Como a identificação, autenticação e autorização diferem

Views: 796
0 0
Read Time:3 Minute, 54 Second

Acontece com cada um de nós todos os dias. Somos constantemente identificados, autenticados e autorizados por vários sistemas. No entanto, muitas pessoas confundem os significados dessas palavras, muitas vezes usando os termos de identificação ou autorização quando, na verdade, estão falando de autenticação.

Isso não é grande coisa, desde que seja apenas uma conversa cotidiana e ambos os lados entendam o que estão falando. É sempre melhor saber o significado das palavras que você usa, porém, e cedo ou tarde, você vai encontrar um geek que vai deixá-lo louco com esclarecimentos, seja autorização versus autenticação, menos ou menos, o que ou aquilo, e assim por diante.

Então, o que os termos de identificação, autenticaçãoautorização significam, e como os processos diferem uns dos outros? Primeiro, consultaremos a Wikipédia:

  • “Identificação é o ato de indicar a identidade de uma pessoa ou coisa.”
  • Autenticação é o ato de provar […] a identidade de um usuário do sistema de computador” (por exemplo, comparando a senha inserida com a senha armazenada no banco de dados).
  • “Aautorização é a função de especificar direitos/privilégios de acesso aos recursos.”

Você pode ver por que as pessoas que não estão realmente familiarizados com os conceitos podem misturá-los.

Usando guaxinins para explicar identificação, autenticação e autorização

Agora, para maior simplicidade, vamos usar um exemplo. Digamos que um usuário queira fazer login em sua conta do Google. O Google funciona bem como um exemplo porque seu processo de login é perfeitamente dividido em várias etapas básicas. Aqui está o que parece:

  • Primeiro, o sistema pede um login. O usuário entra em um e o sistema o reconhece como um login real. Isto é identificação.
  • O Google então pede uma senha. O usuário fornece e, se a senha digitado corresponder à senha armazenada, então o sistema concorda que o usuário realmente parece ser real. Isso é. Autenticação.
  • Na maioria dos casos, o Google também pede um código de verificação único a partir de uma mensagem de texto ou aplicativo autenticador. Se o usuário entrar corretamente também, o sistema finalmente concordará que ele ou ela é o verdadeiro proprietário da conta. Isso é. autenticação de dois fatores.
  • Finalmente, o sistema dá ao usuário o direito de ler mensagens em sua caixa de entrada e tal. Isso é. Autorização.

Autenticação sem identificação prévia não faz sentido; seria inútil começar a verificar antes que o sistema soubesse de quem é a autenticidade para verificar. É preciso se apresentar primeiro.

Na mesma linha, a identificação sem autenticação seria bobagem. Qualquer pessoa poderia inserir qualquer login que existisse no banco de dados — o sistema precisaria da senha. Mas alguém poderia dar uma olhada na senha ou apenas adivinhar. Pedir mais provas de que apenas o usuário real pode ter, como um código de verificação único, é melhor.

Em contrapartida, a autorização sem identificação, muito menos a autenticação, é bem possível. Por exemplo, você pode fornecer acesso público ao seu documento no Google Drive, para que ele esteja disponível para qualquer pessoa. Nesse caso, você pode ver uma notificação dizendo que seu documento está sendo visto por um guaxinim anônimo. Mesmo que o guaxinim seja anônimo, o sistema o autorizou — ou seja, conceder-lhe o direito de visualizar o documento.

However, if you had given the read right only to certain users, the raccoon would have had to get identified (by providing its login), then authenticated (by providing the password and a one-time verification code) to gain the right to read the document (authorization).

Quando se trata de ler o conteúdo de sua caixa de correio, o Google nunca autorizará um guaxinim anônimo a ler suas mensagens O guaxinim teria que se apresentar como você, com seu login e senha, momento em que não seria mais um guaxinim anônimo; O Google identificaria como você.

Então, agora você sabe de que maneira a identificação é diferente da autenticação e autorização. Mais um ponto importante: a autenticação talvez seja o processo-chave em termos de segurança de sua conta. Se você estiver usando uma senha fraca para autenticação, um guaxinim pode sequestrar sua conta. Portanto:

FONTE: KASPERSKY

POSTS RELACIONADOS