authentication-vs-authorization

احراز هویت (Authentication) و اجازه (Authorization): دو پایه اساسی امنیت اطلاعات

Authentication و Authorization دو مفهوم بسیار حیاتی در امنیت اطلاعات هستند که به صورت جداگانه نقش‌های اساسی و مهمی را در امنیت اطلاعات ایفا می‌کنند. اما گاهی این دو مفهوم به گونه‌ای با هم ترکیب می‌شوند که جای هم قابل تفکیک نیستند و در کنار هم استفاده می‌شوند.

تفاوت بین تأیید هویت و اجازه دسترسی

اگر شما یک فرد فنی نیستید، آنگاه بسیار آشکار است که ممکن است با یک کلمه خاص برخورد کنید که شما را گیج کند. خیلی داستان‌ها پیرامون اطرافیان گرد و خاک درباره شبکه‌های کامپیوتری و امنیت گشته است. با این حال، گاهی اوقات دشوار است که بفهمیم کدام کلمه چه چیزی را توصیف می‌کند و ممکن است آن را با چیز دیگری اشتباه تلقی کنیم.

به عنوان مثال، تأیید هویت و اجازه دسترسی به نظر می‌رسند مشابه هستند، اما وقتی به معنی آنها می‌پردازیم، متفاوتند.

این دو اصطلاح – تأیید هویت و اجازه دسترسی – معمولاً هنگام بحث در مورد دسترسی به سیستم و امنیت استفاده می‌شوند. هر دو همچنین با وب به عنوان یکی از خدمات زیرساختی مرتبط هستند. اما، واقعیت این است که مردم اغلب این دو کلمه را با یکدیگر اشتباه می‌گیرند، به ویژه کسانی که پیش‌زمینه امنیت IT ندارند.

اگر فکر می‌کنید که این اجازه دسترسی و تأیید هویت چیست؟ نگران نباشید، ما می‌خواهیم در مورد همین موضوع صحبت کنیم.

تأیید هویت به معنای تأیید هویت شما است، و اجازه دسترسی به معنای اجازه دسترسی به سیستم است.

تأیید هویت نوعی فرآیند است که مطمئن می‌شود که شخصی آن چیزی است که ادعا می‌کند. و اجازه دسترسی به یک مجموعه از قوانین اشاره دارد که کمک می‌کند تا مشخص شود چه کسی باید به چه کاری اجازه داشته باشد.

به عنوان مثال، ممکن است باب فقط برای ایجاد و حذف پایگاه‌داده‌ها مجاز باشد، در حالی که الیس فقط برای خواندن وظیفه‌مند باشد.

تأیید هویت یا Authentication چیست؟

تأیید هویت مربوط به اعتبارها است، به عنوان مثال، نام کاربری و رمز عبور برای تأیید هویت. در اینجا، سیستم بررسی می‌کند که آیا شما آن چیزی هستید که ادعا می‌کنید از طریق اعتبارهای خود. آیا از شبکه‌های عمومی یا خصوصی استفاده می‌کنید، سیستم هویت کاربران را از طریق جزئیات ورود به سیستم، به ویژه نام کاربری و رمز عبور، تأیید می‌کند. با این حال، روش‌های دیگری برای تأیید هویت وجود دارد، اما این روش ابتدایی‌تر، که تقریبا توسط همه استفاده می‌شود، است.

یک عامل تأیید هویت با استفاده از عناصر مختلف سیستم تعیین می‌شود که برای تأیید هویت شخصی قبل از اعطای دسترسی به هرکسی در مورد هرچیزی استفاده می‌شود. با این حال، هویت یک فرد از طریق آنچه فردی از پیش می‌داند تعیین می‌شود. و حداقل دو یا سه عامل تأیید هویت هم درگیر هستند که باید برای اعطای دسترسی به سیستم تأیید شوند. بر اساس سطح امنیت، عامل تأیید هویت از طریق این سه مورد متفاوت است: 

  • تأیید هویت یک عامله
  • تأیید هویت دو عامله
  • تأیید هویت چند عامله

تأیید هویت یک عامله

از میان سه عامل، این عامل تأیید هویتی ساده‌تر است. برای اعطای دسترسی به یک وبسایت یا هر شبکه‌ای نیاز به یک رمزعبور دارد. در اینجا، فرد برای درخواست دسترسی به سیستم با کمک اعتبارها برای تأیید هویت خود باید درخواست دسترسی به سیستم کند. به عنوان مثال، یک رمزعبور همراه با نام کاربری اعتبار ورود شما را تأیید کرده و به شما دسترسی می‌دهد.

