Hva er autorisasjon vs autentisering?

Sikkerhet er et viktig problem i det digitale landskapet, der brukere alltid prøver å ligge i forkant av et trussellandskap i stadig utvikling. Hacking , phishing og skadelig programvare er bare noen få av de mange cybertruslene som brukere kontinuerlig må beskytte seg mot. Imidlertid er det mange sikkerhetstiltak som brukere kan implementere for å holde dataene og enhetene sine trygge.

Mange bedrifter, organisasjoner og tjenesteleverandører iverksetter også tiltak for å beskytte nettverkene, systemene og kundenes data. Blant disse er to identitetsverifiseringsprosesser kjent som autentisering og autorisasjon. Selv om de to begrepene ofte brukes om hverandre, utfører de litt forskjellige funksjoner, noe som betyr at de må brukes sammen for å tilby det høyeste sikkerhetsnivået. Denne integrasjonen forsterker at selv om autentiseringsmetoder ble avanserte i 2024, må autorisasjonen utvikles for å samsvare , og sikrer at sikre, verifiserte identiteter har riktige tillatelser i systemet. Å forstå nyansene av autentisering kontra autorisasjon er viktig for å beskytte brukere i den komplekse verdenen av cybersikkerhet.

Hva er autentisering?

Innenfor cybersikkerhet er autentisering – noen ganger kalt AuthN – en prosess som lar brukere bekrefte identiteten sin eller identiteten til enhetene sine. Nesten alle elektroniske enheter eller nettjenester krever en eller annen form for autentisering for å få tilgang til sikrede systemer eller data. Vanligvis er dette noe som - antagelig - bare en verifisert bruker ville ha. For eksempel, når en bruker logger på en e-postkonto eller profil på sosiale medier, kan en bruker bli bedt om å oppgi brukernavn og passord. I kulissene verifiserer vertssystemet deretter disse påloggingslegitimasjonene til de som er lagret i den sikre databasen – hvis de samsvarer, tror det at brukeren er gyldig og gir dem tilgang til kontoen.

I hovedsak er autentisering en form for identitetsbekreftelse og tilbyr et lag med sikkerhet for systemer, kontoer og programvare. Den sikrer at bare autoriserte brukere har tilgang til sensitive data eller andre ressurser.

Hvorfor er autentisering viktig?

Sikkerhetsautentisering er en avgjørende del av cybersikkerhet fordi den fungerer for å bekrefte at brukerne er den de utgir seg for å være. Den kan brukes på forskjellige måter for å forhindre uautorisert tilgang til ting som bedriftsnettverk og brukerkontoer. Det er mange grunner til at autentisering er nyttig for privatpersoner og selskaper, inkludert:

• Beskyttelse av sensitive person- og bedriftsdata.
• Redusere risikoen for brudd på datasikkerheten og ytterligere problemer som identitetstyveri eller økonomisk svindel .
• Sikre at bare uttrykkelig autoriserte brukere har tilgang til data og kontoer.
• Vedlikeholde nøyaktige tilgangsposter slik at det er tydelig hvem som har tilgang til hva og når.
• Sikring av nettverk, beskyttede ressurser og enheter mot trusselsaktører.

Typer autentisering

For å forstå definisjonen av brukergodkjenning riktig, er det viktig å vite hvordan prosessen ser ut. Sikkerhetsgodkjenning krever at brukerne består en identitetsverifisering ved å presentere riktig autentiseringsfaktor. Dette kan være en:

• Kunnskapsfaktor : noe brukeren kan, for eksempel et passord.
• Besittelsesfaktor : noe brukeren har, vanligvis en telefon eller et sikkerhetstoken som kan brukes til å motta engangspassord (OTP) eller generere tilgangskoder.
• Iboende faktor : noe som er fysisk unikt for brukeren - dette er vanligvis biometriske opplysninger som et fingeravtrykk eller ansiktsgjenkjenning.
• Plasseringsfaktor : i dette tilfellet er verifisering basert på en brukers plassering.
• Tidsfaktor : Her kan verifisering bare skje til bestemte angitte tider.

I praksis kan autentiseringseksempler se slik ut:

