احراز هویت در برابر مجوزدهی، آشنایی با تفاوت‌های کلیدی

احراز هویت چیست؟

احراز هویت فرآیند تأیید هویت یک کاربر است. این معمولاً نخستین گام در فرآیند امنیتی به شمار می‌رود. برای تأیید هویت کاربر، وی باید شواهدی فیزیکی یا غیرفیزیکی (اطلاعاتی) را به سامانه احراز هویت ارائه دهد. این شواهد به‌طور کلی به سه دسته تقسیم می‌شوند:

1. آنچه دارند (What they have):
   دارا بودن یک شیء فیزیکی مانند کلید، کارت هوشمند، توکن، یا کارت مغناطیسی.
2. آنچه می‌دانند (What they know):
   اطلاعاتی که فقط کاربر از آن آگاه است؛ مانند رمز عبور، کد ورود، شماره شناسایی شخصی (PIN)، تاریخ تولد، شماره تأمین اجتماعی یا سایر اطلاعات شناسایی شخصی (PII).
3. آنچه هستند (Who they are):
   بیومتریک یا استفاده از ویژگی‌های فیزیکی منحصربه‌فرد مانند انگشت اشاره، شست، کف دست، صدا، شبکیه چشم، چهره یا سایر ویژگی‌های فیزیکی برای دسترسی به یک منبع. این ویژگی باید با همان موردی که هنگام ثبت‌نام کاربر در سامانه ارائه شده، مطابقت داشته باشد.

رمز عبور معمولاً رایج‌ترین — و در عین حال قدیمی‌ترین — عامل احراز هویت محسوب می‌شود. اگر رمز عبور دقیقاً با رمز تعیین‌شده توسط کاربر یا سیستم مطابقت داشته باشد، سیستم فرض را بر اعتبار گذاشته و دسترسی را اعطا می‌کند.

با این حال، روش‌های احراز هویت مبتنی بر اطلاعات نیز در حال محبوبیت بیشتری هستند. یکی از این روش‌ها استفاده از کد یک‌بارمصرف (OTP) یا رمز موقت است که توسط سیستم تولید می‌شود. این روش اجازه‌ی دسترسی به یک نشست موقت یا تنها یک‌بار را می‌دهد و پس از مدت مشخصی منقضی می‌شود. کاربران بانکداری همراه معمولاً هنگام انتقال وجه، به‌ویژه زمانی که گیرنده‌ای جدید و ناشناخته به سیستم اضافه می‌شود، با این روش مواجه می‌شوند.

روش دیگر برای تأیید هویت کاربر، استفاده از اپلیکیشن احراز هویت در دستگاه همراه اوست. این برنامه معمولاً کدهای امنیتی موقتی تولید می‌کند که برای دسترسی به وب‌سایت یا سرویس دیگری استفاده می‌شوند.

همچنین استفاده از احراز هویت دومرحله‌ای (2FA) و احراز هویت چندمرحله‌ای (MFA) به طور فزاینده‌ای برای افزایش سطح امنیت فراتر از رمز عبور به کار گرفته می‌شود. این روش‌ها نیازمند تأیید موفقیت‌آمیز یک یا چند نوع داده احراز هویتی هستند تا اجازه دسترسی به سامانه صادر شود. به عنوان مثال، MFA ممکن است از کاربر بخواهد هم رمز عبور و هم کد موقتی ارسال‌شده به موبایل خود را وارد کند.

مجوزدهی (Authorization) چیست؟

مجوزدهی فرآیندی است که طی آن به یک کاربر اجازه داده می‌شود به یک مکان فیزیکی یا منبع اطلاعاتی (مانند یک سند، پایگاه داده، نرم‌افزار یا وب‌سایت) دسترسی پیدا کند.

اغلب به اشتباه، واژه‌ی مجوزدهی به‌جای احراز هویت (Authentication) به کار می‌رود، در حالی که این دو مفهوم با هم تفاوت دارند. در واقع، احراز هویت قبل از مجوزدهی انجام می‌شود؛ یعنی ابتدا باید هویت کاربر تأیید شود تا سپس سیستم اجازه دسترسی به منابع خاص را صادر کند.