تأیید هویت دو عامله (2FA)

در این عامل تأیید هویت، همانطور که از نامش پیداست، فرآیند تأیید دو مرحله‌ای انجام می‌شود. به همراه نام کاربری و رمزعبور، یک قطعه اطلاعات دیگر باید ارائه شود که فقط توسط کاربر شناخته می‌شود. به دلیل این تأیید هویت، برای هکرها برای دسترسی به حساب یا دزدیدن داده‌های شخصی یا اطلاعات حساس، چالش بیشتری به وجود می‌آید زیرا هنگامی که کسی سعی در دسترسی به آن حساب می‌کند، نیاز به یک اطلاعات محرمانه دیگر به همراه نام کاربری و رمزعبور دارد.

تأیید هویت چند عامله (MFA)

از میان سه عامل، این روش پیشرفته‌ترین روش تأیید هویت است. برای اعطای دسترسی به سیستم نیاز به دو یا بیشتر از دو سطح امنیتی همراه با تأیید هویت‌های مستقل دیگر دارد. از عواملی استفاده می‌شود که از هم مستقل هستند و در عین حفظ اطلاعات، داده‌هایی بیرونی می‌کنند. این روش بسیار متداول در بخش‌های مالی، بانک‌ها و نهادهای انتظامی است.

اعطای مجوز یا Authorization چیست؟

از سوی دیگر، اعطای مجوز وارد عمل می‌شود یک‌بار هویت شما با موفقیت تأیید شود توسط سیستم. به دلیل این مسئله شما دسترسی به منابعی مانند فایل‌ها، موجودی‌ها، پایگاه‌داده‌ها، اطلاعات حساس و غیره را دریافت می‌کنید. هرچند اعطای مجوز برای تأیید حقوق شما برای اعطای دسترسی به منابع لازم است یک‌بار حقوق دسترسی شما تعیین شود، به عبارت دیگر، اعطای مجوز فرآیندی است که برای تعیین اینکه کاربری که تأیید شده دارای حق دسترسی به منابع خاص استفاده می‌کند. بهترین مثال می‌تواند این باشد که یک‌بار شناسه کاربری و رمزعبور کارمند تأیید شد، مرحله بعد تصمیم‌گیری در مورد این است که کدام کارمند دسترسی به کدام طبقه را خواهد داشت و این با استفاده از اعطای مجوز انجام می‌شود.

تفاوت کلیدی بین تأیید هویت و اعطای مجوز

تفاوت اصلی بین دو مورد، تأیید هویت و اعطای مجوز به این صورت است:

  • تأیید هویت برای فرایند تأیید هویت جهت شناسایی اعتبارهای کاربر استفاده می‌شود و اعطای مجوز برای اعتبارسنجی حقوق دسترسی کاربر به منبع استفاده می‌شود.
  • تأیید هویت مرحله اول است و پس از آن، اعطای مجوز انجام می‌شود.

مرور

گاهی اوقات هر دو اعطای مجوز و تأیید هویت به صورت ترکیبی استفاده می‌شوند، اما در واقع معنای و مفهوم آن‌ها متفاوت است. با این حال، هر دوی آن‌ها برای زیرساخت خدمات وب بسیار اساسی هستند زیرا هر دو برای اعطای دسترسی به سیستم استفاده می‌شوند. بسیاری اوقات اصطلاحات اعطای مجوز و تأیید هویت واقعاً با یکدیگر اشتباه می‌شوند، بنابراین شما باید تفاوت آن‌ها را بدانید – که بسیار ساده است. به عنوان مثال، تأیید هویت به شما کمک می‌کند تا تصمیم بگیرید آیا شما هستید که می‌گویید کسی هستید یا نه و اعطای مجوز برای اعطای حقوق دسترسی وارد عمل می‌شود – چه چیزهایی را می‌توانید دسترسی داشته باشید و تغییر دهید.

منبع: AboutSSL.org

افکارتان را باما در میان بگذارید

اطلاعات شما پیش ما امن هست، آدرس ایمیل شما منتشر نخواهد شد!