Autenticação vs. autorização: qual é a diferença?

Autenticação e autorização são processos relacionados, mas distintos, no sistema de gerenciamento de acesso e identidade (IAM) de uma organização. A autenticação verifica a identidade do usuário. A autorização dá ao usuário o nível certo de acesso aos recursos do sistema.

O processo de autenticação depende de credenciais, como senhas ou digitalizações de impressão digital, que os usuários apresentam para provar que são quem afirmam ser.

O processo de autorização depende das permissões de usuário que descrevem o que cada usuário pode fazer em um determinado recurso ou rede. Por exemplo, as permissões em um sistema de arquivos podem determinar se um usuário pode criar, ler, atualizar ou excluir arquivos.

Os processos de autenticação e autorização se aplicam a usuários humanos e não humanos, tais como dispositivos, cargas de trabalho automáticas e aplicativos da web. Um único sistema de IAM pode lidar com autenticação e autorização, ou os processos podem ser tratados por sistemas separados trabalhando em conjunto.

A autenticação costuma ser um pré-requisito da autorização. Um sistema deve saber quem é um usuário para conceder a esse usuário o acesso a qualquer coisa.

Os ataques baseados em identidade, nos quais hackers sequestram contas de usuários válidas e abusam de seus direitos de acesso, estão aumentando. De acordo com o IBM X-Force Threat Intelligence Index, esses ataques são a maneira mais comum pela qual os agentes de ameaças se infiltram nas redes, representando 30% de todos os ataques cibernéticos.

A autenticação e a autorização trabalham juntas para impor controles de acesso seguros e impedir violações de dados. Processos de autenticação fortes tornam mais difícil para os hackers assumir o controle das contas dos usuários. A autorização forte limita os danos que os hackers podem causar com essas contas.

Veja como a autenticação funciona

A autenticação, às vezes abreviada como "authn", é baseada na troca de credenciais do usuário, também chamadas de fatores de autenticação. Os fatores de autenticação são evidências que comprovam a identidade de um usuário.

Quando um usuário se registra em um sistema pela primeira vez, estabelece um conjunto de fatores de autenticação. Quando o usuário faz login apresenta esses fatores. O sistema compara os fatores apresentados com os fatores arquivados. Se forem iguais, o sistema confiará que o usuário é quem afirma ser.

Os tipos comuns de fatores de autenticação são:

• Fatores de conhecimento: Algo que somente o usuário sabe, como uma senha, PIN ou a resposta a uma pergunta de segurança.
  
• Fatores de posse: algo que somente o usuário possui, como um PIN de uso único (OTP) enviado para o celular pessoal por meio de mensagem de texto SMS ou um physical security.
  
• Fatores inerentes: biometria como reconhecimento facial e digitalização de impressões digitais.

Aplicativos e recursos individuais podem ter seus próprios sistemas de autenticação. Muitas organizações utilizam um sistema integrado, como uma solução Single Sign On (SSO) em que os usuários podem autenticar uma vez para acessar vários recursos em um domínio seguro.

Os padrões comuns de autenticação incluem o SAML (Security Assertion Markup Language) e o OIDC (OpenID Connect). O SAML utiliza mensagens XML para compartilhar informações de autenticação entre sistemas, enquanto o OIDC utiliza JSON Web Tokens (JWTs) chamados "tokens ID".

Tipos de autenticação

• A autenticação de fator único (SFA) exige um fator de autenticação para provar a identidade de um usuário. Informar um nome de usuário e senha para fazer login em um site de rede social é um exemplo típico de SFA.
  
• A autenticação multifator (MFA) exige pelo menos dois fatores de autenticação de dois tipos diferentes, como uma senha (fator de conhecimento) e uma digitalização de impressão digital (fator inerente).
  
• A autenticação de dois fatores (2FA) é um tipo específico de MFA que exige exatamente dois fatores. A maioria dos usuários da internet já passou por situações de 2FA, como quando um aplicativo bancário exige uma senha e um código único enviado ao telefone do usuário.
  
• Os métodos de autenticação sem senha não utilizam senhas nem qualquer fator de conhecimento. Os sistemas sem senha tornaram-se populares como defesa contra ladrões de credenciais, que atacam fatores de conhecimento porque são os mais fáceis de roubar.
  
• Os sistemas de autenticação adaptável utilizam inteligência artificial e aprendizado de máquina para ajustar os requisitos de autenticação com base no grau de risco do comportamento do usuário. Por exemplo, um usuário que tentar acessar dados confidenciais pode precisar apresentar vários fatores de autenticação para o sistema o confirme.

Saiba como os especialistas em identidade e segurança da IBM podem ajudar a simplificar os esforços de IAM, gerenciar soluções em ambientes de nuvem híbrida e transformar os fluxos de trabalho de governança.

Exemplos de autenticação

• Utilização de uma digitalização de impressão digital e código PIN para desbloquear um smartphone.
  
• Apresentação de ID para abrir uma nova conta bancária.
  
• Um navegador da web verifica se um site é legítimo verificando seu certificado digital.
  
• Um aplicativo verifica a si mesmo em uma interface de programação de aplicativos (API) incluindo sua chave secreta de API em cada chamada que faz.

Como funciona a autorização

A autorização, às vezes abreviada como "authz", baseia-se em permissões de usuário. Permissões são políticas que detalham o que um usuário pode acessar e o que pode fazer com esse acesso em um sistema.

Administradores e líderes de segurança normalmente definem permissões de usuário, que são então aplicadas por sistemas de autorização. Quando um usuário tenta acessar um recurso ou executar uma ação, o sistema de autorização verifica suas permissões antes de conceder a permissão para prosseguir.

