Czym różni się identyfikacja, uwierzytelnianie i autoryzacja

Wyjaśniamy, czym różni się identyfikacja, uwierzytelnianie i autoryzacja, a także dlaczego autoryzacja dwuetapowa jest niezbędna.

To zagadnienie dotyczy każdego z nas. Ciągle jesteśmy identyfikowani, uwierzytelniani i autoryzowani przez różne systemy. Mimo to wiele osób myli znaczenie tych słów, często mówiąc identyfikacja lub autoryzacja, gdy tak naprawdę mają na myśli uwierzytelnianie.

Nie jest to wielki problem, o ile obie strony wiedzą, co mają na myśli. Jednak zawsze warto znać znaczenie używanych słów, a prędzej czy później poznasz kogoś, kto będzie Cię irytować, wyjaśniając Ci różnice między na przykład autoryzacją a uwierzytelnianiem.

A zatem, co oznaczają terminy identyfikacjauwierzytelnianie i autoryzacja — i czym się one różnią?

  • Identyfikacja to akt wskazania tożsamości osoby lub rzeczy.
  • Uwierzytelnianie to akt udowodnienia tożsamości użytkownika systemu komputerowego, na przykład na drodze porównania hasła wprowadzonego z hasłem zapisanym w bazie.
  • Autoryzacja to funkcja określania dostępu do uprawnień/przywilejów do zasobów.

Osoby, które nie znają tych różnić, mylą ich znaczenie.

Wyjaśnienie terminu identyfikacji, uwierzytelniania i autoryzacji

Aby jeszcze bardziej uprościć sprawę, posłużymy się przykładem. Załóżmy, że użytkownik chce zalogować się do swojego konta Google. Serwis Google jest dobrym przykładem, bo proces logowania się do niego jest wyraźnie podzielony na kilka etapów. Wyglądają one mniej więcej tak:

  • Najpierw system prosi o podanie loginu. Użytkownik go wprowadza, a system rozpoznaje jako prawdziwy. To jest identyfikacja.
  • Następnie Google prosi o podanie hasła. Użytkownik je wprowadza, a jeśli pasuje ono do loginu, system zgadza się, że użytkownik jest prawdziwy. To jest uwierzytelnianie.
  • Przeważnie Google prosi wtedy o podanie kodu jednorazowego otrzymanego w wiadomości tekstowej lub aplikacji di uwierzytelniania. Jeśli użytkownik wprowadzi poprawny kod, system ostatecznie zgodzi się, że osoba ta jest prawdziwym właścicielem konta. To jest autoryzacja dwuetapowa.
  • Ostatecznie system daje użytkownikowi uprawnienia odczytywania wiadomości w ich skrzynkach pocztowych. To jest autoryzacja.

Uwierzytelnienie bez uprzedniej identyfikacji nie ma sensu — sprawdzanie nie wiadomo kogo nie ma sensu. Trzeba się najpierw przedstawić.

Podobnie wygląda sytuacja w przypadku identyfikacji bez uwierzytelniania. Każda osoba może podać dowolny login, który istnieje w bazie danych — system wymaga wtedy podania hasła. Ale ktoś może ukraść hasło lub je odgadnąć. Lepiej jest więc poprosić o kolejny dowód, który może mieć tylko prawdziwy użytkownik, np. jednorazowy kod weryfikacyjny.

Natomiast autoryzacja bez identyfikacji (nie mówiąc już o uwierzytelnianiu) jest całkiem możliwa. Możesz na przykład udostępnić publicznie dokument w Dysku Google. W takim przypadku możesz zobaczyć komunikat informujący, że Twój dokument jest oglądany przez osoby anonimowe. Wówczas system zautoryzuje je — czyli przyzna prawo do przeglądania dokumentu.

Jeśli jednak uprawnienie to zostanie nadane tylko określonym użytkownikom, osoba postronna będzie musiała zostać zidentyfikowana (podając swój login), następnie uwierzytelniona (podając swoje hasło i jednorazowy kod weryfikacyjny), aby móc odczytać dokument (autoryzacja).

Jeśli chodzi o odczytywanie zawartości Twojej skrzynki pocztowej, Google nigdy nie zautoryzuje osoby obcej, aby mogła odczytywać znajdujące się w niej wiadomości. Osoba taka będzie musiała przedstawić się jako Ty, czyli podać stosowny login i hasło, a wtedy nie będzie już anonimowa; Google zidentyfikuje ją jako Ciebie.

Teraz już wiesz, czym różni się identyfikacja od uwierzytelniania i autoryzacji. Jest jednak coś jeszcze: uwierzytelnianie jest chyba najważniejszym procesem, jeśli chodzi o bezpieczeństwo konta. Jeśli do uwierzytelniania się używasz słabego hasła, ktoś może przejąć Twoje konto. Dlatego:

  • Twórz silne i niepowtarzalne hasła do wszystkich swoich kont.
  • Jeśli masz problem z zapamiętywaniem swoich haseł, pomoże Ci w tym menedżer haseł. Może on również okazać się przydatny w generowaniu haseł.
  • Wszędzie tam, gdzie to możliwe, używaj uwierzytelniania dwuskładnikowego za pomocą jednorazowych kodów weryfikacyjnych otrzymywanych w wiadomościach tekstowych lub aplikacji do uwierzytelniania. W przeciwnym razie osoba postronna, która pozna Twoje hasło, będzie mogła odczytać Twoją tajną korespondencję lub zrobić coś jeszcze gorszego.
Porady