Güvenlik sistemleri ile ilgili olarak, “kimlik doğrulama” ve “yetkilendirme” terimleri ile karışıklık klasik bir örnektir.

Genellikle yanlış bir şekilde birbirlerinin yerine kullanılırlar.

Benzer gibi görünseler de, tamamen farklı iki güvenlik konsepti.

Geliştiriciler, uygulamalarını kötü niyetli aktörlerden korumak için güçlü kimlik doğrulama ve yetkilendirme süreçlerini entegre eder.

Hizmetlerinin / amaçlarının çoğu kullanıcılarının eylemlerine bağlı olduğu için kimlik doğrulaması gerektiren milyonlarca web uygulaması ve hizmeti vardır: bloglar, forumlar, alışveriş sepetleri, ortak çalışma araçları ve abonelik tabanlı içerik / hizmetler.

Ancak, yetkilendirme ile aynı şey değildir.

Güvenlik Kimlik Doğrulaması ve Yetkilendirme: Fark Nedir?

Güvenlik kimlik doğrulaması ve yetkilendirme tam olarak nasıl farklıdır?

Bu bölümde, hem güvenlik kimlik doğrulamasına hem de yetkilendirmeye daha yakından bakacağız.

Kimlik Doğrulama nedir?

Kimlik doğrulaması kişinin kimliğini iddia etmek ve kanıtlamaktır. Kimliğim “joe_user” (kullanıcı kimliği) ve Joe olduğumu kanıtlayabilirim çünkü Joe'nun şifresini biliyorum (başka kimsenin bilmediği).

Kimlik doğrulama, bir sisteme veya ağa erişim izni vermek için kullanıcının kimliğini doğrulama işlemidir. Kullanıcının hizmetler, veri sunucuları, ağlar, veritabanları, dosyalar vb. Kaynaklara erişim hakkını belirler.

Bir web uygulaması kullanıcılara nasıl kimlik doğrulama sağlar?

Çoğu uygulama, kullanıcıların kimliklerini kanıtlamak için kimlik bilgilerini girmeleri gereken bir giriş sayfası içerir. Bu kimlik bilgileri kullanıcı kimlikleri, kullanıcı adları, e-postaları veya telefon numaralarından ve onunla ilişkili şifreden oluşabilir.

Kullanıcı tarafından sağlanan kimlik bilgileri uygulamanın veritabanında depolanan verilerle eşleşiyorsa , kullanıcının kimliği doğrulanır ve uygulamaya erişim izni verilir.

Ortak Kimlik Doğrulama Yöntemleri Hangileridir?

Bir kerelik parolalar, biyometri, kimlik doğrulama uygulamaları, donanım belirteçleri, yazılım belirteçleri ve diğerleri de dahil olmak üzere kimlik doğrulaması yapmanın birkaç yolu vardır.

Kimlik doğrulamanın en yaygın yollarından biri şifrelerdir - bir kullanıcı doğru şifreyi girerse, sistem kimlik bilgilerini kontrol eder ve kullanıcıya erişim izni verir.

Ancak, parolalar genellikle bilgisayar korsanları tarafından hedeflenir ve kaba kuvvet saldırıları, veri ihlalleri, ortadaki adam saldırıları ve parola kırma gibi siber saldırılara karşı savunmasızdır .

Bu nedenle, işletmeler güvenliği parolaların ötesinde güçlendirmek için genellikle iki faktörlü veya çok faktörlü kimlik doğrulama (2FA / MFA) gibi diğer güvenlik yöntemlerini kullanır.

Çok faktörlü kimlik doğrulamasında sistem, kullanıcıya erişim izni vermeden önce birden fazla faktörün başarılı bir şekilde doğrulanmasını gerektirebilir.

Yetkilendirme nedir?

Bir kullanıcının kimliği doğrulandıktan sonra, uygulama kim olduğunuzu bilir. Bu durumda yetkilendirme, kullanıcının uygulama içinde neler yapabileceğini belirler (dikey yetkilendirme, örneğin kullanıcının yönetici hakları var mı yoksa normal bir kullanıcı mı?) Ve hangi verilere erişebiliyorlar? (yatay yetkilendirme, Joe User Mary Smith'in verilerine erişememelidir).

Yetkilendirme, dosyalar, veritabanları, konumlar, fonlar, dosyalar, bilgiler, neredeyse bir uygulama içindeki her şey gibi belirli kaynaklara erişmek için kullanıcıya gerekli ayrıcalıkları verme işlemidir. Basit bir ifadeyle, yetkilendirme kullanıcının sisteme erişim yeteneğini ve ne ölçüde değerlendirdiğini değerlendirir.

Göre 2019 Küresel Veri Risk Raporu , şirketlerin neredeyse% 53 üzerinde 1.000 hassas dosyaları her çalışana açmak bulundu.

Güçlü güvenliği sağlamak için yetkilendirme, sistemin ayrıcalıklarına göre erişim izni vermeden önce kullanıcının kimliğini doğruladığı kimlik doğrulamasından sonra gerçekleştirilmelidir.

Örneğin, yöneticilerin hassas bilgileri görüntülemesine izin vermek, ancak üçüncü taraf tedarikçilerin bu hassas verilere erişimini kısıtlamak isteyebilirsiniz. Yetkilendirme genellikle kullanıcı erişim kontrolü ve kullanıcı ayrıcalığı ile dönüşümlü olarak kullanılır.

Yetkilendirme için Farklı Yaklaşımlar Hangileridir?

Yetki söz konusu olduğunda, ona farklı yaklaşımlar uygulayabilirsiniz. Sizin için en iyi olan şey ihtiyaçlarınıza bağlıdır.

