Czytając różne teksy bardziej lub mniej związane z bezpieczeństwem IT można się spotkać z często mylonymi pojęciami uwierzytelnianie (ang. authentication) i autoryzacja (ang. authorisation).
Rozróżnianie uwierzytelniania i autoryzacji ma duże znaczenie dla zrozumienia zagadnień z zakresu bezpieczeństwa IT.
Uwierzytelnianie
Uwierzytelnianie (błędnie nazywane autentykacja, autentyfikacja) to jednoznaczna weryfikacja tożsamości danego użytkownika np. za pomocą hasła czy bardziej zaawansowanych metod takich jak dowód z wiedzą zerową.
Podczas uwierzytelniania wykorzystuje się trzy czynniki:
- wiedza – coś co wiesz – hasło, odpowiedź na ustalone pytanie;
- posiadanie – coś co masz – sprawdza się czy użytkownik jest w posiadaniu wybranego przedmiotu np. tokena generującego kody jednorazowe, klucza;
- obecność – zwykle stosowane są metody biometryczne takie jak rozpoznawanie odcisku palca, tęczówki oka, głosu, układu naczyń krwionośnych.
Autoryzacja
Autoryzacja polega na sprawdzaniu, czy dana operacja dla danego użytkownika jest dozwolona. Autoryzacja ma miejsce po pomyślnym uwierzytelnieniu.