Autoryzacja i uwierzytelnianie – z czym się to je
- Opublikowano
- 3 min czytania
Procesy autoryzacji i uwierzytelniania.
Autoryzacja to proces mający na celu potwierdzenie czy użytkownik ma prawo do wykonania konkretnej operacji bądź prawo dostępu do konkretnego zasobu (np. pliku). Celem autoryzacji jest kontrola dostępu, dlatego następuje ona po operacji ustalenia tożsamości użytkownika zwanej uwierzytelnianiem.
Weźmy za przykład system bankowości internetowej - gdzie, po zalogowaniu, użytkownik zyskuje możliwość wykonywania pewnych operacji w ramach aktywnej sesji. Wraz z jej wygaśnięciem użytkownik traci swoje uprawnienia do momentu kolejnego poprawnego zalogowania.
Co się dzieje wewnątrz
W czasie trwania sesji, wewnątrz systemu bankowości internetowej, użytkownik może wykonywać szereg operacji takich jak np.:
- podgląd salda,
- przegląd historii transakcji,
- przegląd danych osobowych,
- edycja danych osobowych,
- deklaracja zaufanych odbiorców,
- definiowanie nowego przelewu.
Część z nich wymaga od użytkownika dodatkowej aktywności mającej na celu poświadczenie tożsamości w ramach sesji już po zalogowaniu. W bankowości internetowej autoryzacja może być zrealizowana na różne sposoby:
- kody SMS,
- token sprzętowy,
- lista haseł jednorazowych,
- generator kodów jednorazowych OTP (OCRA),
- token mobilny.
W momencie kiedy użytkownik będzie chciał wykonać operację uznawaną za krytyczną (szczególnie ważną, narażoną na niebezpieczeństwo), system może poprosić użytkownika o przepisanie kodu autoryzacyjnego wygenerowanego w odpowiedzi na żądanie serwera. Najczęściej kod ten wysyłany jest do użytkownika za pośrednictwem odseparowanego kanału (SMS), albo jest generowany na zewnętrznym urządzeniu (np. tokenie OTP).
Weryfikacja danych
Gdy kod zostanie przepisany, a zlecenie zaakceptowane, dane wraz z podpisem wysyła się do serwera. Na serwerze następuje weryfikacja danych. Jeśli przesłane dane są poprawne, a system uzna, że nie zostały sfałszowane, operacja zostaje przekazana do realizacji.
Powyższy scenariusz pozwala wierzyć, że to użytkownik jest autorem przelewu, ze względu na znajomość kodu autoryzacyjnego, który został wysłany do niego wcześniej zdefiniowanym, odseparowanym kanałem (np. poprzez SMS). Taki podział utrudnia przestępcy przeprowadzenie ataku na podstawie znajomości danych autoryzacyjnych użytkownika, których pozyskanie jest stosunkowo proste.