身份識別,認證,授權有何區別?

我們通過浣熊的例子來解釋身份識別,認證和授權有何區別,以及解釋為何雙重認證是十分必要的。

我們每人每天都在經歷著來自於各個系統的身份識別,認證和授權,但是很多人混淆了這些詞語的意思,常常在討論”認證”時使用術語”身份識別”或者”授權”。

如果只是普通的日常對話,而且對話雙方都明白對方的意思,這其實不是什麼大問題。不過,弄清楚自己使用的詞語的意思當然更好,否則你遲早會遇到較真的技術愛好者向你喋喋不休地澄清各個詞語的區別。那麼,這三個術語究竟是什麼意思?有何區別呢?首先,讓我們來諮詢維基百科:

  • “ 身份識別是識別人或者物身份的行為。”
  • “ 認證是驗證電腦系統用戶身份的行為(例如,通過比較用戶輸入的密碼和數據庫中儲存的密碼)。”
  • “ 授權是指定對資源的訪問權限的行為。”

這樣你就明白為什麼有些人總是混淆它們的概念了吧……

通過浣熊的例子來進一步解釋身份識別,認證和授權

為了方便理解,我們來舉個例子,假設有一個用戶試圖登錄谷歌帳號,這是個很好的例子因為谷歌帳號的登錄流程可以完美拆分為幾個基本步驟:

  • 首先,系統詢問用戶名,用戶輸入了自己的用戶名並且系統成功判斷出該用戶名存在於系統中,這一步是身份識別
  • 接著谷歌會讓用戶輸入密碼,如果輸入的密碼和系統中儲存的密碼匹配,系統將其視為真正的用戶本人,這一步是認證
  • 在大多數情況下,谷歌還會詢問短信或認證程式發送的一次性驗證碼,如果用戶輸入正確,那麼系統會最終確認用戶是帳號的擁有者,這是雙重認證
  • 最後,系統給予用戶閱讀收件箱消息等等權限,這一步是授權

如果不提前進行身份識別,那麼認證將毫無意義,因為系統無法在確定認證對象之前進行相關檢查,因此用戶必須首先亮明自己的身份訊息。

同樣,如果沒有認證,那麼身份識別也會變得十分滑稽,任何人都可以輸入系統中存在的用戶名,因此系統需要密碼來完成登錄流程。但是不法分子可以偷竊密碼或者直接猜測,所以最好讓用戶輸入只有帳號擁有者才能獲得的訊息,比如一次性驗證碼。

與之相反, 授權卻不一定需要身份識別或者認證,比如,你可以給予公眾訪問你的谷歌網盤的權限,之後你可能會看到”一隻浣熊查看過你的網盤”的提示消息。即便這只浣熊是匿名用戶,系統依然向其授權查看文檔的權限。

如果你只將閱讀權限授予特定用戶,那麼這只浣熊不得不經歷身份識別,認證和授權三個步驟。

谷歌絕不會授權匿名浣熊閱讀你的收件箱消息,因此浣熊必須輸入你的用戶名和密碼,如果訊息正確,谷歌便將它識別為你。

現在你知道了身份識別,認證和授權的區別所在。還有很重要的一點,認證也許是帳號安全中最重要的一個步驟,如果你使用的是弱密碼,浣熊有可能就會劫持你的帳號。因此:

  • 為你的所有帳號創建獨一無二強密碼
  • 如果你無法記住所有密碼,可以藉助卡巴斯基密碼管理器來幫忙記憶,它也可以幫助你創建密碼。
  • 在服務支持的情況下,始終通過短信或者認證程式發送一次性驗證碼的雙重認證。否則,野生的浣熊獲取你的密碼之後就可以隨意讀取你的隱私訊息。

資料來源: https://www.kaspersky.com/blog/identification-authentication-authorization-difference/37143/

Comments are closed.

Proudly powered by WordPress | Theme: Baskerville 2 by Anders Noren.

Up ↑

%d 位部落客按了讚: