Autenticación y autorización son las dos palabras que se utilizan en el mundo de la seguridad. Pueden parecer similares pero son completamente diferentes entre sí. La autenticación se utiliza para autenticar la identidad de alguien, mientras que la autorización es una forma de otorgar permiso a alguien para acceder a un recurso en particular. Estos son los dos términos básicos de seguridad y, por lo tanto, deben entenderse a fondo. En este tema, analizaremos qué son la autenticación y la autorización y cómo se diferencian entre sí.
¿Qué es la autenticación?
- La autenticación es el proceso de identificar la identidad de alguien asegurando que la persona es la misma que reclama.
- Es utilizado tanto por el servidor como por el cliente. El servidor utiliza autenticación cuando alguien quiere acceder a la información y el servidor necesita saber quién accede a la información. El cliente lo utiliza cuando quiere saber que es el mismo servidor que dice ser.
- La autenticación por parte del servidor se realiza principalmente mediante el uso del nombre de usuario y contraseña. También se pueden realizar otras formas de autenticación por parte del servidor utilizando tarjetas, escaneos de retina, reconocimiento de voz y huellas dactilares.
- La autenticación no garantiza qué tareas de un proceso puede realizar una persona, ni qué archivos puede ver, leer o actualizar. Principalmente identifica quién es realmente la persona o el sistema.
Factores de autenticación
Según los niveles de seguridad y el tipo de aplicación, existen diferentes tipos de factores de autenticación:
La autenticación de un solo factor es la forma más sencilla de autenticación. Solo necesita un nombre de usuario y contraseña para permitir que un usuario acceda a un sistema.
Según el nombre, se trata de seguridad de dos niveles; por lo tanto, se necesita una verificación en dos pasos para autenticar a un usuario. No requiere sólo un nombre de usuario y contraseña, sino que también necesita información única que sólo el usuario en particular conoce, como como primer nombre de la escuela, un destino favorito . Aparte de esto, también puede verificar al usuario enviando la OTP o un enlace único en el número registrado o la dirección de correo electrónico del usuario.
Este es el nivel de autorización más seguro y avanzado. Requiere dos o más de dos niveles de seguridad de categorías diferentes e independientes. Este tipo de autenticación se suele utilizar en organizaciones financieras, bancos y organismos encargados de hacer cumplir la ley. Esto garantiza eliminar cualquier exposición de datos de terceros o piratas informáticos.
Técnicas de autenticación famosas
1. Autenticación basada en contraseña
pitón tipo burbuja
Es la forma más sencilla de autenticación. Requiere la contraseña para el nombre de usuario en particular. Si la contraseña coincide con el nombre de usuario y ambos detalles coinciden con la base de datos del sistema, el usuario será autenticado exitosamente.
2. Autenticación sin contraseña
los primeros mukers
En esta técnica, el usuario no necesita ninguna contraseña; en su lugar, obtiene una OTP (contraseña de un solo uso) o un enlace en su número de móvil o número de teléfono registrado. También se puede decir autenticación basada en OTP.
3. 2FA/MFA
2FA/MFA o autenticación de 2 factores/autenticación multifactor es el nivel más alto de autenticación. Requiere PIN adicional o preguntas de seguridad para poder autenticar al usuario.
4. Inicio de sesión único
programación r en c
Inicio de sesión único o SSO es una forma de permitir el acceso a múltiples aplicaciones con un único conjunto de credenciales. Permite al usuario iniciar sesión una vez y automáticamente iniciará sesión en todas las demás aplicaciones web desde el mismo directorio centralizado.
5. Autenticación social
La autenticación social no requiere seguridad adicional; en cambio, verifica al usuario con las credenciales existentes para la red social disponible.
¿Qué es la autorización?
- La autorización es el proceso de conceder a alguien la posibilidad de hacer algo. Es una forma de comprobar si el usuario tiene permiso para utilizar un recurso o no.
- Define a qué datos e información puede acceder un usuario. También se dice como AuthZ.
- La autorización suele funcionar con autenticación para que el sistema pueda saber quién está accediendo a la información.
- No siempre es necesaria autorización para acceder a la información disponible en Internet. Se puede acceder a algunos datos disponibles en Internet sin ninguna autorización, como puede leer sobre cualquier tecnología en aquí .
Técnicas de autorización
La técnica de control de acceso basada en roles o RBAC se proporciona a los usuarios según su rol o perfil en la organización. Se puede implementar para sistema-sistema o usuario-sistema.
El token web JSON o JWT es un estándar abierto que se utiliza para transmitir de forma segura los datos entre las partes en forma de objeto JSON. Los usuarios son verificados y autorizados utilizando el par de claves pública y privada.
SAML significa Lenguaje de marcado de aserciones de seguridad. Es un estándar abierto que proporciona credenciales de autorización a los proveedores de servicios. Estas credenciales se intercambian a través de documentos XML firmados digitalmente.
Ayuda a los clientes a verificar la identidad de los usuarios finales mediante autenticación.
OAuth es un protocolo de autorización que permite a la API autenticar y acceder a los recursos solicitados.
Cuadro de diferencias entre autenticación y autorización
| Autenticación | Autorización |
|---|---|
| La autenticación es el proceso de identificar a un usuario para proporcionarle acceso a un sistema. | La autorización es el proceso de otorgar permiso para acceder a los recursos. |
| En esto, se verifica el usuario o cliente y el servidor. | En este se verifica que si el usuario está permitido mediante las políticas y reglas definidas. |
| Suele realizarse antes de la autorización. | Generalmente se realiza una vez que el usuario se ha autenticado exitosamente. |
| Requiere los datos de inicio de sesión del usuario, como nombre de usuario y contraseña, etc. | Requiere el privilegio o nivel de seguridad del usuario. |
| Los datos se proporcionan a través de los identificadores de token. | Los datos se proporcionan a través de los tokens de acceso. |
| Ejemplo: Es necesario ingresar los datos de inicio de sesión para que los empleados se autentiquen para acceder a los correos electrónicos o al software de la organización. | Ejemplo: Una vez que los empleados se autentican exitosamente, pueden acceder y trabajar en ciertas funciones solo según sus roles y perfiles. |
| El usuario puede cambiar parcialmente las credenciales de autenticación según el requisito. | El usuario no puede cambiar los permisos de autorización. Los permisos los otorga a un usuario el propietario/administrador del sistema, y él solo puede cambiarlos. |
Conclusión
Según la discusión anterior, podemos decir que la Autenticación verifica la identidad del usuario y la Autorización verifica el acceso y los permisos del usuario. Si el usuario no puede acreditar su identidad, no podrá acceder al sistema. Y si está autenticado demostrando la identidad correcta, pero no está autorizado a realizar una función específica, no podrá acceder a ella. Sin embargo, ambos métodos de seguridad suelen utilizarse juntos.