Authenticatie en autorisatie zijn de twee woorden die in de beveiligingswereld worden gebruikt. Ze klinken misschien hetzelfde, maar zijn totaal verschillend van elkaar. Authenticatie wordt gebruikt om iemands identiteit te authenticeren, terwijl autorisatie een manier is om iemand toestemming te geven om toegang te krijgen tot een bepaalde bron. Dit zijn de twee fundamentele beveiligingstermen en moeten daarom grondig worden begrepen. In dit onderwerp bespreken we wat authenticatie en autorisatie zijn en hoe ze van elkaar worden onderscheiden.
Wat is authenticatie?
- Authenticatie is het proces waarbij iemands identiteit wordt geïdentificeerd door ervoor te zorgen dat de persoon dezelfde is als waarvoor hij beweert.
- Het wordt gebruikt door zowel de server als de client. De server gebruikt authenticatie wanneer iemand toegang wil krijgen tot de informatie, en de server moet weten wie toegang heeft tot de informatie. De client gebruikt het wanneer hij wil weten dat het dezelfde server is als hij beweert te zijn.
- De authenticatie door de server gebeurt meestal met behulp van de gebruikersnaam en wachtwoord. Andere manieren van authenticatie door de server kunnen ook worden gedaan met behulp van kaarten, netvliesscans, stemherkenning en vingerafdrukken.
- Authenticatie garandeert niet welke taken binnen een proces iemand kan uitvoeren, welke bestanden hij kan bekijken, lezen of bijwerken. Het identificeert meestal wie de persoon of het systeem eigenlijk is.
Authenticatiefactoren
Afhankelijk van de beveiligingsniveaus en het type toepassing zijn er verschillende soorten authenticatiefactoren:
Single-factor authenticatie is de eenvoudigste manier van authenticatie. Het heeft alleen een gebruikersnaam en wachtwoord nodig om een gebruiker toegang te geven tot een systeem.
Zoals de naam al aangeeft, is het beveiliging op twee niveaus; daarom is er tweestapsverificatie nodig om een gebruiker te authenticeren. Het vereist niet alleen een gebruikersnaam en wachtwoord, maar heeft ook de unieke informatie nodig die alleen de specifieke gebruiker kent als voorschoolnaam, een favoriete bestemming . Daarnaast kan het de gebruiker ook verifiëren door het OTP of een unieke link op het geregistreerde nummer of e-mailadres van de gebruiker te sturen.
Dit is het veiligste en meest geavanceerde autorisatieniveau. Het vereist twee of meer dan twee beveiligingsniveaus uit verschillende en onafhankelijke categorieën. Dit type authenticatie wordt meestal gebruikt in financiële organisaties, banken en wetshandhavingsinstanties. Dit zorgt ervoor dat elke gegevensblootstelling van derden of hackers wordt geëlimineerd.
Beroemde authenticatietechnieken
1. Wachtwoordgebaseerde authenticatie
Het is de eenvoudigste manier van authenticatie. Het vereist het wachtwoord voor de specifieke gebruikersnaam. Als het wachtwoord overeenkomt met de gebruikersnaam en beide gegevens overeenkomen met de systeemdatabase, wordt de gebruiker succesvol geverifieerd.
2. Wachtwoordloze authenticatie
Bij deze techniek heeft de gebruiker geen wachtwoord nodig; in plaats daarvan krijgt hij een OTP (eenmalig wachtwoord) of link op zijn geregistreerde mobiele nummer of telefoonnummer. Er kan ook sprake zijn van OTP-gebaseerde authenticatie.
geïnstantieerde Java
3. 2FA/MFA
2FA/MFA of tweefactorauthenticatie/multifactorauthenticatie is het hogere authenticatieniveau. Er zijn aanvullende pincode- of beveiligingsvragen vereist, zodat de gebruiker kan worden geverifieerd.
4. Eenmalige aanmelding
Eenmalig inloggen of SSO is een manier om toegang tot meerdere applicaties mogelijk te maken met één set inloggegevens. Hiermee kan de gebruiker zich één keer aanmelden en wordt hij automatisch aangemeld bij alle andere web-apps vanuit dezelfde gecentraliseerde map.
