Uwierzytelnianie i autoryzacja - różnice i sposób działania
Procesy, które odgrywają kluczową rolę w zapewnieniu bezpieczeństwa IT to uwierzytelnianie (ang. authentication) i autoryzacja (ang. authorisation). Oba pojęcia są często mylone lub przypisuje się im nieprawidłowe znaczenie. W rzeczywistości uwierzytelnianie i autoryzacja to dwa różne, ale uzupełniające się procesy bezpieczeństwa. Mają inne cele, ale działając razem chronią dostęp do zasobów organizacji.
Uwierzytelnianie to proces identyfikacji użytkowników i upewnienia się, że są tym, za kogo się podają. To weryfikacja tożsamości danego użytkownika i najczęściej polega na podaniu nazwy użytkownika i hasła.
Autoryzacja to proces określania, do których zasobów ma dostęp uwierzytelniony użytkownik i które operacje może wykonywać. Proces ten weryfikuje czy dany użytkownik może korzystać z określonego zasobu (czy ma odpowiednie uprawnienia) i wykonywać określone czynności.
Opierając się na powyższych definicjach, istnieje naturalna kolejność przeprowadzania uwierzytelniania i autoryzacji. Użytkownicy są najpierw uwierzytelniani w celu ustalenia, czy faktycznie są właścicielami konta z nazwą użytkownika. Dopiero po potwierdzeniu ich tożsamości otrzymują (lub nie) odpowiednie uprawnienia dostępu. Uwierzytelnianie i autoryzacja działają razem, aby zapobiec nieautoryzowanemu dostępowi do danych i systemów. W najbardziej podstawowej konfiguracji użytkownicy są uwierzytelniani raz, zwykle podczas logowania do sieci firmowej, a uprawnienia dostępu są określane na podstawie roli powiązanej z ich kontem użytkownika. Nowoczesne podejście do autoryzacji polega nie tylko na sprawdzeniu do jakich danych użytkownik próbuje uzyskać dostęp, ale także wykorzystuje informacje kontekstowe związane z żądaniem tego dostępu np. skąd użytkownik uzyskuje dostęp, jaki jest stan bezpieczeństwa jego urządzenia, czy jego zachowanie jest typowe itp. Ponadto coraz więcej współczesnych organizacji stosuje model zabezpieczeń opartych na zasadzie „Zero Trust” (Zero Zaufania), zgodnie z którym użytkownik otrzymuje tylko takie (minimalne) uprawnienia, jakie są niezbędne do realizacji jego obowiązków.
Najczęściej używane metody uwierzytelniania to:
- Hasło – przez lata był to domyślny i jedyny znany sposób uwierzytelniania użytkowników. Wprowadzając swoją nazwę, użytkownik informuje system za kogo się podaje. Natomiast hasło to ciąg znaków, który powinni znać tylko użytkownik i oprogramowanie uwierzytelniające. Usługa uwierzytelniania przyjmuje, że użytkownik jest tym, za kogo się podaje po podaniu przez prawidłowego hasła potwierdzającego jego tożsamość.
- Uwierzytelnianie dwuskładnikowe - ponieważ hasła stawały się coraz bardziej podatne na kradzież i inne metody ataków (np. phishing), to oprócz standardowej kombinacji - nazwa użytkownika i hasło - wprowadzono dodatkowe czynniki uwierzytelniające. Zapewniają one silniejszą i bezpieczniejszą formę uwierzytelniania. Zazwyczaj podstawowym czynnikiem pozostaje hasło. Dodatkowym czynnikiem uwierzytelniającym jest udowodnienie posiadania zarejestrowanego sprzętowego tokena uwierzytelniającego (tj. tokena OTP lub klucza USB) lub innego urządzenia np. telefonu komórkowego. Potwierdzenie posiadania jest zwykle wykonywane przy użyciu technologii hasła jednorazowego (OTP) lub szyfrowania kluczem publicznym (PKI).
- Uwierzytelnianie biometryczne – w ostatnich latach znacznie wzrosło wykorzystanie biometrii w celu potwierdzenia tożsamości użytkownika. Identyfikacja biometryczna jest używana zarówno jako jeden z czynników uwierzytelniania wieloskładnikowego MFA, ale także jako samodzielna metoda uwierzytelniania. Obecnie najczęściej wykorzystywanymi danymi biometrycznymi są odcisk palca i skan twarzy. Można je uzyskać z czujnika linii papilarnych lub aparatu, które są wbudowanego w większość urządzeń mobilnych. Do identyfikacji użytkownika wykorzystuje się również biometrię behawioralną, która opiera się na unikalnych wzorcach zachowania użytkownika, np. charakterystyczny sposób, w jaki użytkownik uderza w klawiaturę (dynamika naciśnięć klawiszy).
- Uwierzytelnianie bezhasłowe – popularność tej metody uwierzytelniania stale rośnie, ze względu na to, że jest bezpieczniejsza od haseł, zapewnia większy komfort pracy użytkownika oraz jest tańsza w obsłudze. Jak sama nazwa wskazuje, potwierdzenie tożsamości nie opiera sią tutaj na hasłach, ale wykorzystuje inne technologie, które jednoznacznie identyfikują użytkownika. Może to być posiadanie „czegoś” unikalnie powiązanego z użytkownikiem (np. zarejestrowane urządzenie mobilne lub token sprzętowy) albo biometryczny podpis użytkownika (np. odcisk palca, skan twarzy).
Uwierzytelnianie i autoryzacja odgrywają kluczową rolę w zapewnieniu bezpieczeństwa organizacji. Szybki postęp technologiczny, a także stale rosnąca liczba cyberzagrożeń sprawiają, że organizacje coraz chętniej rezygnują z haseł i wdrażają rozwiązania do uwierzytelniania bezhasłowego, np. firmy Secret Double Octopus. Jej produkty pozwalają całkowicie wyeliminować konieczność używania haseł we wszystkich systemach biznesowych i aplikacjach oraz integrują się z innymi rozwiązaniami do zarządzania tożsamością i dostępem, z których organizacje już korzystają.Głównymi zaletami uwierzytelniania bezhasłowego są bezpieczeństwo, wygoda użytkowników i obniżenie kosztów.Ponadto organizacje powinny pamiętać, że inwestycje w nowoczesne, bezpieczne i przyszłościowe rozwiązania do uwierzytelniania i autoryzacji będą stanowić także o przewadze konkurencyjnej organizacji.
Tekst źródłowy: https://doubleoctopus.com/blog/authentication-vs-authorization-2020/

