Unterschied zwischen Authentifizierung und Autorisierung
Share
Beide Begriffe werden aus Sicherheitsgründen häufig in Verbindung miteinander verwendet, insbesondere wenn es darum geht, Zugang zum System zu erhalten. Beides sind sehr wichtige Themen, die häufig mit dem Web als Schlüsselkomponenten seiner Service-Infrastruktur verbunden sind. Beide Begriffe sind jedoch mit völlig unterschiedlichen Begriffen sehr unterschiedlich. Es stimmt zwar, dass sie häufig im selben Kontext mit demselben Werkzeug verwendet werden, sie unterscheiden sich jedoch vollständig voneinander.
Authentifizierung bedeutet, Ihre eigene Identität zu bestätigen, während Autorisierung den Zugriff auf das System gewährt. In einfachen Worten ist die Authentifizierung der Prozess der Überprüfung, wer Sie sind, während die Autorisierung der Prozess ist, auf den Sie Zugriff haben.
Authentifizierung
Bei der Authentifizierung werden Ihre Anmeldeinformationen wie Benutzername / Benutzer-ID und Kennwort überprüft, um Ihre Identität zu überprüfen. Das System bestimmt, ob Sie Ihre Anmeldeinformationen verwenden. In öffentlichen und privaten Netzwerken authentifiziert das System die Benutzeridentität über Anmeldekennwörter. Die Authentifizierung erfolgt in der Regel über einen Benutzernamen und ein Kennwort und manchmal in Verbindung mit Authentifizierungsfaktoren, die sich auf die verschiedenen Arten der Authentifizierung beziehen.
Authentifizierungsfaktoren bestimmen die verschiedenen Elemente, die das System zur Überprüfung der Identität des Benutzers verwendet, bevor ihm Zugriff auf alles gewährt wird, vom Zugriff auf eine Datei bis zum Anfordern einer Banktransaktion. Die Identität eines Benutzers kann dadurch bestimmt werden, was er weiß, was er hat oder was er ist. Wenn es um die Sicherheit geht, müssen mindestens zwei oder alle drei Authentifizierungsfaktoren überprüft werden, um jemandem Zugriff auf das System zu gewähren.
Je nach Sicherheitsstufe kann der Authentifizierungsfaktor von einem der folgenden abweichen:
- Einzelfaktor Authentifizierung - Hierbei handelt es sich um die einfachste Authentifizierungsmethode, bei der der Zugriff eines Benutzers auf ein bestimmtes System (z. B. eine Website oder ein Netzwerk) normalerweise über ein einfaches Kennwort erfolgt. Die Person kann den Zugriff auf das System mit nur einem der Berechtigungsnachweise anfordern, um ihre Identität zu überprüfen. Das gebräuchlichste Beispiel für eine Single-Factor-Authentifizierung sind Anmeldeinformationen, für die nur ein Kennwort für einen Benutzernamen erforderlich ist.
- Zwei-Faktor-Authentifizierung - Wie der Name vermuten lässt, handelt es sich um einen zweistufigen Überprüfungsprozess, der nicht nur einen Benutzernamen und ein Kennwort erfordert, sondern auch etwas, das nur der Benutzer kennt, um eine zusätzliche Sicherheitsstufe zu gewährleisten, beispielsweise eine ATM-Pin, die nur dem Benutzer bekannt ist. Die Verwendung eines Benutzernamens und eines Passworts zusammen mit zusätzlichen vertraulichen Informationen macht es Betrügern praktisch unmöglich, wertvolle Daten zu stehlen.
- Multi-Factor-Authentifizierung - Dies ist die fortschrittlichste Authentifizierungsmethode, bei der zwei oder mehr Sicherheitsstufen aus unabhängigen Authentifizierungskategorien verwendet werden, um dem Benutzer Zugriff auf das System zu gewähren. Alle Faktoren sollten unabhängig voneinander sein, um Schwachstellen im System zu beseitigen. Finanzinstitute, Banken und Strafverfolgungsbehörden verwenden die Authentifizierung mit mehreren Faktoren, um ihre Daten und Anwendungen vor potenziellen Bedrohungen zu schützen.
Wenn Sie beispielsweise Ihre Geldautomatenkarte in den Geldautomaten eingeben, werden Sie aufgefordert, Ihre PIN einzugeben. Nachdem Sie die PIN korrekt eingegeben haben, bestätigt die Bank Ihre Identität, dass die Karte Ihnen wirklich gehört und Sie der rechtmäßige Besitzer der Karte sind. Durch die Überprüfung Ihrer ATM-Karten-PIN überprüft die Bank Ihre Identität, die als Authentifizierung bezeichnet wird. Es identifiziert lediglich, wer Sie sind, sonst nichts.
