¿Cuál es la diferencia entre identificación, autenticación y autorización?
Hoy en día no es necesario ir al banco para hacer transferencias de dinero; no es necesario ir a una compañía de suministro de energía para pagar una factura de luz eléctrica; no es necesario ir a la estación de tren para comprar boletos de tren; todos estos y otros problemas similares, que requieren mucho tiempo, se simplifican y resuelven a través de Internet.
Hoy en día, hay muchas áreas donde la tarea se logra mediante la interacción de una persona con un ordenador, mediante el uso de un sitio web o aplicación en un dispositivo móvil. Dichos sistemas deben tener un nivel adecuado de protección y lo primero que encuentra un usuario cuando los usa es identificación , autenticación y autorización. ¿En qué se diferencian? Vamos a echar un vistazo más de cerca.
¿Qué es la identificación?
Supongamos que hay un sistema o base de datos específico que contiene una serie de parámetros (identificadores), por ejemplo:
- ID de usuario
- Nombre (nombre y apellidos)
- Número de teléfono
- IMEI del dispositivo
- Dirección de correo electrónico
- Inicio de sesión (apodo)
- Detalles de la tarjeta de crédito
- Número de matrícula
- Dirección del sitio web
- etc.
Cada vez que compramos algo en Internet y nos registramos en algún lugar, obtenemos un identificador, un parámetro específico que nos permite interactuar con el sistema. Como regla general, es único: no se cruza con otros sistemas de información ni usuarios. Por lo tanto, si necesitamos acceder al sistema o encontrar información, deberemos proporcionar uno o más identificadores. En base a esto, podemos decir que la identificación es un proceso que te permite identificar (reconocer) de forma única un sujeto u objeto en un sistema en particular.
Para que lo entendáis mejor, veamos un ejemplo de una situación simple. Estás en casa, haciendo tus cosas: viendo películas, haciendo ejercicio o leyendo un artículo sobre cómo funciona una VPN (sin duda el mejor de todos los artículos que he escrito, no te lo puedes perder) en mi sitio web. De pronto, escuchas el timbre, deja de hacer tus cosas y vas a abrir. Al acercarte a la puerta, miras por la mirilla, pero no ves a nadie, y preguntas: "¿Quién es?" y escuchas en respuesta: "¡Soy yo, Alex!". El nombre de la persona al otro lado de la puerta, en esta situación, es un identificador. La respuesta correcta o incorrecta a la pregunta es el proceso de identificación.
Considera este otro ejemplo. Realizas una llamada a tu banco para recibir cualquier información sobre tu tarjeta de crédito. El empleado que responde tu llamada está obligado a identificarte antes de proporcionarte información. Además del número de teléfono, puede pedirte otro identificador, por ejemplo, tu DNI y nombre del propietario de la cuenta. Tu respuesta, en este caso, es tu identificación.
¿Qué es la autenticación?
Para evitar el acceso no autorizado al sistema y a los datos, la identificación por sí sola no es suficiente, por lo tanto, se utiliza la autenticación, un tema que recientemente se ha vuelto cada vez más relevante. El uso de una u otra característica en el sistema depende de la confiabilidad, seguridad y costo de implementación requeridos.
El concepto de autenticación significa autenticar un identificador o persona (objeto o sujeto). Para esto se distinguen tres factores principales de autenticación:
- Conocimiento (lo que solo conocemos nosotros): contraseña, PIN , etc.
- Propiedad (lo que tenemos): un dispositivo móvil, una tarjeta inteligente, una llave, etc.
- Propiedades: parámetros biométricos (huellas digitales, voz, retina, etc.).
De nuevo, para que lo entiendas, veamos los ejemplos anteriores. En el primer caso, cuando recibes una visita en casa y preguntas "¿Quién es?", el nombre será una identificación. A veces no es suficiente, por lo que puedes preguntar cualquier otro dato (factor de autenticación) que solo esta persona sepa, por ejemplo: "¿Qué edad tengo?", "¿Cómo se llama mi mascota?", etc; entonces ya obtenemos la autenticación. En este ejemplo en particular, solo el hecho de reconocer la voz (o no) de la persona que se ha identificado, ya podría considerarse, al mismo tiempo, autenticación.
En el caso de la comunicación con un empleado en el banco, si la información o las acciones requeridas van más allá de la identificación, el empleado te pedirá que aclares el factor de autenticación, por ejemplo, una palabra clave o las últimas 3 operaciones en una tarjeta para confirmar la autenticidad. Tu respuesta a su solicitud es el proceso de autenticación.
¿Qué es la autorización?
Proporcionar acceso a un sistema en particular y realizar ciertas acciones es autorización. El concepto implica que una persona que ha aprobado la autorización recibe el derecho completo de realizar acciones dentro del marco de sus privilegios y poderes, ya que estas tres categorías principales se pueden utilizar en el sistema de información:
- control de acceso selectivo: el acceso a la información y la realización de ciertas acciones se otorgan a un usuario específico o grupo de usuarios.
- gestión de credenciales: las acciones de los usuarios están reguladas por los niveles de acceso o por la posición de los usuarios.
- acceso por rol: una forma flexible de control de acceso, que combina los dos anteriores y varía según la situación, en un período de tiempo específico.
Si observas los ejemplos dados, en el primer caso, si una persona pasa por la identificación y la autenticación, y abres la puerta para que acceda al apartamento, esto se considerará una autorización.
La segunda situación, en el momento en que el empleado del banco recibe la información que necesita y luego te proporciona o hace lo que le solicites (por ejemplo, transferir fondos), este proceso se llamará autorización.
La relación entre identificación, autenticación y autorización
Los tres procesos anteriores interactúan entre sí y no existen el uno sin el otro. El identificador se establece en primer lugar, luego se confirman la autenticidad y la conformidad y, como resultado, utiliza todas las capacidades y ventajas del sistema, dentro de su autoridad.
En Internet, en un sitio web, sería algo como esto:
- Identificación: registro.
- Autenticación: usar nombre de usuario y contraseña.
- Autorización: utilizar el sistema y los recursos proporcionados.
Sin ir más lejos, en este mismo artículo, puedes aprovechar para identificarte con tu nombre y tu correo electrónico justo aquí debajo y, si son válidos, te autorizo a que dejes un comentario.
Si te ha gustado ¿Cuál es la diferencia entre identificación, autenticación y autorización? y te gustaría seguir leyendo contenido similar, puedes visitar la categoría Internet. ¡Y no olvides dejar un comentario 🤗!
Deja una respuesta
Podría interesarte