Authentification et autorisation sont les deux mots utilisés dans le monde de la sécurité. Ils peuvent sembler similaires mais sont complètement différents les uns des autres. L'authentification est utilisée pour authentifier l'identité d'une personne, tandis que l'autorisation est un moyen d'autoriser une personne à accéder à une ressource particulière. Ce sont les deux termes de sécurité de base et doivent donc être bien compris. Dans cette rubrique, nous discuterons de ce que sont l'authentification et l'autorisation et comment elles se différencient les unes des autres.
Qu’est-ce que l’authentification ?
- L'authentification est le processus d'identification de l'identité d'une personne en garantissant que cette personne est la même que celle pour laquelle elle revendique.
- Il est utilisé à la fois par le serveur et par le client. Le serveur utilise l'authentification lorsque quelqu'un souhaite accéder aux informations et le serveur doit savoir qui accède aux informations. Le client l'utilise lorsqu'il veut savoir qu'il s'agit du même serveur qu'il prétend être.
- L'authentification par le serveur se fait principalement à l'aide du nom d'utilisateur et mot de passe. D'autres moyens d'authentification par le serveur peuvent également être effectués en utilisant cartes, scans de la rétine, reconnaissance vocale et empreintes digitales.
- L'authentification ne garantit pas quelles tâches dans le cadre d'un processus une personne peut effectuer, ni quels fichiers elle peut afficher, lire ou mettre à jour. Il identifie principalement qui est réellement la personne ou le système.
Facteurs d'authentification
Selon les niveaux de sécurité et le type d'application, il existe différents types de facteurs d'authentification :
L'authentification à facteur unique est le moyen d'authentification le plus simple. Il lui suffit d'un nom d'utilisateur et d'un mot de passe pour permettre à un utilisateur d'accéder à un système.
Comme son nom l’indique, il s’agit d’une sécurité à deux niveaux ; il nécessite donc une vérification en deux étapes pour authentifier un utilisateur. Il ne nécessite pas seulement un nom d'utilisateur et un mot de passe, mais également des informations uniques que seul l'utilisateur particulier connaît, telles que comme prénom de l'école, une destination préférée . En dehors de cela, il peut également vérifier l'utilisateur en envoyant l'OTP ou un lien unique sur le numéro enregistré ou l'adresse e-mail de l'utilisateur.
Il s’agit du niveau d’autorisation le plus sécurisé et le plus avancé. Cela nécessite deux ou plus de deux niveaux de sécurité appartenant à des catégories différentes et indépendantes. Ce type d'authentification est généralement utilisé dans les organisations financières, les banques et les forces de l'ordre. Cela garantit l’élimination de toute exposition de données provenant de tiers ou de pirates informatiques.
Techniques d'authentification célèbres
1. Authentification par mot de passe
C'est le moyen d'authentification le plus simple. Il nécessite le mot de passe pour le nom d'utilisateur particulier. Si le mot de passe correspond au nom d'utilisateur et que les deux détails correspondent à la base de données du système, l'utilisateur sera authentifié avec succès.
2. Authentification sans mot de passe
Dans cette technique, l'utilisateur n'a besoin d'aucun mot de passe ; au lieu de cela, il obtient un OTP (mot de passe à usage unique) ou un lien sur son numéro de mobile ou son numéro de téléphone enregistré. On peut également parler d'authentification basée sur OTP.
3. 2FA/AMF
L’authentification 2FA/MFA ou authentification à 2 facteurs/authentification multifacteur est le niveau d’authentification le plus élevé. Il nécessite un code PIN ou des questions de sécurité supplémentaires pour pouvoir authentifier l'utilisateur.
4. Authentification unique
Authentification unique ou SSO est un moyen de permettre l'accès à plusieurs applications avec un seul ensemble d'informations d'identification. Il permet à l'utilisateur de se connecter une fois et il sera automatiquement connecté à toutes les autres applications Web à partir du même répertoire centralisé.