• Passord : Dette er den vanligste formen for identitetsverifisering og brukes overalt for å logge på enheter og kontoer – men de er generelt en av de minst sikre autentiseringsprotokollene, og det er derfor eksperter foreslår best praksis som å bytte passord regelmessig og bruke en sikker passordbehandling .
• Engangspassord : Disse systemgenererte passordene sendes vanligvis til brukerne via e-post eller tekstmelding, slik at de trygt kan logge på en konto eller enhet én gang – du vil ofte se disse brukt i for eksempel banktransaksjoner.
• Tokens : Denne formen for autentisering gir tilgang til koder generert fra en kryptert enhet .
• Biometrisk autentisering : Denne formen for identitetsverifisering bruker en iboende faktor – vanligvis en brukers ansikt eller fingeravtrykk – for å gi tilgang til enheter eller kontoer – dette brukes ofte på smarttelefoner og bærbare datamaskiner nå.
• Flerfaktorautentisering : Dette krever minst to autentiseringsfaktorer – for eksempel passord og biometri – for å gi brukerne tilgang.
• Sertifikatbasert autentisering : Til dette tilbyr brukerne identitetsverifisering med et digitalt sertifikat som kombinerer påloggingsdetaljene deres med en tredjeparts sertifiseringsinstanss digitale signatur – autentiseringssystemet sjekker sertifikatets gyldighet og tester deretter brukerens enhet for å bekrefte identiteten.
• Enhetsgodkjenning : Denne metoden for sikkerhetsgodkjenning brukes spesielt til å bekrefte enheter som telefoner og datamaskiner før de gir dem tilgang til et nettverk eller en tjeneste – den brukes ofte sammen med andre metoder som biometrisk autentisering.
• Autentiseringsapper : Noen bedrifter og organisasjoner bruker nå disse tredjepartsappene for å generere tilfeldige sikkerhetskoder for å få tilgang til systemer, kontoer og nettverk.
• Enkel pålogging (SSO) : Dette tillater en bruker å logge på flere apper gjennom én sentral leverandør – for eksempel å logge på Google gir tilgang til Gmail, Google Disk og YouTube.

Hvordan brukes autentisering?

Sikkerhetsautentisering brukes på mange måter daglig. Generelt er det bedrifter og organisasjoner som bruker autentiseringsprotokoller for å angi interne og eksterne tilgangskontroller. Dette begrenser hvordan brukerne får tilgang til nettverkene, systemene og tjenestene sine. Den gjennomsnittlige personen vil bruke en rekke autentiseringseksempler hver dag for å utføre visse funksjoner, for eksempel:

• Bruke påloggingsdetaljer for å få tilgang til bedriftssystemer, e-poster, databaser og dokumenter på jobben, spesielt når du jobber eksternt.
• Distribuere biometrisk autentisering for å låse opp og bruke smarttelefoner eller bærbare datamaskiner.
• Bruke flerfaktorautentisering for å logge på nettbankapper og utføre økonomiske transaksjoner.
• Logge inn på netthandel med brukernavn og passord.
• Bruke et engangspassord for å godkjenne belastninger av kredittkort ved kjøp på nett
• Bruke tokens, sertifikater eller passord for å få tilgang til elektroniske helsejournaler.

Hva er autorisasjon?

Selv om folk ofte forveksler autentisering med autorisasjon, har de to prosessene forskjellige funksjoner. Etter at et system har verifisert en brukers identitet med sikkerhetsgodkjenning, tar autorisasjonen - noen ganger kalt 'AuthZ' - over for å diktere hva brukeren kan gjøre én gang i et system eller en konto. I hovedsak styrer autorisasjonsprosesser hvilke ressurser en bestemt bruker har tilgang til – for eksempel filer og databaser – og hvilke operasjoner de kan kjøre i et system eller nettverk. Innenfor et bedriftsnettverk kan for eksempel en IT-administrator være autorisert til å opprette, flytte og slette filer, mens den gjennomsnittlige ansatt kanskje bare har tilgang til filer på systemet.

Autorisasjonstyper

Generelt sett begrenser autorisasjon hvor mye tilgang en bruker har til data, nettverk og systemer. Men det er forskjellige måter dette kan fungere på. Nedenfor er noen av de mest brukte autorisasjonseksemplene innen cybersikkerhet:

• Discretionary Access Control (DAC) lar administratorer tilordne hver enkelt bruker svært spesifikk tilgang basert på identitetsverifisering.
• Mandatory Access Control (MAC) kontrollerer autorisasjoner i operativsystemer, og administrerer for eksempel tillatelser for filer og minne.
• Rollebasert tilgangskontroll (RBAC) håndhever kontrollene som er innebygd i DAC- eller MAC modellene, og konfigurerer systemer for hver enkelt bruker.
• Attributtbasert tilgangskontroll (ABAC) bruker attributter for å håndheve kontroller basert på definerte retningslinjer – disse tillatelsene kan gis til en bestemt bruker eller ressurs eller på tvers av et helt system.
• Tilgangskontrolllister (ACL-er) lar administratorer kontrollere hvilke brukere eller tjenester som kan få tilgang til et bestemt miljø eller gjøre endringer i det.

Hvordan brukes autorisasjon?