Yetkilendirmeye farklı yaklaşımlar şunları içerir:

• Belirteç tabanlı: Kullanıcılara, kullanıcıya hangi ayrıcalıkların verildiğini ve belirtecin kriptografik olarak imzalandığı yere hangi verilere erişimi olduğunu belirten bir belirteç verilir.

• Role Dayalı Erişim Kontrolü (RBAC): Kullanıcıların sahip oldukları ayrıcalıkları belirleyen bir rolde oldukları tespit edilir. Ayrıca, kullanıcı kimlikleri erişime sahip oldukları verileri kısıtlar.

• Erişim Kontrol Listeleri (ACL): Bir ACL hangi kullanıcıların belirli kaynaklara erişebileceğini belirtir. Örneğin, bir kullanıcı belirli bir dosya veya klasöre erişmek isterse, belirli verilere erişebilmek için kullanıcı adından veya ayrıntılarından EKL'de bahsedilmelidir.

İşletmeler genellikle kullanıcılara gruplar halinde ayrıcalıklar ve ACL'ler atarlar, kullanıcıların kategorize edilmesini sağlayan ve kuruluşun konumu ve iş işlevlerine göre onlara erişim denetimleri ve ayrıcalıkları atayan iki özellik olan “gruplar” ve “roller” uygulayabilirler.

Genellikle, kimliği doğrulanmış bir kullanıcının hesaplarına erişimi olduğunda, yetkilendirdikleri tüm işlemleri yapmalarına izin verilir.

Örneğin, e-posta hesabınıza giriş yaptıktan sonra, tüm e-postalarınızı görüntüleyebilir, cevaplayabilir, silebilir, kategorilere ayırabilir, kişisel bilgilerinizi değiştirebilir ve e-posta ile ilgili diğer görevleri yapabilirsiniz.

Ancak, kullanıcı özellikle hassas bir işlem gerçekleştirmek isterse, isteği yetkilendirmek için ek adımlar atmaları gerekebilir.

Örneğin, bir kullanıcı ödeme yapmaya çalışıyorsa, kimliğini tekrar doğrulamak için parolasını tekrar girmesi veya kimlik doğrulama işlemini tekrarlaması gerekebilir.

Güvenli ortamlarda, bazı uygulamalar, bir IP adresi veya olağandışı bir oturum açma zamanı veya yüksek değerli bir işlem yapma girişimi gibi olağandışı kullanıcı davranışları gözlemlerse bu tür ihtiyati yetkilendirme yöntemlerini kullanabilir.

Bunun amacı, yalnızca yetkili kullanıcıların hesaplarına erişmesini sağlamak ve hesaplarının kötü niyetli bir aktör tarafından ele geçirilmediğini veya ele geçirilmediğini kanıtlamaktır.

Kimlik Doğrulama ve Yetkilendirme: Bir Örnek

Kimlik doğrulama ve yetkilendirme arasındaki farklar hala net değil mi?

Gerçek dünyadan bir örnek, kimlik doğrulama ve yetkilendirme arasındaki farkları daha iyi anlamanıza yardımcı olabilir .

Örneğin, çevrimiçi olarak banka hesabınıza erişmek istediğinizi varsayalım.

Bankacılık başvurunuza giriş yapmanız gerekiyorsa, hesabınızın kimlik bilgilerine sahip olmanız gerekir. Doğru kullanıcı adını ve şifreyi girerseniz, hesabınıza erişebilirsiniz. Uygulama yalnızca doğru kimlik bilgilerine sahip bir kullanıcıya erişim izni verir.

Bu kimlik doğrulamasıdır.

Parolanızı unuttuysanız, yalnızca sizin bildiğiniz bazı güvenlik soruları sorabilirler veya size bir parola sıfırlama jetonu gönderebilirler.

Bu aynı zamanda kimlik doğrulamasıdır.

Kullanıcı hesabınıza başarıyla giriş yaptıktan sonra profilinize erişebilir, banka ekstrenizi indirebilir, işlemler yapabilir ve bankacılık ile ilgili diğer birçok işlemi yapabilirsiniz. Tüm bu faaliyetler yetkilidir. Size bunları gerçekleştirme ayrıcalığı verilir.

Şimdi, hesabınızdaki birinci sınıf bir hizmete erişmek istediğinizi varsayalım. Hesabınıza (kimlik doğrulama) ve boşuna hizmetlerinize erişebilirsiniz, ancak premium hizmetlere erişmenize izin verilmeyebilir (yetkilendirilemez).

Bu gibi durumlarda, uygulama arka uç veritabanındaki kullanıcı ayrıcalıklarınızı kontrol eder ve bunları yalnızca bu premium hizmetlere erişim hakkınız varsa kullanmanıza izin verir.

Çıkarımlar

Kimlik doğrulama ve yetkilendirme, verileri potansiyel siber saldırılardan koruyan iki güçlü siber güvenlik direğidir.

Kimlik doğrulama, bir kullanıcının kimlik bilgilerini kontrol ederek olduğunu iddia ettiği kişi olup olmadığını doğrulama işlemidir. Yetkilendirme, bir kullanıcının ayrıcalıklarını kontrol etme ve yalnızca belirli kaynaklara erişim sağlama yöntemidir.

Özetle, hem kimlik doğrulama hem de yetkilendirme çok önemlidir, ancak biri diğerinin yerine geçmez.

Kimlik doğrulama ve yetkilendirmeyi tamamlayıcı sistemler olarak düşünün ve her ikisine de ihtiyacınız var.

İdeal olarak, güvenlik sistemlerinize kimlik doğrulama ve yetkilendirme uygulamanız gerekir. Sistemlerinizin ve ağlarınızın düzgün bir şekilde güvenli olduğundan emin olmanın en iyi yolu budur.

Kaynak : https://cypressdatadefense.com/blog/security-authentication-vs-authorization/