Genehmigung
Die Autorisierung hingegen erfolgt, nachdem Ihre Identität erfolgreich vom System authentifiziert wurde. Dadurch erhalten Sie die vollständige Berechtigung, auf die Ressourcen wie Informationen, Dateien, Datenbanken, Fonds, Standorte und fast alles zuzugreifen. In einfachen Worten, die Autorisierung bestimmt, ob und in welchem Umfang Sie auf das System zugreifen können. Sobald Ihre Identität nach erfolgreicher Authentifizierung vom System überprüft wurde, können Sie auf die Ressourcen des Systems zugreifen.
Berechtigung ist der Prozess, um zu bestimmen, ob der authentifizierte Benutzer Zugriff auf die bestimmten Ressourcen hat. Es überprüft Ihre Rechte, um Ihnen Zugriff auf Ressourcen wie Informationen, Datenbanken, Dateien usw. zu gewähren. Die Autorisierung erfolgt normalerweise nach der Authentifizierung, die Ihre Berechtigung bestätigt. In einfachen Worten ist es so, als würde man jemandem die offizielle Erlaubnis geben, etwas oder etwas zu tun.
Zum Beispiel wird der Prozess der Überprüfung und Bestätigung der Mitarbeiter-ID und der Kennwörter in einer Organisation als Authentifizierung bezeichnet, wobei jedoch festgelegt wird, welcher Mitarbeiter Zugriff auf welches Stockwerk hat, als Autorisierung. Nehmen wir an, Sie reisen und sind gerade dabei, einen Flug zu besteigen. Wenn Sie Ihr Ticket und einen Ausweis vor dem Einchecken vorzeigen, erhalten Sie eine Bordkarte, die bestätigt, dass die Flughafenbehörde Ihre Identität bestätigt hat. Aber das ist es nicht. Ein Flugbegleiter muss Ihnen die Befugnis erteilen, den Flug zu betreten, auf dem Sie fliegen sollen, und Ihnen Zugang zum Inneren des Flugzeugs und seinen Ressourcen zu gewähren.
Der Zugriff auf ein System ist sowohl durch Authentifizierung als auch durch Autorisierung geschützt. Jeder Versuch, auf das System zuzugreifen, kann durch Eingabe gültiger Anmeldeinformationen authentifiziert werden, kann jedoch nur nach erfolgreicher Autorisierung akzeptiert werden. Wenn der Versuch authentifiziert, aber nicht autorisiert ist, verweigert das System den Zugriff auf das System.
| Authentifizierung | Genehmigung |
| Die Authentifizierung bestätigt Ihre Identität, um Zugriff auf das System zu gewähren. | Die Berechtigung bestimmt, ob Sie berechtigt sind, auf die Ressourcen zuzugreifen. |
| Hierbei werden Benutzeranmeldeinformationen überprüft, um Benutzerzugriff zu erhalten. | Dabei wird überprüft, ob der Zugriff erlaubt ist oder nicht. |
| Sie bestimmt, ob der Benutzer das ist, was er behauptet zu sein. | Es legt fest, auf was der Benutzer zugreifen kann und was nicht. |
| Die Authentifizierung erfordert normalerweise einen Benutzernamen und ein Passwort. | Die für die Autorisierung erforderlichen Authentifizierungsfaktoren können je nach Sicherheitsstufe variieren. |
| Die Authentifizierung ist der erste Schritt der Autorisierung. | Die Autorisierung erfolgt nach erfolgreicher Authentifizierung. |
| Zum Beispiel müssen sich Studenten einer bestimmten Universität authentifizieren, bevor sie auf den Studentenlink der offiziellen Website der Universität zugreifen können. Dies wird als Authentifizierung bezeichnet. | Die Autorisierung bestimmt beispielsweise genau, auf welche Informationen die Studierenden nach erfolgreicher Authentifizierung auf der Website der Universität zugreifen dürfen. |
Zusammenfassung
Obwohl beide Begriffe häufig in Verbindung miteinander verwendet werden, haben sie völlig unterschiedliche Begriffe und Bedeutungen. Während beide Konzepte für die Web-Service-Infrastruktur von entscheidender Bedeutung sind, insbesondere wenn es darum geht, Zugang zu einem System zu gewähren, ist das Verständnis der einzelnen Begriffe in Bezug auf die Sicherheit der Schlüssel. Während die meisten von uns einen Begriff mit einem anderen verwechseln, ist es wichtig, den wichtigsten Unterschied zu verstehen, der eigentlich sehr einfach ist. Wenn Sie sich für die Authentifizierung entscheiden, können Sie auf Autorisierung zugreifen und diese ändern. In einfachen Worten bestimmt die Authentifizierung, ob jemand derjenige ist, der er zu sein vorgibt. Die Autorisierung hingegen bestimmt seine Rechte auf den Zugriff auf Ressourcen.
