Autentikasi vs. otorisasi: Apa bedanya?

Otentikasi dan otorisasi adalah proses yang terkait tetapi berbeda dalam sistem manajemen identitas dan akses organisasi (IAM). Autentikasi memverifikasi identitas pengguna. Otorisasi memberi pengguna tingkat akses yang tepat ke sumber daya sistem.

Proses autentikasi bergantung pada kredensial, seperti kata sandi atau pemindaian sidik jari, yang ditunjukkan pengguna untuk membuktikan bahwa mereka adalah orang yang mereka klaim.

Proses otorisasi bergantung pada izin pengguna yang menguraikan apa yang bisa dilakukan setiap pengguna dalam sumber daya atau jaringan tertentu. Misalnya, izin dalam sistem file mungkin menentukan apakah pengguna dapat membuat, membaca, memperbarui, atau menghapus file.

Proses autentikasi dan otorisasi berlaku untuk pengguna manusia dan nonmanusia, seperti perangkat, beban kerja otomatis, dan aplikasi web. Sistem IAM tunggal dapat menangani autentikasi dan otorisasi, atau prosesnya dapat ditangani oleh sistem terpisah yang bekerja secara bersama-sama.

Autentikasi biasanya merupakan persyaratan awal untuk otorisasi. Suatu sistem harus tahu siapa pengguna sebelum dapat memberikan pengguna akses ke apa pun.

Serangan berbasis identitas, di mana peretas mengambil alih akun pengguna yang sah dan menyalahgunakan hak akses mereka, sedang meningkat. Menurut IBM X-Force Threat Intelligence Index, serangan ini merupakan cara paling umum yang digunakan oleh para aktor ancaman untuk menyusup ke dalam jaringan, yang mencakup 30% dari seluruh serangan siber.

Autentikasi dan otorisasi bekerja sama untuk menegakkan kontrol akses yang aman dan menggagalkan pelanggaran data. Proses autentikasi yang kuat membuat lebih sulit bagi peretas untuk mengambil alih akun pengguna. Otorisasi yang kuat membatasi kerusakan yang dapat dilakukan peretas dengan akun tersebut.

Autentikasi, terkadang disingkat "authn", didasarkan pada pertukaran kredensial pengguna, yang juga disebut faktor autentikasi. Faktor autentikasi adalah bukti yang membuktikan identitas pengguna.

Saat pengguna mendaftar pada suatu sistem untuk pertama kalinya, mereka menetapkan serangkaian faktor autentikasi. Saat pengguna masuk, mereka menyajikan faktor-faktor ini. Sistem akan memeriksa faktor-faktor yang disajikan terhadap faktor-faktor yang tercatat. Jika cocok, sistem akan percaya bahwa pengguna tersebut adalah orang yang diklaimnya.

Jenis umum faktor autentikasi meliputi:

• Faktor pengetahuan: Sesuatu yang hanya diketahui pengguna, seperti kata sandi, PIN, atau jawaban atas pertanyaan keamanan.
  
• Faktor kepemilikan: Sesuatu yang hanya dimiliki pengguna, seperti PIN satu kali (OTP) yang dikirim ke ponsel pribadi mereka melalui pesan teks SMS atau token keamanan fisik.
  
• Faktor bawaan: Biometrik, seperti pengenalan wajah dan pemindaian sidik jari.

Masing-masing aplikasi dan sumber daya dapat memiliki sistem autentikasi sendiri. Banyak organisasi menggunakan satu sistem terintegrasi, seperti solusi  masuk tunggal (SSO), di mana pengguna dapat melakukan autentikasi sekali untuk mengakses beberapa sumber daya dalam domain aman.

Standar autentikasi yang umum termasuk Security Assertion Markup Language (SAML) dan OpenID Connect (OIDC). SAML menggunakan pesan XML untuk berbagi informasi autentikasi antar sistem, sedangkan OIDC menggunakan JSON Web Tokens (JWT) yang disebut "token ID".

• Autentikasi faktor tunggal (SFA) memerlukan satu faktor autentikasi untuk membuktikan identitas pengguna. Memberikan nama pengguna dan kata sandi untuk masuk ke situs media sosial adalah contoh umum SFA.
  
• Autentikasi multifaktor (MFA) memerlukan setidaknya dua faktor autentikasi dari dua jenis yang berbeda, seperti kata sandi (faktor pengetahuan) dan pemindaian sidik jari (faktor bawaan).
  
• Autentikasi dua faktor (2FA) adalah jenis MFA spesifik yang membutuhkan tepat dua faktor. Sebagian besar pengguna internet pernah mengalami 2FA, misalnya ketika aplikasi perbankan memerlukan kata sandi dan kode sekali pakai yang dikirim ke ponsel pengguna.
  