با این حال، واژه «اجازه» یا «مجوز» مفهومی گسترده دارد. ممکن است کاربری با موفقیت احراز هویت شود و به سیستم دسترسی پیدا کند، اما این به این معنا نیست که او به همه بخش‌های آن سیستم یا نرم‌افزار دسترسی خواهد داشت؛ چرا که دسترسی به اجزای خاص توسط سازمان تعریف و محدود می‌شود.

چرا مدیریت درست مجوزها اهمیت دارد؟

جلوگیری از دسترسی کاربران به حساب دیگران

شاید مهم‌ترین دلیل نیاز به تعریف مجوزها همین باشد.
برای مثال، یک مشتری از طریق وب‌سایت یا اپلیکیشن بانک وارد حساب بانکی خود می‌شود. اگرچه بانک به کاربر اجازه ورود به سیستم را داده است، اما باید سطح مجوز دسترسی کاربر را نیز مشخص کند. در غیر این صورت، کاربر ممکن است به تمام حساب‌های بانکی موجود در سیستم دسترسی پیدا کند، نه فقط به حساب خود.
مجوزها تضمین می‌کنند که هر کاربر فقط به اطلاعاتی که لازم دارد، دسترسی داشته باشد.

جلوگیری از دسترسی حساب‌های رایگان به امکانات ویژه

در سرویس‌های نرم‌افزاری مبتنی بر اشتراک (SaaS)، مانند روزنامه‌های آنلاین با محتوای قفل‌شده یا پلتفرم‌های همکاری آنلاین، سطوح دسترسی مشخص می‌کنند که کاربران رایگان نتوانند به امکانات ویژه و پولی دسترسی داشته باشند.
بدون تعریف محدودیت‌ها، کاربران رایگان می‌توانند از ویژگی‌هایی استفاده کنند که تنها برای کاربران پرداخت‌کننده در نظر گرفته شده‌اند، و این منجر به کاهش درآمد سازمان می‌شود.

جلوگیری از تداخل بین حساب‌های مشتریان خارجی و حساب‌های داخلی

مجوزها همچنین کاربران داخلی (کارکنان) را از کاربران خارجی (مشتریان) جدا می‌کنند.
درست است که ممکن است هم کارکنان و هم مشتریان از یک وب‌سایت شرکتی استفاده کنند، اما دسترسی این دو گروه باید متفاوت باشد.
کارکنان باید به داده‌ها و سامانه‌هایی دسترسی داشته باشند که برای مشتریان قابل دسترسی نیست. به همین ترتیب، همه کارکنان نیز نباید به اطلاعات حساس مشتریان دسترسی داشته باشند.
بنابراین سازمان باید سطوح مختلف مجوز برای هر کارمند تعریف کند.

تعیین سطح مجوز مناسب به اندازه انتخاب عوامل احراز هویت مناسب مهم است

در واقع، مجوزدهی صحیح می‌تواند از شدت خسارات در رخدادهای امنیتی بکاهد.
برای مثال، اگر هکری موفق به دسترسی به حساب یک کارمند شود، اما آن کارمند مجوز دسترسی به اطلاعات حساس مانند داده‌های بانکی یا کارت اعتباری مشتریان را نداشته باشد، تأثیرات منفی این نقض امنیتی تا حد زیادی کاهش خواهد یافت.

مجوزدهی مناسب بهره‌وری را نیز افزایش می‌دهد

اگر کارکنان به فایل‌ها و برنامه‌هایی که برای انجام وظایفشان نیاز دارند، دسترسی مستقیم داشته باشند، نیازی به درخواست مداوم از مدیر یا تیم IT نخواهند داشت.
همچنین با فایل‌ها و ابزارهایی که مربوط به کارشان نیست، سردرگم یا دچار حواس‌پرتی نمی‌شوند.

احراز هویت در برابر مجوزدهی

احراز هویت فرآیندی برای احراز هویت یک کاربر است، یعنی تأیید اینکه فرد واقعاً همان کسی است که ادعا می‌کند. مجوزدهی مربوط به تعیین سطح دسترسی کاربر و سپس اعطای دسترسی بر اساس آن سطح است.

