Cả hai đơn vị vùng Xác thực và Ủy quyền đều được sử dụng liên quan đến bảo mật kiến thức cho phép đảm bảo an toàn cho hệ thống dữ liệu tự động. Mỗi đơn vị khu vực chủ đề cực kỳ quan trọng thường liên quan đến trực tuyến như các mục chính của cơ sở hạ tầng dịch vụ của nó. Tuy nhiên, mỗi thuật ngữ đơn vị diện tích là hoàn toàn khác nhau với những ý tưởng hoàn toàn khác nhau. trong khi thực sự, chúng thường được sử dụng trong cùng một ngữ cảnh với cùng một công cụ, chúng hoàn toàn khác biệt với nhau. Trong quá trình xác thực, danh tính của người dùng được kiểm tra để cung cấp quyền truy cập vào hệ thống. Trong quá trình ủy quyền, quyền hạn của một người hoặc người dùng được kiểm tra để truy cập tài nguyên. Xác thực được thực hiện trước quá trình ủy quyền, trong khi quá trình ủy quyền được thực hiện sau quá trình xác thực
Xác thực và ủy quyền là hai từ được sử dụng trong thế giới bảo mật. Chúng có thể nghe giống nhau nhưng hoàn toàn khác nhau. Xác thực được sử dụng để xác thực danh tính của ai đó, trong khi ủy quyền là cách cung cấp quyền cho ai đó truy cập vào một tài nguyên cụ thể. Đây là hai thuật ngữ bảo mật cơ bản và do đó cần được hiểu thấu đáo. Trong chủ đề này, chúng ta sẽ thảo luận về xác thực và ủy quyền là gì và chúng khác nhau như thế nào
Xác thực là gì?
- Xác thực là quá trình xác định danh tính của ai đó bằng cách đảm bảo rằng người đó giống như những gì anh ta đang yêu cầu
- Nó được sử dụng bởi cả máy chủ và máy khách. Máy chủ sử dụng xác thực khi ai đó muốn truy cập thông tin và máy chủ cần biết ai đang truy cập thông tin. Khách hàng sử dụng nó khi anh ta muốn biết rằng đó có phải là cùng một máy chủ mà nó tuyên bố là
- Việc xác thực bởi máy chủ được thực hiện chủ yếu bằng cách sử dụng tên người dùng và mật khẩu. Các cách xác thực khác của máy chủ cũng có thể được thực hiện bằng cách sử dụng thẻ, quét võng mạc, nhận dạng giọng nói và dấu vân tay
- Xác thực không đảm bảo một người có thể thực hiện những tác vụ nào trong một quy trình, những tệp nào anh ta có thể xem, đọc hoặc cập nhật. Nó chủ yếu xác định người hoặc hệ thống thực sự là ai
Yếu tố xác thực
Theo mức độ bảo mật và loại ứng dụng, có nhiều loại yếu tố Xác thực khác nhau
- Xác thực một yếu tố
Xác thực một yếu tố là cách xác thực đơn giản nhất. Nó chỉ cần tên người dùng và mật khẩu để cho phép người dùng truy cập hệ thống - Xác thực hai yếu tố
Theo tên, nó là bảo mật hai cấp; . Nó không chỉ yêu cầu tên người dùng và mật khẩu mà còn cần thông tin duy nhất mà chỉ người dùng cụ thể mới biết, chẳng hạn như tên trường đầu tiên, điểm đến yêu thích. Ngoài ra, nó cũng có thể xác minh người dùng bằng cách gửi OTP hoặc một liên kết duy nhất trên số đăng ký hoặc địa chỉ email của người dùng - Xác thực đa yếu tố
Đây là cấp độ ủy quyền cao cấp và an toàn nhất. Nó yêu cầu hai hoặc nhiều hơn hai cấp độ bảo mật từ các danh mục khác nhau và độc lập. Loại xác thực này thường được sử dụng trong các tổ chức tài chính, ngân hàng và cơ quan thực thi pháp luật. Điều này đảm bảo loại bỏ bất kỳ hành vi tiết lộ dữ liệu nào từ bên thứ ba hoặc tin tặc