Som med autentisering, er autorisasjon avgjørende for cybersikkerhet fordi den lar bedrifter og organisasjoner beskytte ressursene sine på flere måter. Av denne grunn anbefaler eksperter at hver bruker får det laveste nivået av tillatelser som er nødvendig for deres behov. Her er noen måter autorisasjon kan tilby nyttige sikkerhetstiltak:

• Tillate autoriserte brukere trygg tilgang til sikre funksjoner – for eksempel for å gi bankkunder tilgang til sine individuelle kontoer på mobilapper.
• Hindre brukere av den samme tjenesten fra å få tilgang til hverandres kontoer ved å bruke tillatelser til å opprette partisjoner i systemet.
• Ved å bruke begrensninger for å opprette forskjellige tilgangsnivåer for Software-as-a-Service-brukere (SaaS) - gjør det mulig for Saas-plattformer å tilby et visst servicenivå til gratiskontoer og et høyere servicenivå til premiumkontoer.
• Sikre atskillelse mellom et system eller nettverks interne og eksterne brukere med de riktige tillatelsene.
• Begrense skadene ved et databrudd – hvis for eksempel en hacker får tilgang til et selskaps nettverk gjennom en ansattkonto med lave tillatelser, er det mindre sannsynlig at de får tilgang til sensitiv informasjon.

Autentisering kontra autorisasjon: Hvordan er de like eller forskjellige?

Det er viktig å forstå likhetene og forskjellene mellom autentisering og autorisasjon. Begge har avgjørende roller for verifisering av brukerens identitet og for å holde data og systemer sikre, men det er også noen sentrale forskjeller i hva de gjør, hvordan de fungerer og hvordan de er best implementert.

Forskjeller mellom autorisasjon og autentisering

Noen av hovedforskjellene mellom autorisasjon og autentisering er:

• Funksjon : autentisering er i hovedsak identitetsverifisering, mens autorisasjon avgjør hvilke ressurser en bruker har tilgang til.
• Operasjon : Autentisering krever at brukerne presenterer påloggingsdetaljer for identitetsverifisering; autorisasjon er en automatisk prosess som administrerer brukertilgang i henhold til forhåndsdefinerte retningslinjer og regler.
• Timing : Autentisering er det første trinnet i prosessen, og skjer når en bruker første gang får tilgang til et system. autorisasjon skjer etter at brukerens identitet er bekreftet.
• Informasjonsdeling : autentisering krever informasjon fra brukeren for å bekrefte identiteten sin; autorisasjon bruker tokens for å bekrefte at brukerens identitet er autentisert og bruke de riktige tilgangsreglene.
• Standarder og metoder : Autentisering bruker vanligvis OpenID Connect (OIDC)-protokollen og passord, tokens eller biometriske data for verifisering; autorisasjon bruker ofte OAuth 2.0, og metoder som Rollebasert tilgangskontroll (RBAC).

Likheter mellom autentisering og autorisasjon

Autentisering og autorisasjon er begge essensielle deler av nettverkssikkerhet og tilgangsadministrasjon, og har derfor mange likheter. Begge prosesser:

• Brukes for å holde systemer, nettverk og data sikre.
• Kjør i rekkefølge, med autentisering som først utfører identitetsverifisering før autorisasjon etablerer tilgangstillatelser.
• Definer brukeradministrasjon for å sikre at bare autoriserte brukere har tilgang til de relevante ressursene.
• Bruk lignende protokoller for å utføre funksjonene sine.

Behovet for autentisering og autorisasjon i cybersikkerhet

Siden autentisering og autorisasjon fungerer forskjellig for å tilby separate lag med sikkerhet for nettverk, data og andre ressurser, må de brukes sammen for å skape et fullstendig sikkert miljø. Begge prosessene er nødvendige for å holde brukerdata atskilt og sikre. Autentisering ber brukerne om å fullføre en identitetsverifiseringsprosess for å få tilgang til systemet, og deretter avgjør autorisasjonen hvilke systemer og data kunden har tilgang - vanligvis bare sine egne.

Autentisering er viktig fordi den :

• Sikrer tilgang for hver bruker, og holder dataene deres sikre.
• Forenkler brukeradministrasjon med Single Sign-On (SSO), som gir dem tilgang til en rekke skytjenester med ett sett med påloggingslegitimasjon.
• Tilbyr en forbedret brukeropplevelse, ofte ved å tilby enkle bekreftelsesmetoder.

Autorisasjon er viktig fordi :

• Den håndhever minste privilegium-prinsipper, slik at brukere bare har tilgang til ressurser som er nødvendige for rollen deres.
• Den gir mulighet for dynamisk tilgangskontroll slik at administratorer kan endre tilgangspolicyer i sanntid, noe som gir mer fleksibel sikkerhet.

Relaterte artikler :

• Beskytt dataene dine på nett a med Passordbehandling
• Slik beskytter du deg selv og dataene dine

Relaterte produkter og tjenester :

• Kaspersky Premium Antivirus
• Kaspersky Password Manager
• Last ned Kaspersky Premium Antivirus med 30-dagers gratis prøveversjon