با این حال، موضوع انتخاب بین احراز هویت یا مجوزدهی نیست. آنچه اهمیت بیشتری دارد، بررسی تفاوت‌های میان آن‌ها و درک این نکته است که هر دو برای ایمن‌سازی سامانه‌ها، برنامه‌ها و داده‌های سازمانی حیاتی هستند.

تفاوت‌های کلیدی بین احراز هویت و مجوزدهی

احراز هویت (Authentication)

احراز هویت فرآیند تأیید هویت کاربر پیش از اعطای مجوز برای دسترسی به یک سامانه، حساب کاربری یا فایل است.
هدف اصلی آن تأیید (یا «احراز») هویت کاربر است. همچنین با جلوگیری از ورود کاربران مشکوک یا مخرب که هویتشان قابل تأیید نیست، امنیت را افزایش می‌دهد.

اکثر روش‌های احراز هویت بر اساس تأیید اعتبارنامه‌های کاربر (credentials) قبل از دسترسی به سامانه عمل می‌کنند. این اعتبارنامه‌ها ممکن است شامل نام کاربری و رمز عبور، سوالات امنیتی، یا کد یک‌بار مصرف (OTP) ارسال‌شده به گوشی موبایل باشند.

احراز هویت مبتنی بر اعتبارنامه از طریق مقایسه اطلاعات ارائه‌شده توسط کاربر با رکوردهای پایگاه داده عمل می‌کند. در صورت تطابق کامل، به کاربر اجازه ورود به حساب داده می‌شود.

مجوزدهی (Authorization)

مجوزدهی فرآیند بررسی سطح دسترسی کاربر به یک سامانه، حساب کاربری یا فایل است.

مجوزدهی تضمین می‌کند که تنها کاربران مجاز بتوانند به منابع موردنیاز خود دسترسی پیدا کنند، آن‌هم فقط در حدی که توسط سامانه تعیین شده است.

سامانه‌های رایانه‌ای می‌توانند از انواع استراتژی‌های مجوزدهی استفاده کنند، مانند کنترل دسترسی مبتنی بر نقش (RBAC).

در RBAC، مجوزهای دسترسی به نقش‌ها تخصیص می‌یابند، نه به کاربران به صورت مستقیم. این مدل تضمین می‌کند که کاربران تنها به اطلاعات مورد نیاز بر اساس نقش‌شان دسترسی دارند.

کاربرد فایروال در احراز هویت و مجوزدهی

فایروال‌ها (Firewall) یکی از مهم‌ترین ابزارهای امنیت شبکه هستند که برای کنترل و مدیریت ترافیک ورودی و خروجی به کار می‌روند. اما فایروال‌ها صرفاً محدود به مسدودسازی پورت‌ها یا آدرس‌های آی‌پی نیستند؛ فایروال‌های مدرن نقش مهمی در پیاده‌سازی سیاست‌های احراز هویت و مجوزدهی نیز دارند.

فایروال‌ها به‌عنوان دروازه‌بان شبکه، باید هم هویت کاربر را بشناسند و هم تعیین کنند که چه سطحی از دسترسی برای آن کاربر مجاز است. به همین دلیل، در بسیاری از فایروال‌های نسل جدید (Next Generation Firewalls)، امکانات IAM و کنترل دسترسی مبتنی بر نقش (RBAC) وجود دارد.

جمع‌بندی

با وجود تفاوت‌های بالا، احراز هویت و مجوزدهی هر دو از روش‌های قابل اعتماد برای کنترل دسترسی هستند. در محیط‌های IT، معمولاً این دو به عنوان بخشی از سامانه‌های مدیریت هویت و دسترسی (IAM) پیاده‌سازی می‌شوند.

همچنین، این دو عنصر از پایه‌های مهم در مدیریت متمرکز هویت و ورود یکپارچه (Single Sign-On – SSO) به شمار می‌روند.

SSO این امکان را فراهم می‌کند که کاربران تنها با یک مجموعه اعتبار ورود یا اطلاعات شخصی، بتوانند به چندین اپلیکیشن به‌صورت ایمن وارد شوند.
بسیاری از گردش‌کارهای SSO بر پایه OpenID Connect (OIDC) طراحی شده‌اند، که یک لایه احراز هویت برای تأیید هویت کاربران و ارائه عملکرد ورود یکپارچه است.