A hitelesítés és az engedélyezés a biztonsági világban használt két szó. Lehet, hogy hasonlítanak, de teljesen különböznek egymástól. A hitelesítést valaki személyazonosságának hitelesítésére használják, míg az engedélyezés egy módja annak, hogy engedélyt adjon valakinek egy adott erőforrás elérésére. Ez a két alapvető biztonsági kifejezés, ezért alaposan meg kell érteni. Ebben a témában megvitatjuk, mi az a hitelesítés és az engedélyezés, és hogyan különböztetik meg őket egymástól.
Mi az a hitelesítés?
- A hitelesítés egy személy azonosításának folyamata annak biztosításával, hogy a személy megegyezik azzal, amit állít.
- A szerver és a kliens is használja. A szerver hitelesítést használ, ha valaki hozzá akar férni az információhoz, és a szervernek tudnia kell, hogy ki fér hozzá az információhoz. Az ügyfél akkor használja, ha tudni akarja, hogy ugyanaz a szerver, mint amilyennek állítja magát.
- A szerver általi hitelesítés többnyire a Felhasználónév és jelszó. A szerver általi hitelesítés más módjai is elvégezhetők a használatával kártyák, retina szkennelések, hangfelismerés és ujjlenyomatok.
- A hitelesítés nem biztosítja, hogy egy személy milyen feladatokat végezhet el egy folyamat alatt, milyen fájlokat tekinthet meg, olvashat vagy frissíthet. Leginkább azt azonosítja, hogy ki a személy vagy a rendszer valójában.
Hitelesítési tényezők
A biztonsági szinttől és az alkalmazás típusától függően különböző típusú hitelesítési tényezők léteznek:
Az egytényezős hitelesítés a hitelesítés legegyszerűbb módja. Csak egy felhasználónévre és jelszóra van szüksége, hogy a felhasználó hozzáférhessen a rendszerhez.
A név szerint ez kétszintű biztonság; ezért a felhasználó hitelesítéséhez kétlépcsős ellenőrzésre van szüksége. Nem csak felhasználónévre és jelszóra van szükség, hanem olyan egyedi információkra is, amelyeket csak az adott felhasználó tud, például mint első iskolanév, kedvenc úti cél . Ezen túlmenően az OTP vagy a felhasználó regisztrált számán vagy e-mail címén található egyedi hivatkozás elküldésével is igazolni tudja a felhasználót.
Ez a legbiztonságosabb és legfejlettebb jogosultsági szint. Két vagy kettőnél több biztonsági szintet igényel különböző és független kategóriákból. Ezt a fajta hitelesítést általában pénzügyi szervezetek, bankok és bűnüldöző szervek használják. Ez biztosítja, hogy a harmadik féltől vagy a hackerektől megszüntess minden adatot.
Híres hitelesítési technikák
1. Jelszó alapú hitelesítés
Ez a hitelesítés legegyszerűbb módja. Megköveteli az adott felhasználónévhez tartozó jelszót. Ha a jelszó megegyezik a felhasználónévvel, és mindkét adat megegyezik a rendszer adatbázisával, a felhasználó hitelesítése sikeresen megtörténik.
2. Jelszó nélküli hitelesítés
Ennél a technikánál a felhasználónak nincs szüksége jelszóra; ehelyett egy OTP-t (egyszeri jelszót) vagy linket kap a regisztrált mobilszámára vagy telefonszámára. Mondhatjuk OTP alapú hitelesítésnek is.
3. 2FA/MFA
A 2FA/MFA vagy a 2-faktoros hitelesítés/többtényezős hitelesítés a magasabb szintű hitelesítés. További PIN-kódot vagy biztonsági kérdéseket igényel, hogy azonosítani tudja a felhasználót.
4. Egyszeri bejelentkezés
Egyszeri bejelentkezés vagy SSO egy módja annak, hogy egyetlen hitelesítő adatokkal több alkalmazáshoz is hozzáférhessen. Lehetővé teszi a felhasználó számára, hogy egyszer bejelentkezzen, és automatikusan bejelentkezik az összes többi webalkalmazásba ugyanabból a központi könyvtárból.
5. Közösségi hitelesítés
fibonacci kód java
A közösségi azonosítás nem igényel további biztonságot; ehelyett ellenőrzi a felhasználót az elérhető közösségi hálózat meglévő hitelesítő adataival.