5. Sociale authenticatie
cast string als int
Sociale authenticatie vereist geen extra beveiliging; in plaats daarvan verifieert het de gebruiker met de bestaande inloggegevens voor het beschikbare sociale netwerk.
Wat is autorisatie?
- Autorisatie is het proces waarbij iemand iets wordt toegestaan. Het betekent dat het een manier is om te controleren of de gebruiker toestemming heeft om een bron te gebruiken of niet.
- Het definieert tot welke gegevens en informatie een gebruiker toegang heeft. Het wordt ook wel AuthZ genoemd.
- De autorisatie werkt meestal met authenticatie, zodat het systeem weet wie toegang heeft tot de informatie.
- Autorisatie is niet altijd nodig om toegang te krijgen tot informatie die via internet beschikbaar is. Sommige gegevens die via internet beschikbaar zijn, zijn zonder enige toestemming toegankelijk, zoals u over elke technologie kunt lezen hier .
Autorisatietechnieken
RBAC of op rollen gebaseerde toegangscontroletechniek wordt aan gebruikers gegeven op basis van hun rol of profiel in de organisatie. Het kan worden geïmplementeerd voor systeem-systeem of gebruiker-tot-systeem.
JSON-webtoken of JWT is een open standaard die wordt gebruikt om de gegevens veilig tussen de partijen te verzenden in de vorm van het JSON-object. De gebruikers worden geverifieerd en geautoriseerd met behulp van het private/publieke sleutelpaar.
SAML staat voor Markup-taal voor beveiligingsverklaring. Het is een open standaard die autorisatiereferenties verstrekt aan serviceproviders. Deze inloggegevens worden uitgewisseld via digitaal ondertekende XML-documenten.
Het helpt de klanten om de identiteit van eindgebruikers te verifiëren op basis van authenticatie.
OAuth is een autorisatieprotocol waarmee de API de gevraagde bronnen kan authenticeren en openen.
Verschildiagram tussen authenticatie en autorisatie
| Authenticatie | Autorisatie |
|---|---|
| Authenticatie is het proces waarbij een gebruiker wordt geïdentificeerd om toegang tot een systeem te verlenen. | Autorisatie is het proces waarbij toestemming wordt verleend voor toegang tot de bronnen. |
| Hierin worden de gebruiker of client en server geverifieerd. | Hierin wordt geverifieerd of de gebruiker toegang heeft tot het gedefinieerde beleid en de regels. |
| Het wordt meestal uitgevoerd vóór de autorisatie. | Dit wordt meestal gedaan zodra de gebruiker succesvol is geverifieerd. |
| Hiervoor zijn de inloggegevens van de gebruiker nodig, zoals gebruikersnaam en wachtwoord, enz. | Het vereist het privilege of beveiligingsniveau van de gebruiker. |
| Gegevens worden verstrekt via de token-ID's. | Gegevens worden verstrekt via de toegangstokens. |
| Voorbeeld: Het invoeren van inloggegevens is noodzakelijk zodat de medewerkers zichzelf kunnen authenticeren voor toegang tot de e-mails of software van de organisatie. | Voorbeeld: Nadat medewerkers zichzelf succesvol hebben geverifieerd, hebben ze alleen toegang tot en werken aan bepaalde functies op basis van hun rollen en profielen. |
| Authenticatiereferenties kunnen gedeeltelijk door de gebruiker worden gewijzigd, afhankelijk van de vereiste. | Autorisatierechten kunnen niet door de gebruiker worden gewijzigd. De rechten worden aan een gebruiker gegeven door de eigenaar/beheerder van het systeem en hij kan deze alleen wijzigen. |
Conclusie
Volgens de bovenstaande discussie kunnen we zeggen dat authenticatie de identiteit van de gebruiker verifieert, en autorisatie de toegang en machtigingen van de gebruiker verifieert. Als de gebruiker zijn identiteit niet kan bewijzen, heeft hij geen toegang tot het systeem. En als u zich authenticeert door de juiste identiteit te bewijzen, maar niet bevoegd bent om een specifieke functie uit te voeren, heeft u daar geen toegang toe. Beide beveiligingsmethoden worden echter vaak samen gebruikt.