5. Authentification sociale
L'authentification sociale ne nécessite pas de sécurité supplémentaire ; au lieu de cela, il vérifie l'utilisateur avec les informations d'identification existantes pour le réseau social disponible.
Qu’est-ce que l’autorisation ?
- L'autorisation est le processus consistant à accorder à quelqu'un de faire quelque chose. Cela signifie que c'est un moyen de vérifier si l'utilisateur a la permission d'utiliser une ressource ou non.
- Il définit les données et informations auxquelles un utilisateur peut accéder. On dit aussi AuthZ.
- L'autorisation fonctionne généralement avec une authentification afin que le système puisse savoir qui accède aux informations.
- Une autorisation n’est pas toujours nécessaire pour accéder aux informations disponibles sur Internet. Certaines données disponibles sur Internet sont accessibles sans aucune autorisation, par exemple vous pouvez lire sur n'importe quelle technologie de ici .
Techniques d'autorisation
La technique de contrôle d’accès RBAC ou basée sur les rôles est donnée aux utilisateurs en fonction de leur rôle ou de leur profil dans l’organisation. Il peut être implémenté pour un système-système ou un utilisateur-système.
Le jeton Web JSON ou JWT est un standard ouvert utilisé pour transmettre en toute sécurité les données entre les parties sous la forme d'un objet JSON. Les utilisateurs sont vérifiés et autorisés à l'aide de la paire de clés privée/publique.
SAML signifie Langage de balisage d’assertion de sécurité. Il s'agit d'une norme ouverte qui fournit des informations d'identification d'autorisation aux fournisseurs de services. Ces informations d'identification sont échangées via des documents XML signés numériquement.
Il aide les clients à vérifier l'identité des utilisateurs finaux sur la base de l'authentification.
OAuth est un protocole d'autorisation qui permet à l'API de s'authentifier et d'accéder aux ressources demandées.
Tableau de différence entre l'authentification et l'autorisation
| Authentification | Autorisation |
|---|---|
| L'authentification est le processus d'identification d'un utilisateur pour fournir l'accès à un système. | L'autorisation est le processus consistant à donner l'autorisation d'accéder aux ressources. |
| En cela, l'utilisateur ou le client et le serveur sont vérifiés. | En cela, il est vérifié que si l'utilisateur est autorisé via les politiques et règles définies. |
| Elle est généralement réalisée avant l'autorisation. | Cela se fait généralement une fois que l'utilisateur est authentifié avec succès. |
| Il nécessite les informations de connexion de l'utilisateur, telles que le nom d'utilisateur et le mot de passe, etc. | Cela nécessite le privilège ou le niveau de sécurité de l'utilisateur. |
| Les données sont fournies via les identifiants de jeton. | Les données sont fournies via les jetons d'accès. |
| Exemple: La saisie des informations de connexion est nécessaire pour que les employés puissent s'authentifier et accéder aux e-mails ou aux logiciels de l'organisation. | Exemple: Une fois que les employés se sont authentifiés avec succès, ils peuvent accéder et travailler sur certaines fonctions uniquement en fonction de leurs rôles et profils. |
| Les informations d'authentification peuvent être partiellement modifiées par l'utilisateur selon les besoins. | Les autorisations d'autorisation ne peuvent pas être modifiées par l'utilisateur. Les autorisations sont accordées à un utilisateur par le propriétaire/gestionnaire du système, et il peut uniquement les modifier. |
Conclusion
Conformément à la discussion ci-dessus, nous pouvons dire que l'authentification vérifie l'identité de l'utilisateur et que l'autorisation vérifie l'accès et les autorisations de l'utilisateur. Si l'utilisateur ne peut pas prouver son identité, il ne peut pas accéder au système. Et si vous êtes authentifié en prouvant la bonne identité, mais que vous n'êtes pas autorisé à exécuter une fonction spécifique, vous ne pourrez pas y accéder. Cependant, les deux méthodes de sécurité sont souvent utilisées ensemble.