Идентификация, аутентификация, авторизация — что к чему в управлении доступом? 🔐

Классическое управление доступом нацелено на распознавание уникальных пользователей и предоставление им разных прав на основе их учетных записей и ролей/политик (UserA может редактировать, UserB только читать).

👤 Идентификация (Identification) — когда система узнаёт кто пытается получить доступ. Пользователь вводит имя или ID заявляя о своей личности. Идентификация не проверяет, что вы действительно тот, за кого себя выдаёте. Она просто фиксирует ваше заявление.

🔑 Аутентификация (Authentication) — подтверждение что пользователь действительно тот за кого себя выдаёт. Для этого используются учётные данные credentials могут быть пароли коды из SMS токены биометрия. Только после успешной аутентификации система доверяет что пользователь легитимный.

Знание (пароль, PIN-код) 🧠 Обладание (токен, SMS-код, ключ) 🛡 Биометрия (отпечаток, лицо, голос) 👁️

🛠 Авторизация (Authorization) — определение какие действия разрешены этому пользователю после входа. Система проверяет права можно ли читать файлы запускать команды изменять настройки. Авторизация в строгом смысле требует предшествующей аутентификации. Но авторизация может существовать без предшествующих этапов, если объектом контроля выступает не личность, а доступ к ресурсу как таковой. Понимание терминов — это основа, язык профессионального общения. Без них невозможно нормально читать документацию, разбираться в логах, настраивать системы, взаимодействовать с другими специалистами. Может проведем небольшой опрос что бы закрепить знания?

#кибербезопасность #инфобез #аутентификация #авторизация #идентификация #защита #технологии #IT #лайфхаки https://t.me/scontrols

🔎 Представьте, вы заходите на сайт с погодой, он открыт для всех, регистрация и вход не нужны. Какой из этапов управления доступом будет задействован?

🆔 Идентификация - Кто вы? → username. 🔑 Аутентификация - Докажите! → пароль + 2FA. 🛠 Авторизация - Что вам разрешено? → права доступа.