Hitelesítés és engedélyezés. Mi a különbség?

Az autentikáció, magyarul a hitelesítés megkülönböztet bizonyos felhasználói kört. A legitim (igazolt) felhasználók igénybe vehetnek bizonyos jogköröket, míg a nem legitimek nem rendelkeznek azzal. Látható, kézzelfogható alapja, koncepciója mindennek a titkosítás. Az ATM PIN kódoktól, a jogosítványon át, a felhasználói néven és jelszavakon keresztül a titkosítás életünk mindennapi része lett. Egyre több az olyan jellegű szolgáltatás, amely valamiféle azonosítást feltételez illetve annak pozitív elbírálása esetén vehető igénybe teljes vagy részleges folyamat.

Amennyiben a fent említett autentikációs folyamat túlságosan gyenge, annyiban nem kívánt felhasználók juthatnak olyan erőforrásokhoz, melyek számukra nem lennének elérhetőek. Ennek ellentéte is elképzelhető, már amennyiben túlságosan erős a hitelesítés, ekkor a támadók sokkal kisebb valószínűséggel jutnak be a rendszere, azonban a legitim felhasználók napi munkáját képes ellehetetleníteni. Arany középút szükséges. Maga a hitelesítés egy titkosítási folyamat koncepció, azonban komoly kihatással van a szervezet életére, költségeire, hatékonyságára.

Jelen cikk központi témája az autentikáció (hitelesítés) és az autorizáció (engedélyezés) folyamatok közötti fogalmi és gyakorlati különbségek magyarázata.

Akár banki átutalást vagy banki pénzfelvételt intézünk, akár mágneskártyás azonosítással belépünk egy irodába, akár repülőgépre szállunk stb., mindenképpen szükségünk van arra, hogy azonosítsuk magunkat. Ez a folyamat magába foglalja mind a hitelesítést, mind az engedélyezést. Gyakorlati példán keresztül világítsuk meg pontosan, hogy mi a két fogalom közötti különbség.

Képzeljük el, hogy egy repülőtéren vagyunk és beszállni készülünk a kívánt járatra. Ehhez két dolog kell, mely logikai konjunkciót képez és feltételez. Kell az, hogy azonosítsuk saját magunkat illetve kell az, hogy legyen érvényes legyünk a kívánt járatra. Az azonosítás tipikusan az útlevelünk, amely lehetővé teszi, hogy a repülőtéri alkalmazottak képesek legyenek megállapítani, hogy kik vagyunk. Ez a fajta azonosítás tulajdonképpen a hitelesítés folyamata, mely közben kiderül azonosságunk (vélhetőleg saját magunkkal, hacsak nem hamisak az átadott dokumentumuk). A repülőtéri személyzet továbbá ellenőrzi a jegyünket is, mely egyrészt szolgál arra, hogy biztosan arra a gépre szálljunk fel, amire szeretnénk, másrészt, hogy biztosítsák, hogy a szolgáltatásért mindenképpen fizessünk. Ez a folyamat maga az engedélyezés.

Ha a fenti gyakorlati példát átültetjük a számítógép hálózatok világába, akkor:

  • Felhasználói név: autentikáció (hitelesítés).
  • Jelszó: autorizáció (engedélyezés) páros pontosan reprezentálja, a fent leírtakat.

Az autentikáció során a rendszer feltételezi, hogy a felhasználó az, akinek mondja magát. Sok helyen ezért az azonosítás (identifikáció) és az azonosság bizonyossága kiemelten fontos. Ezen páros általában egy még nem foglalt felhasználói név illetve jelszó vagy akár harmadik szintként egy elektronikus levélcím is. Az ilyen jellegű három szintes azonosítás, jellegéből adódóan az internetes portálokhoz kötődik, melyeknél általában beiktatásra kerül a fent említett harmadik lépcső, mégpedig az elektronikus levélcímre történő hitelesítési/aktiválási link küldés. Rákattintva (általában 24 órán belüli engedélyezés) aktivizálhatjuk felhasználói fiókunkat.

A jelszavak pontosan azért képesek az azonosság bizonyosságát megadni, mert az tudja a jelszót, akihez a bejelentkezési név hozzárendelésre került. A „jelszó” vagy azért jelszó, mert tudja az illető felhasználó, vagy azért jelszó, mert van az illetőnek. Ez a „van” túlmutat a kerberos vagy clear text hitelesítésen, mivel erős autentikációt feltételez, miszerint a tulajdonunkban van egy jelszó token, mely fizikai eszköz valamilyen algoritmus alapján a szerveren telepített szoftverrel képes összhangban működni és biztosítani a belépést a rendszerbe.

error: