Recommandé, 2024

Choix De L'Éditeur

Différence entre authentification et autorisation

Les authentifications et autorisations sont utilisées dans le cadre de la sécurité de l’information qui permet la sécurité sur un système d’information automatisé. Les terminologies sont utilisées de manière interchangeable mais sont distinctes. L'identité d'une personne est assurée par authentification. D'autre part, l'autorisation vérifie la liste d'accès de la personne authentifiée. En d'autres termes, l'autorisation inclut les autorisations qu'une personne a accordées.

Tableau de comparaison

Base de comparaisonAuthentificationAutorisation
De baseVérifie l'identité de la personne pour accorder l'accès au système.Vérifie les privilèges ou les autorisations de la personne pour accéder aux ressources.
Inclut le processus deVérification des informations d'identification de l'utilisateur.Validation des autorisations utilisateur.
Ordre du processusL'authentification est effectuée à la toute première étape.L'autorisation est généralement effectuée après l'authentification.
ExemplesDans les applications bancaires en ligne, l'identité de la personne est d'abord déterminée à l'aide de l'ID utilisateur et du mot de passe.Dans un système multi-utilisateur, l’administrateur décide des privilèges ou des droits d’accès de chaque utilisateur.

Définition de l'authentification

Le mécanisme d' authentification détermine l'identité de l'utilisateur avant de révéler les informations sensibles. Il est très important pour le système ou les interfaces pour lesquels la priorité de l’utilisateur est de protéger les informations confidentielles. Au cours du processus, l'utilisateur fait une déclaration prouvable concernant l'identité individuelle (son identité) ou l'identité d'une entité.

Les informations d'identification ou la revendication peuvent être un nom d'utilisateur, un mot de passe, une empreinte digitale, etc. L'authentification et la non-répudiation, type de problème, sont traitées dans la couche d'application. Le mécanisme d'authentification inefficace pourrait affecter de manière significative la disponibilité du service.

Exemple :

Par exemple, un expéditeur A envoie un document électronique au destinataire B par Internet. Comment le système identifiera-t-il que l'expéditeur A a envoyé un message dédié au destinataire B. Un intrus C peut intercepter, modifier et rejouer le document afin de voler ou de dérober les informations que ce type d'attaque appelle fabrication .

Dans la situation donnée, le mécanisme d'authentification assure deux choses; Premièrement, il s'assure que l'expéditeur et le destinataire sont des personnes justes et s'appelle authentification de l'origine des données . Deuxièmement, il assure la sécurité de la connexion établie entre l'expéditeur et le destinataire à l'aide d'une clé de session secrète, de sorte qu'elle ne puisse pas être inférée et s'appelle l'authentification d'entité homologue .

Définition de l'autorisation

La technique d' autorisation est utilisée pour déterminer les autorisations accordées à un utilisateur authentifié. En termes simples, il vérifie si l'utilisateur est autorisé à accéder aux ressources particulières ou non. L'autorisation se produit après l'authentification, l'identité de l'utilisateur étant assurée préalablement, la liste d'accès de l'utilisateur étant déterminée en recherchant les entrées stockées dans les tables et les bases de données.

Exemple :

Par exemple, un utilisateur X veut accéder à un fichier particulier à partir du serveur. L'utilisateur enverra une demande au serveur. Le serveur vérifiera l'identité de l'utilisateur. Ensuite, il recherche les privilèges correspondants de l'utilisateur authentifié ou s'il est autorisé ou non à accéder à ce fichier. Dans le cas suivant, les droits d'accès peuvent inclure la visualisation, la modification ou la suppression du fichier si l'utilisateur est autorisé à effectuer les opérations suivantes.

Différences de clés entre authentification et autorisation

  1. L'authentification est utilisée pour vérifier l'identité de l'utilisateur afin de permettre l'accès au système. Par ailleurs, l’autorisation détermine qui doit pouvoir accéder à quoi.
  2. Dans le processus d'authentification, les informations d'identification de l'utilisateur sont vérifiées, tandis que dans le processus d'autorisation, la liste d'accès de l'utilisateur authentifié est validée.
  3. Le premier processus est l'authentification, puis l'autorisation est effectuée.
  4. Prenons l'exemple des services bancaires en ligne. Lorsqu'un utilisateur souhaite accéder au service, son identité est déterminée pour s'assurer que cette personne est la personne juste qu'elle prétend être. Une fois que l'utilisateur est identifié, l'authentification active l'autorisation qui détermine ce que l'utilisateur est autorisé à faire. Ici, l'utilisateur est autorisé à accéder à son compte en ligne après l'authentification.

Conclusion

L'authentification et l'autorisation sont les mesures de sécurité prises pour protéger les données dans le système d'information. L'authentification est le processus de vérification de l'identité de la personne en approche du système. Par ailleurs, l'autorisation est le processus de vérification des privilèges ou de la liste d'accès pour laquelle la personne est autorisée.

Top