تفاوت احراز هویت و مجوز چیست؟

احراز هویت و مجوز دو مفهوم مدیریت دسترسی هستند که ترکیب این‌ دو استراتژی امنیتی خوبی برای یک شرکت فراهم می‌کند. در این مقاله آموزشی از وب‌سایت امنیت اینترنت کنش‌تک در مورد تعاریف احراز هویت و مجوز و همچنین تفاوت بین این دو می‌خوانیم.

احراز هویت چیست؟

احراز هویت فرآیند تأیید هویت شخصی است که تعیین می‌کند آنها همان چیزی هستند که ادعا می کنند.

به عنوان مثال، اگر کاربر نیاز به دسترسی به یک سیستم داشته باشد از او خواسته می‌شود اطلاعات اعتباری خود را وارد کند (نام کاربری و رمزعبور). سپس این اطلاعات در یک پایگاه داده مشخص بررسی می‌شوند. پس از این مرحله، در صورت مطابقت داده‌های ارسالی کاربر، به وی اجازه دسترسی به سیستم داده می‌شود.

نمونه دیگری از احراز هویت زمانی است که دو دستگاه در مکان‌های مختلف با یکدیگر ارتباط برقرار می‌کنند. بدین ترتیب از طریق احراز هویت، اساساً یک سطح اعتماد ایجاد می‌کنند.

مجوز چیست؟

مجوز فرآیند اعطای جواز برای انجام کاری یا دسترسی به یک منبع خاص پس از تکمیل مرحله احراز هویت است. این مجوز می تواند توسط یک شخص یا یک سیستم خودکار اعطا شود. مجوز معمولا با هدف جلوگیری از دسترسی غیرمجاز به منابع انجام می‌شود.

برای مثال، ممکن است مجاز به استفاده از اپلیکیشن‌های استاندارد در محل کار خود باشید، اما مجاز به استفاده از برخی اپلیکیشن‌هایی که فقط برای مدیران رزرو شده‌اند، نباشید.

احراز هویت در مقابل مجوز

احراز هویت، هویت یک کاربر را بررسی می‌کند، که به دنبال آن از طریق مجوز مشخص می‌‌شود که این کاربر به چه اپلیکیشن‌ها، فایل‌ها و یا داده‌هایی دسترسی داشته باشد.

«مجوز» از برخی تنظیمات ایجاد شده و مدیریت شده توسط شرکت پیروی می‌کند در حالی‌که «احراز هویت» از رمزعبور یا داده‌‌های بیومتریک برای تائید هویت یک کاربر استفاده می‌کند. هنگامی که از فرآیند مدیریت دسترسی صحبت می‌شود، ابتدا احراز هویت مورد بحث است سپس مجوز به دنبال آن می‌آید.

از دیگر تفاوت‌های احرازهویت و مجوز این است که احراز هویت فرایندی قابل مشاهده توسط کاربر است، اما مجوز قابل مشاهده نیست زیرا تنظیماتی است که از قبل اعمال شده است.

هر دو فرایند باید بصورت سینرژی عمل کنند، زیرا در صورت شکست یکی، درها به روی شکاف‌های امنیتی باز می‌شود. هدف اصلی احراز هویت و مجوز همکاری با یکدیگر، جلوگیری از حملات سایبری است که شامل افشای اطلاعات است.

روش های احراز هویت:

روش‌های احراز هویت متکی هستند بر : آنچه می‌دانید، آنچه دارید، و آنچه هستید. احراز هویت می‌تواند تک عامله، دو عامله یا چند عامله باشد.

روش‌های احراز هویت «آنچه می‌دانید»

• احرازهویت مبتنی بر رمزعبور
• سوالات امنیتی
• شماره شناسایی شخصی
• تاریخ تولد
• شماره تامین اجتماعی
• سایر اطلاعات قابل شناسایی شخصی

روش‌های احراز هویت «آنچه دارید»

• نشانه‌های دسترسی سخت افزاری
• توکن‌های نرم افزاری
• کارت شناسایی دیجیتال
• کلیدها
• کارت کشیدن
• اپلکیشن‌های احراز هویت در تلفن‌ها
• گواهی‌های امنیتی
• ورود به سیستم
• احراز هویت بدون رمز عبور – این تکنیک همچنین اغلب تحت احراز هویت مبتنی بر OTP شناخته می‌شود

روش‌های احراز هویت «آنچه که هستید»

داده‌های بیومتریک مبتنی بر IAM: این روش اطلاعات بیومتریک کاربر مانند اثر انگشت، اسکن شبکیه، تشخیص چهره و تشخیص صدا را می خواهد.

