Embora a autenticação e a autorização sejam frequentemente usadas de forma intercambiável, são processos separados usados para proteger uma organização contra ataques cibernéticos. À medida que as violações de dados continuam a aumentar em frequência e alcance, a autenticação e a autorização são a primeira linha de defesa para evitar que dados confidenciais caiam em mãos erradas. Como resultado, métodos eficazes de autenticação e autorização devem ser uma parte crítica da estratégia geral de segurança de todas as organizações.
Autenticação x Autorização
Então, qual é a diferença entre autenticação e autorização? Simplificando, a autenticação é o processo de verificação de quem é uma determinada pessoa, enquanto a autorização é o processo de verificar a quais aplicativos, arquivos e dados específicos um usuário tem acesso. A situação é como a de uma companhia aérea que precisa determinar quais pessoas podem embarcar. O primeiro passo é confirmar a identidade de um usuário para garantir que ele seja quem diz ser. Uma vez que a identidade de um passageiro tenha sido determinada, a segunda etapa é verificar os serviços especiais aos quais o passageiro tem acesso, como primeira classe ou uso da sala VIP por exemplo.
No mundo digital, a autenticação e a autorização atingem esses mesmos objetivos. A autenticação é usada para verificar se os usuários realmente são quem eles dizem ser. Uma vez que isso tenha sido confirmado, a autorização é usada para conceder ao usuário permissão para acessar diferentes níveis de informação e executar funções específicas, dependendo das regras estabelecidas para diferentes tipos de usuários.
| Autenticação | Autorização |
| A autenticação verifica quem é o usuário. | A autorização determina quais recursos um usuário pode acessar. |
| A autenticação funciona por meio de senhas, PINs de uso único, informações biométricas e outras informações fornecidas ou inseridas pelo usuário. | A autorização funciona por meio de configurações implementadas e mantidas pela organização. |
| A autenticação é o primeiro passo de um bom processo de gerenciamento de identidade e acesso. | A autorização sempre ocorre após a autenticação. |
| A autenticação é visível e parcialmente alterável pelo usuário. | A autorização não é visível nem alterável pelo usuário. |
| Exemplo: por meio da confirmação da identidade, os funcionários podem obter acesso a um aplicativo de recursos humanos que inclui suas informações pessoais de salário, período de férias e dados do plano de aposentadoria. | Exemplo: após seu nível de acesso ser autorizado, os funcionários e gerentes de RH podem acessar diferentes níveis de dados com base nas permissões definidas pela organização. |
Métodos comuns de autenticação
Embora a identidade do usuário seja tradicionalmente validada usando a combinação de um nome de usuário e senha, os métodos de autenticação atuais geralmente dependem de três classes de informações:
- O que você sabe: a forma mais comum disso é uma senha. Mas também pode ser uma resposta a uma pergunta de segurança ou um PIN de uso único que concede ao usuário acesso a apenas uma sessão ou transação.
- O que você tem em seu poder: pode ser um dispositivo móvel ou aplicativo, um token de segurança ou um cartão de identificação digital.
- O que você é: são dados biométricos, como impressão digital, varredura da retina ou reconhecimento facial.
Muitas vezes, esses tipos de informações são combinados por meio de várias camadas de autenticação. Por exemplo, um usuário pode ser solicitado a fornecer um nome de usuário e senha para concluir uma compra on-line. Uma vez que isso seja confirmado, um PIN de uso único pode ser enviado para o telefone celular do usuário como uma segunda camada de segurança. Combinando vários métodos de autenticação com protocolos de autenticação coerentes, as organizações podem garantir a segurança e a compatibilidade entre os sistemas.
Métodos comuns de autorização
Depois de um usuário ser autenticado, os controles de autorização são aplicados para garantir que os usuários possam acessar os dados de que precisam e executar funções específicas, como adicionar ou excluir informações, com base nas permissões concedidas pela organização. Essas permissões podem ser atribuídas nos níveis de aplicativo, sistema operacional ou infraestrutura. Duas técnicas de autorização comuns são:
- Controles de acesso baseados em função (RBAC): esse método de autorização fornece aos usuários acesso a informações com base em sua função na organização. Por exemplo, todos os funcionários de uma empresa podem visualizar, mas não modificar, suas informações pessoais, como salário, período de férias e dados do plano de aposentadoria. No entanto, os gerentes de recursos humanos (RH) podem ter acesso às informações de RH de todos os funcionários com a capacidade de adicionar, excluir e alterar esses dados. Ao atribuir permissões de acordo com a função de cada pessoa, as organizações podem garantir que todos os usuários sejam produtivos e, ao mesmo tempo, limitar o acesso a informações confidenciais.
- Controle de acesso baseado em atributo (ABAC): o ABAC concede aos usuários permissões em um nível mais granular do que o RBAC por meio de uma série de atributos específicos. Isso pode incluir atributos de usuário, como nome, função, organização, ID e credenciamento de segurança do usuário. Ele pode incluir atributos ambientais, como o tempo de acesso, a localização dos dados e os níveis atuais de ameaça organizacional. E pode incluir atributos de recurso, como o proprietário do recurso, o nome do arquivo e o nível de confidencialidade dos dados. O ABAC é um processo de autorização mais complexo do que o RBAC, projetado para limitar ainda mais o acesso. Por exemplo, em vez de permitir que todos os gerentes de RH de uma organização alterem os dados de RH dos funcionários, o acesso pode ser limitado a determinadas localizações geográficas ou horas do dia para manter limites de segurança rígidos.
Uma estratégia eficaz de autenticação e autorização é essencial
Uma estratégia de segurança eficaz requer a proteção dos recursos com autenticação e autorização. Com uma estratégia robusta de autenticação e autorização em vigor, as organizações podem verificar consistentemente quem é cada usuário e o que tem permissão para fazer evitando atividades não autorizadas que representam uma ameaça séria. Obrigando que todos os usuários se identifiquem adequadamente e acessem apenas os recursos de que precisam, as organizações podem maximizar a produtividade e, ao mesmo tempo, reforçar sua segurança em um momento em que as violações de dados estão prejudicando a receita e a reputação das empresas.
Veja como o SailPoint se integra com os provedores de autenticação certos.
You might also be interested in:
Assuma o controle de sua plataforma de nuvem.
Saiba mais sobre as integrações da SailPoint com provedores de autenticação.