Kỹ thuật xác thực nổi tiếng
1. Xác thực dựa trên mật khẩu
Đây là cách xác thực đơn giản nhất. Nó yêu cầu mật khẩu cho tên người dùng cụ thể. Nếu mật khẩu khớp với tên người dùng và cả hai chi tiết khớp với cơ sở dữ liệu của hệ thống, người dùng sẽ được xác thực thành công
2. xác thực không cần mật khẩu
Trong kỹ thuật này, người dùng không cần bất kỳ mật khẩu nào; . Cũng có thể nói xác thực dựa trên OTP
3. 2FA/MFA
2FA/MFA hay xác thực 2 yếu tố/Xác thực đa yếu tố là mức xác thực cao hơn. Nó yêu cầu mã PIN hoặc câu hỏi bảo mật bổ sung để có thể xác thực người dùng
4. Dấu hiệu duy nhất trên
Đăng nhập một lần hoặc SSO là một cách để cho phép truy cập vào nhiều ứng dụng với một bộ thông tin đăng nhập duy nhất. Nó cho phép người dùng đăng nhập một lần và nó sẽ tự động được đăng nhập vào tất cả các ứng dụng web khác từ cùng một thư mục tập trung
5. Xác thực xã hội
Xác thực xã hội không yêu cầu bảo mật bổ sung;
Ủy quyền là gì?
- Ủy quyền là quá trình cho phép ai đó làm điều gì đó. Nó có nghĩa là một cách để kiểm tra xem người dùng có quyền sử dụng tài nguyên hay không
- Nó xác định rằng dữ liệu và thông tin nào mà một người dùng có thể truy cập. Nó cũng được gọi là AuthZ
- Việc ủy quyền thường kết hợp với xác thực để hệ thống có thể biết ai đang truy cập thông tin
- Việc ủy quyền không phải lúc nào cũng cần thiết để truy cập thông tin có sẵn trên internet. Một số dữ liệu có sẵn trên internet có thể được truy cập mà không cần bất kỳ sự cho phép nào, chẳng hạn như bạn có thể đọc về bất kỳ công nghệ nào từ đây
Kỹ thuật ủy quyền
- Kiểm soát truy cập dựa trên vai trò
RBAC hoặc kỹ thuật kiểm soát truy cập dựa trên vai trò được cung cấp cho người dùng theo vai trò hoặc hồ sơ của họ trong tổ chức. Nó có thể được triển khai cho hệ thống-hệ thống hoặc người dùng với hệ thống - Mã thông báo web JSON
Mã thông báo web JSON hoặc JWT là một tiêu chuẩn mở được sử dụng để truyền dữ liệu một cách an toàn giữa các bên dưới dạng đối tượng JSON. Người dùng được xác minh và ủy quyền bằng cặp khóa riêng/công khai - SAML
SAML là viết tắt của Ngôn ngữ đánh dấu xác nhận bảo mật. Đó là một tiêu chuẩn mở cung cấp thông tin ủy quyền cho các nhà cung cấp dịch vụ. Các thông tin đăng nhập này được trao đổi thông qua các tài liệu XML được ký điện tử - ủy quyền OpenID
Nó giúp khách hàng xác minh danh tính của người dùng cuối trên cơ sở xác thực - OAuth
OAuth là một giao thức ủy quyền, cho phép API xác thực và truy cập các tài nguyên được yêu cầu
Biểu đồ khác biệt giữa Xác thực và Ủy quyền
Phần kết luận
Theo cuộc thảo luận ở trên, chúng ta có thể nói Xác thực xác minh danh tính của người dùng và Ủy quyền xác minh quyền truy cập và quyền của người dùng. Nếu người dùng không thể chứng minh danh tính của họ, họ không thể truy cập hệ thống. Và nếu bạn được xác thực bằng cách chứng minh danh tính chính xác, nhưng bạn không được phép thực hiện một chức năng cụ thể, thì bạn sẽ không thể truy cập vào đó. Tuy nhiên, cả hai phương pháp bảo mật thường được sử dụng cùng nhau