روش‌های مجوز دسترسی

پس از تکمیل مرحله احراز هویت، کاربران برای انجام وظایف خود به داده‌های خاصی نیاز دارند. بنابراین، آنها نیاز به مجوز دارند و از جمله روش‌های مورد استفاده در مجوز می‌توان به موارد زیر اشاره کرد:

کنترل دسترسی مبتنی بر نقش

RBAC یک روش مجوز است که دسترسی به منابع خاص را بر اساس نقشی که به یک کاربر یا گروه اختصاص داده شده محدود می‌کند. این پروتکل به ایده حداقل دسترسی پایبند است، که بیان می‌کند که یک سیستم باید به هر کاربر تنها دسترسی‌ به منابع محدودی را بدهد که برای تکمیل کار خود نیاز دارند.

کنترل دسترسی مبتنی بر ویژگی (ABAC)

نوعی کنترل دسترسی است که به صاحب یک شی اجازه می‌دهد تا ویژگی‌های امنیتی را به آن اختصاص دهد. سپس از آن ویژگی‌ها برای تعریف اینکه چه کسی باید به آن دسترسی داشته باشد، استفاده کند. یک ویژگی می‌تواند داده‌های مربوط به کاربر (نام، نقش، شناسه)، داده‌های مربوط به محیط (زمان دسترسی، مکان داده ها) و غیره باشد.

جیسون وب توکن

JSON web token یا JWT مخفف یک استاندارد باز است که امکان انتقال امن داده‌ها را بین طرفین فراهم می‌کند. در این حالت، کاربران با استفاده از یک کلید ترکیبی عمومی/خصوصی مجاز می‌شوند. متادیتا یا فراداده در JWT گنجانده می‌شود و به مدیران اجازه می‌دهد دسترسی کاربر به منابع خاصی را محدود کنند.

پروتکل SAML

SAML مخفف یک پروتکل مبتنی بر XML است، اساساً مکانیزمی است که در آن اطلاعات احراز هویت از طریق اسناد XML با امضای دیجیتالی مخابره می‌شود. از نظر مجوز، SAML می تواند توسط ادمین‌ها برای تعیین منابعی که کاربران می‌توانند به آنها دسترسی داشته باشند، استفاده شود.

مجوز OpenID

مجوز OpenID هویت کاربر را از طریق احراز هویت از سرور مجوز بررسی می‌کند. مزیت اساسی مجوز OpenID این است که بر اساس استانداردها است، بنابراین به طور مداوم در سیستم‌ها و پلتفرم‌ها کار می‌کند.

مجوز OAuth

OAuth معمولاً برای برقراری ارتباط بین کاربران و ارائه‌دهندگان خدمات به توکن‌های مجوز متکی است.

لیست های کنترل دسترسی (ACL)

این فهرست‌ها مشخص می‌کنند که چه افراد یا سرویس‌هایی به یک محیط دیجیتالی خاص دسترسی دارند، یک کنترل دسترسی از طریق ایجاد قوانین اجازه/انکار در رابطه با سطح مجوز کاربر به دست می‌آید. به بیان ساده، حساب‌های کاربری استاندارد مجوز‌هایی که کاربران ادمین دارند را ندارند.

مجوزهای دستگاه

مجوز به دستگاهی داده می‌شود که در تلاش است با یک منبعی ارتباط برقرار کند.

مجوزهای موقعیت مکانی

در این روش موقعیت کاربر یا نهاد را در نظر می‌گیرند و بر این اساس مجوز ارائه می‌کنند.

کنترل دسترسی اختیاری (DAC)

امتیازات توسط DAC بر اساس کاربر و گروه‌های دسترسی آنها تخصیص داده می‌شود. یک مدل DAC به یک گروه یا هویت خاص اجازه می‌دهد تا به هر شی در یک سیستم دسترسی داشته باشند. هنگامی که به یک کاربر اجازه دسترسی به یک شی داده شد، می‌تواند در صورت نیاز به کاربران دیگر دسترسی دهد.

کنترل دسترسی اجباری (MAC)

در سطح سیستم عامل، MAC مجوز نهاد را تعیین می‌کند. مجوزها برای نخ‌ها و فرآیندها اغلب توسط MAC کنترل می‌شوند که تعیین می‌کند به کدام فایل‌ها و اشیاء حافظه دسترسی داشته باشند. کاربران نمی‌توانند مجوزها را تنظیم، اصلاح یا حذف کنند که مطابق با خط‌مشی‌های فعلی نباشد، زیرا این خط‌مشی‌ها توسط یک سرپرست مدیریت می‌شوند.

منبع: https://heimdalsecurity.com/blog/authentication-vs-authorization/