Mi az engedélyezés?
- A felhatalmazás az a folyamat, amikor valakinek feljogosítunk valamit. Ez egy mód annak ellenőrzésére, hogy a felhasználónak van-e engedélye egy erőforrás használatára vagy sem.
- Meghatározza, hogy egy felhasználó milyen adatokhoz és információkhoz férhet hozzá. AuthZ-nek is mondják.
- Az engedélyezés általában hitelesítéssel működik, így a rendszer tudni fogja, hogy ki fér hozzá az információhoz.
- Az interneten keresztül elérhető információk eléréséhez nem mindig szükséges engedély. Egyes interneten elérhető adatokhoz minden engedély nélkül hozzá lehet férni, például bármilyen technológiáról olvashat itt .
Engedélyezési technikák
Az RBAC vagy szerepkör alapú hozzáférés-vezérlési technikát a felhasználók a szervezetben betöltött szerepüknek vagy profiljuknak megfelelően kapják meg. Megvalósítható rendszer-rendszer vagy felhasználó-rendszer számára.
A JSON web token vagy JWT egy nyílt szabvány, amelyet az adatok biztonságos továbbítására használnak a felek között JSON objektum formájában. A felhasználók ellenőrzése és engedélyezése a privát/nyilvános kulcspár segítségével történik.
A SAML jelentése Biztonsági érvényesítés jelölőnyelve. Ez egy nyílt szabvány, amely hitelesítési adatokat biztosít a szolgáltatók számára. Ezeket a hitelesítő adatokat digitálisan aláírt XML dokumentumokon keresztül cserélik ki.
Segíti az ügyfeleket a végfelhasználók személyazonosságának hitelesítés alapján történő ellenőrzésében.
Az OAuth egy engedélyezési protokoll, amely lehetővé teszi az API számára a hitelesítést és a kért erőforrásokhoz való hozzáférést.
A hitelesítés és az engedélyezés közötti különbség diagram
Hitelesítés | Engedélyezés |
---|---|
A hitelesítés egy felhasználó azonosításának folyamata, amely hozzáférést biztosít a rendszerhez. | Az engedélyezés az erőforrásokhoz való hozzáférés engedélyezésének folyamata. |
Ebben a felhasználó vagy a kliens és a szerver ellenőrzése megtörténik. | Ebben ellenőrzik, hogy a felhasználó engedélyezve van-e a meghatározott házirendeken és szabályokon keresztül. |
Általában az engedélyezés előtt hajtják végre. | Ez általában a felhasználó sikeres hitelesítése után történik. |
Megköveteli a felhasználó bejelentkezési adatait, például felhasználói nevet és jelszót stb. | Ehhez a felhasználó jogosultságai vagy biztonsági szintje szükséges. |
Az adatokat a Token Ids-en keresztül biztosítják. | Az adatokat a hozzáférési tokenek biztosítják. |
Példa: A bejelentkezési adatok megadása szükséges ahhoz, hogy az alkalmazottak hitelesíthessék magukat a szervezeti e-mailekhez vagy szoftverekhez való hozzáféréshez. | Példa: Miután az alkalmazottak sikeresen azonosították magukat, csak szerepkörüknek és profiljuknak megfelelően férhetnek hozzá bizonyos funkciókhoz és dolgozhatnak azokon. |
A hitelesítési hitelesítő adatokat a felhasználó részben módosíthatja a követelménynek megfelelően. | Az engedélyezési jogosultságokat a felhasználó nem módosíthatja. A jogosultságokat a rendszer tulajdonosa/felelőse adja a felhasználónak, és csak módosítani tudja. |
Következtetés
A fenti vita szerint azt mondhatjuk, hogy a hitelesítés ellenőrzi a felhasználó személyazonosságát, az engedélyezés pedig a felhasználó hozzáférését és engedélyeit. Ha a felhasználó nem tudja igazolni személyazonosságát, nem férhet hozzá a rendszerhez. Ha pedig a helyes személyazonosság bizonyításával hitelesítik, de nincs felhatalmazása egy adott funkció végrehajtására, akkor ahhoz nem fog tudni hozzáférni. A két biztonsági módszert azonban gyakran együtt használják.