Considere um banco de dados confidencial contendo registros de clientes. A autorização determina se um usuário pode até mesmo ver esse banco de dados. Se puderem, a autorização também determina o que podem fazer no banco de dados. Ele pode apenas ler entradas ou também pode criar, excluir e atualizar entradas?

O OAuth 2.0, que utiliza tokens de acesso para delegar permissões aos usuários, é um exemplo de um protocolo de autorização comum. O OAuth permite que aplicativos compartilhem dados entre si. Por exemplo, o OAuth permite que um site de rede social verifique os contatos de e-mail de um usuário em busca de pessoas que o usuário possa conhecer, desde que o usuário permita.

Tipos de autorização

• Os métodos de controle de acesso baseado em função (RBAC) determinam as permissões de acesso do usuário com base em suas funções. Por exemplo, um analista de segurança de nível júnior pode ser capaz de consultar as configurações de firewall, mas não alterá-las, enquanto o chefe de segurança de rede pode ter acesso administrativo total.
  
• Os métodos de controle de acesso baseado em atributos (ABAC) utilizam os atributos de usuários, objetos e ações, como o nome de um usuário, o tipo de um recurso e a hora do dia, para determinar os níveis de acesso. Quando um usuário tenta acessar um recurso, um sistema ABAC analisa todos os atributos correspondentes e só concede acesso se atenderem a determinados critérios predefinidos. Por exemplo, em um sistema ABAC, os usuários podem acessar dados confidenciais somente durante o horário de trabalho e somente se tiverem um certo nível de antiguidade.
  
• Os sistemas de controle de acesso obrigatório (MAC) aplicam políticas de controle de acesso definidas de forma centralizada para todos os usuários. Os sistemas MAC são menos detalhados do que o RBAC e o ABAC e o acesso geralmente se baseia em níveis de autorização definidos ou em pontuações de confiança. Muitos sistemas operacionais utilizam MAC para controlar o acesso de programas a recursos confidenciais do sistema.
  
• Os sistemas de controle de acesso discricionário (DAC) permitem que os proprietários de recursos definam suas próprias regras de controle de acesso para esses recursos. O DAC é mais flexível do que as políticas gerais do SAP.

Exemplos de autorização

• Quando um usuário faz login em sua conta de e-mail, pode ver somente seus e-mails. Não está autorizado a ver as mensagens de outras pessoas.
  
• Em um sistema de registros de saúde, os dados de um paciente podem ser visualizados somente pelos provedores aos quais o paciente deu explicitamente seu consentimento.
  
• Um usuário cria um documento em um sistema de arquivos compartilhado. Eles definem as permissões de acesso como "somente leitura" para que outros usuários possam ver o documento, mas não possam editá-lo.
  
• O sistema operacional de um notebook impede que um programa desconhecido altere as configurações do sistema.

A autenticação e a autorização do usuário desempenham funções complementares na proteção de informações confidenciais e recursos de rede contra ameaças internas e atacantes externos. Em resumo, a autenticação ajuda as organizações a defender as contas de usuários, enquanto a autorização ajuda a defender os sistemas que essas contas podem acessar.

Como disponibilizar uma base para gerenciamento de identidade e acesso

Os sistemas abrangentes de gerenciamento de identidade e acesso (IAM) ajudam a rastrear a atividade do usuário, a bloquear o acesso não autorizado aos ativos de rede e a aplicar permissões detalhadas para que somente os usuários certos possam acessar os recursos certos.

A autenticação e a autorização lidam com duas perguntas críticas que as organizações precisam responder para aplicar controles de acesso significativos: 

• Quem é você? (Autenticação)
  
• O que você está autorizado a fazer neste sistema? (Autorização)

Uma organização precisa saber quem é um usuário antes de poder habilitar o nível correto de acesso. Por exemplo, quando um administrador de rede faz login, esse usuário deve provar que é um administrador apresentando os fatores de autenticação corretos. Somente então o sistema de IAM autorizará o usuário a efetuar ações administrativas, como adicionar e remover outros usuários.

Combate a ataques cibernéticos avançados

À medida que os controles de segurança organizacionais se tornam mais eficazes, mais invasores os contornam roubando contas de usuários e abusando de seus privilégios para causar estragos. De acordo com o IBM X-Force Threat Intelligence Index, os ataques baseados em identidade aumentaram em frequência em 71% entre 2022 e 2023.

Esses ataques são fáceis de serem executados pelos cibercriminosos. Os hackers podem decifrar senhas por meio de ataques de força bruta, utilizar o malware infostealer ou comprar credenciais de outros hackers. Na verdade, o índice X-Force Threat Intelligence descobriu que as credenciais de contas na nuvem representam 90% dos ativos na nuvem vendidos na dark web.

O phishing é outra tática comum de roubo de credenciais, e as ferramentas de IA generativa agora permitem que os hackers desenvolvam ataques de phishing mais eficazes em menos tempo.

Embora possam ser vistos como medidas de segurança básicas, a autenticação e a autorização são defesas importantes contra roubo de identidade e abuso de conta, inclusive ataques impulsionados por IA.

A autenticação pode dificultar o roubo de contas, substituindo ou reforçando senhas por outros fatores mais difíceis de quebrar, como biometria.

Sistemas de autorização granulares podem restringir o movimento lateral ao restringir os privilégios do usuário somente aos recursos e ações de que ele precisa. Isso ajuda a limitar os danos que hackers mal-intencionados e ameaças internas podem causar ao utilizar indevidamente os direitos de acesso.

Com o IBM® Security Verify, as organizações podem ir além da autenticação e autorização básicas. O IBM Verify pode ajudar a proteger contas com opções de autenticação sem senha e multifator, e pode ajudar a controlar aplicativos com políticas de acesso contextuais e detalhadas.