En principio, la autenticación verifica la identidad del usuario que quiere acceder a un recurso. Mientras que la autorización valida si efectivamente el usuario tiene el permiso para acceder al mismo (recurso) y realizar ciertas funciones. Hoy explicare en detalle las diferencias entre autenticación y autorización, para que queden claro en estos dos conceptos tan mencionado en relación a la seguridad informática.
¿Qué es Autenticación?
Es el proceso de identificar a los usuarios y con el fin de garantizar que los mismos sean quienes dicen ser; evitando que cualquiera pueda entrar en un determinado aplicación, sistema o simplemente iniciar sesión en alguna plataforma de forma indebida, sin que realmente sea el usuario legítimo que tiene el poder para hacerlo.
La autenticación más utilizada es la contraseña, es decir, es la principal barrera para restricciones; sin embargo, si el usuario conoce su par de credenciales que normalmente es el nombre de usuario y contraseña, el sistema entenderá que la identidad de dicho usuario es válida, en consecuencia, podrá acceder al recurso o conjunto de recursos permitidos.
Actualmente existe mecanismos o métodos adicionales de autenticación, para evitar únicamente el uso de las contraseñas estáticas. Uno de los métodos de autenticación más conocidos y antiguos es el OTP (OTP – One Time Passcodes) que son una series de alfanuméricas que llegan por mensaje de texto (SMS), correo electrónico o simplemente es generado desde una aplicación que genera la serie de autenticación como es Google Authenticator, Authy o Latch entre los conocidos.
El OTP se utiliza para la autenticación MFA, es decir, multifactor, que es un paso extra que nos da una mayor seguridad a la hora de autenticar a un usuario.
Otro de los mecanismo o aplicación de autenticación más moderna y mencionada en los últimos años es el SSO o Single Sign-On, donde un usuario puede acceder a todos los recursos del sistema o plataforma que necesita, esto se logra, sin necesidad de ingresar sus credenciales cada vez que quiera ingresar a las distintas aplicaciones que el usuario cuente con Autenticación y Autorización.
¿Qué es Autorización?
La autorización es el proceso que define a qué recursos de sistema o plataforma el usuario autenticado podrá acceder; aclarando, el que haya logrado pasar el proceso de la autenticación, no significa que podrá utilizar el sistema o plataforma por completo como un determinado usuario de tipo super administrador. De acuerdo a una serie de políticas, reglas y regulaciones propias de cada red interna o según la matriz de accesos del sistema o plataforma, se determina que usuarios tendrá accesos a los recursos u opciones.
Un usuario administrador, seguramente tendría acceso a la mayoría de los recursos, es decir, es un usuario exclusivo que tienen permisos y privilegios de administrador
Recordemos que la identificación sin autentificación no valdría para nada, es decir, cualquiera puede introducir un inicio de sesión, basta con existir el registro en la base de datos. Por lo cual es necesario un sistema de contraseña, de lo contrario, la autorización sin identificación, puede llegar a ser posible. Algunos ejemplos más comunes:
- Facilitar el link de un servicio web con datos sensible y cualquiera que conozca los parámetros input logrará obtener dicha información sensible.
- Otro de los ejemplo comunes son los accesos a documentos en la nube, cualquiera que tenga el enlace pueda acceder a él sino se cuenta con políticas de autentificación.
Algunas recomendaciones básica para la Autenticación:
- Crear contraseñas complejas, únicas y sólidas.
- Usar un gestor de contraseñas como SSO, se integra en distintas tipos de soluciones.
- Activar la autenticación en doble factor, verificar la integridad quienes dicen ser.
Conclusiones:
La autenticación y autorización son conceptos que están relacionados con la identidad del usuario, es decir, el primero cumple la función de poder iniciar sesión o acceder a un determinado recurso teniendo en consideración la autorización que se le haya otorgado.
0 Comentarios