmeldeinformationen werden über digital signierte XML-Dokumente ausgetauscht.
Es hilft den Clients, die Identität von Endbenutzern anhand der Authentifizierung zu überprüfen.
OAuth ist ein Autorisierungsprotokoll, das es der API ermöglicht, die angeforderten Ressourcen zu authentifizieren und darauf zuzugreifen.
Differenzdiagramm zwischen Authentifizierung und Autorisierung
Authentifizierung | Genehmigung |
---|---|
Bei der Authentifizierung handelt es sich um den Prozess der Identifizierung eines Benutzers, um Zugriff auf ein System zu gewähren. | Bei der Autorisierung handelt es sich um den Prozess der Erteilung der Erlaubnis zum Zugriff auf die Ressourcen. |
Dabei werden der Benutzer bzw. Client und Server verifiziert. | Dabei wird überprüft, ob der Benutzer durch die definierten Richtlinien und Regeln zugelassen wird. |
Sie wird in der Regel vor der Autorisierung durchgeführt. | Dies erfolgt normalerweise, sobald der Benutzer erfolgreich authentifiziert wurde. |
Es erfordert die Anmeldedaten des Benutzers, wie Benutzername und Passwort usw. | Es erfordert die Berechtigung oder Sicherheitsstufe des Benutzers. |
Die Daten werden über die Token-IDs bereitgestellt. | Die Daten werden über die Zugriffstoken bereitgestellt. |
Beispiel: Die Eingabe von Anmeldedaten ist erforderlich, damit sich die Mitarbeiter authentifizieren können, um auf die E-Mails oder Software der Organisation zuzugreifen. | Beispiel: Nachdem sich Mitarbeiter erfolgreich authentifiziert haben, können sie nur gemäß ihren Rollen und Profilen auf bestimmte Funktionen zugreifen und diese bearbeiten. |
Die Authentifizierungsdaten können je nach Anforderung teilweise vom Benutzer geändert werden. | Autorisierungsberechtigungen können vom Benutzer nicht geändert werden. Die Berechtigungen werden einem Benutzer vom Eigentümer/Manager des Systems erteilt und er kann sie nur ändern. |
Abschluss
Gemäß der obigen Diskussion können wir sagen, dass die Authentifizierung die Identität des Benutzers überprüft und die Autorisierung den Zugriff und die Berechtigungen des Benutzers überprüft. Wenn der Benutzer seine Identität nicht nachweisen kann, kann er nicht auf das System zugreifen. Und wenn Sie durch den Nachweis der korrekten Identität authentifiziert werden, aber nicht berechtigt sind, eine bestimmte Funktion auszuführen, können Sie darauf nicht zugreifen. Allerdings werden beide Sicherheitsmethoden häufig zusammen verwendet.
Apurva Padgaonkar