Motorola na MWC 2025: kolejna generacja ekosystemu Smart Connect ze wsparciem moto ai

Praca w IT bez doświadczenia. Liderzy EY GDS o tym, jak odnaleźć swoją ścieżkę do sukcesu na rynku IT

Wyzwania związane z cyfryzacją firm - jak je pokonać?
Kalendarium
Więcej ważnych informacji
Jedynka Newserii

Prawo

S. Cichanouska: Białorusini żyją jak w gułagach z czasów stalinowskich. Jednak nie poddają się mimo represji i brutalności reżimu
Przedstawiciele białoruskiej opozycji podkreślają, sytuacja w kraju jest bardzo poważna. Z jednej strony od niemal pięciu lat ludzie na Białorusi żyją jak w gułagach z czasów stalinowskich, doświadczają represji, są codzienne zatrzymania. – Co najmniej pół miliona ludzi musiało uciec z kraju – mówi agencji informacyjnej Newseria Swiatłana Cichanouska, liderka białoruskiej opozycji, która w 2020 roku kandydowała na stanowisko prezydenta Białorusi.
Handel
Automatyzacja pomaga firmom budować przewagę nad konkurencją. Zwłaszcza wykorzystanie narzędzi sztucznej inteligencji

Firmy coraz chętniej inwestują w cyfryzację i automatyzację procesów, w tym z wykorzystaniem sztucznej inteligencji (AI), co pozwala im oszczędzać czas, redukować koszty operacyjne i poprawiać jakość obsługi klienta. Nowoczesne narzędzia takie jak platforma FlowDog pozwalają relatywnie szybko i efektywnie kosztowo usprawniać procesy obsługi reklamacji, zleceń serwisowych czy analizę danych sprzedażowych. Eksperci podkreślają, że dobrze wdrożona automatyzacja może przynieść zwrot z inwestycji już w ciągu kilku miesięcy, zwiększając konkurencyjność firm na dynamicznie zmieniającym się rynku.
Handel
Odwetowe cła z UE na amerykańskie towary mogą być kolejnym etapem wojny handlowej. Następne decyzje spowodują dalszy wzrost cen

Komisja Europejska zapowiedziała nałożenie ceł na amerykańskie produkty w reakcji na wejście w życie ceł USA na stal i aluminium. Unijne cła o wartości 26 mld zł wejdą w życie 1 kwietnia, a w pełni zostaną wdrożone od 13 kwietnia. Donald Trump już zapowiada, że na to odpowie. – Wchodzimy w etap wojny handlowej między Unią Europejską a Stanami Zjednoczonymi i na pewno będziemy świadkami wielu takich odwetów z każdej strony – ocenia europosłanka Anna Bryłka.
Partner serwisu
Szkolenia

Akademia Newserii
Akademia Newserii to projekt, w ramach którego najlepsi polscy dziennikarze biznesowi, giełdowi oraz lifestylowi, a także szkoleniowcy z wieloletnim doświadczeniem dzielą się swoją wiedzą nt. pracy z mediami.