• Metode autentikasi tanpa kata sandi tidak menggunakan kata sandi, atau faktor pengetahuan apa pun dalam hal ini. Sistem tanpa kata sandi telah menjadi populer sebagai pertahanan terhadap pencuri kredensial, yang menargetkan faktor pengetahuan karena paling mudah dicuri.
  
• Sistem autentikasi adaptif menggunakan  kecerdasan buatan dan machine learning untuk menyesuaikan persyaratan autentikasi berdasarkan seberapa berisiko perilaku pengguna. Misalnya, pengguna yang mencoba mengakses data rahasia mungkin perlu menyediakan beberapa faktor autentikasi sebelum sistem memverifikasinya.

Pelajari bagaimana pakar identitas dan keamanan IBM dapat membantu merampingkan upaya IAM, mengelola solusi di seluruh lingkungan cloud hybrid, dan mentransformasi alur kerja tata kelola.

• Menggunakan pemindaian sidik jari dan kode PIN untuk membuka kunci telepon pintar.
  
• Menampilkan ID untuk membuka rekening bank baru.
  
• Peramban web memverifikasi bahwa sebuah situs web sah dengan memeriksa sertifikat digitalnya.
  
• Aplikasi memverifikasi dirinya ke antarmuka pemrograman aplikasi (API) dengan memasukkan kunci API rahasianya di setiap panggilan yang dibuatnya.

Otorisasi, terkadang disingkat sebagai "authz," didasarkan pada izin pengguna. Izin adalah kebijakan yang merinci apa yang dapat diakses pengguna dan apa yang dapat mereka lakukan dengan akses tersebut dalam suatu sistem.

Administrator dan pemimpin keamanan biasanya menentukan izin pengguna, yang kemudian ditegakkan oleh sistem otorisasi. Saat pengguna mencoba mengakses sumber daya atau melakukan tindakan, sistem otorisasi memeriksa izin mereka sebelum mengizinkan mereka melanjutkan.

Pertimbangkan database sensitif yang berisi catatan pelanggan. Otorisasi menentukan apakah pengguna bahkan dapat melihat database ini. Jika mereka bisa, otorisasi juga menentukan apa yang dapat mereka lakukan dalam database. Bisakah mereka hanya membaca entri, atau dapatkah mereka juga membuat, menghapus, dan memperbarui entri?

OAuth 2.0, yang menggunakan token akses untuk mendelegasikan izin kepada pengguna, adalah salah satu contoh protokol otorisasi umum. OAuth memungkinkan aplikasi untuk berbagi data satu sama lain. Misalnya, OAuth memungkinkan situs media sosial memindai kontak email pengguna untuk mencari orang yang mungkin dikenal pengguna—asalkan pengguna menyetujui.

• Metode kontrol akses berbasis peran (RBAC) menentukan izin akses pengguna berdasarkan peran mereka. Sebagai contoh, seorang analis keamanan tingkat junior mungkin bisa melihat konfigurasi firewall tetapi tidak bisa mengubahnya, sementara kepala keamanan jaringan mungkin memiliki akses administratif penuh.
  
• Metode kontrol akses berbasis atribut (ABAC) menggunakan atribut pengguna, objek, dan tindakan—seperti nama pengguna, jenis sumber daya, dan waktu—untuk menentukan tingkat akses. Ketika pengguna mencoba mengakses sumber daya, sistem ABAC menganalisis semua atribut yang relevan dan hanya memberikan akses jika atribut tersebut memenuhi kriteria tertentu yang telah ditentukan sebelumnya. Misalnya, dalam sistem ABAC, pengguna mungkin dapat mengakses data sensitif hanya selama jam kerja dan hanya jika mereka memiliki tingkat senioritas tertentu.
  
• Sistem kontrol akses wajib (MAC) menerapkan kebijakan kontrol akses yang ditentukan secara terpusat untuk semua pengguna. Sistem MAC kurang terperinci daripada RBAC dan ABAC, dan akses biasanya didasarkan pada tingkat izin atau skor kepercayaan yang ditetapkan. Banyak sistem operasi menggunakan MAC untuk mengontrol akses program ke sumber daya sistem yang sensitif.
  
• Sistem kontrol akses diskresional (DAC) memungkinkan pemilik sumber daya untuk menetapkan aturan kontrol akses mereka sendiri untuk sumber daya tersebut. DAC lebih fleksibel daripada kebijakan umum MAC.

• Ketika pengguna masuk ke akun email mereka, mereka hanya dapat melihat email mereka. Mereka tidak berwenang untuk melihat pesan orang lain.
  
• Dalam sistem rekam medis, data pasien hanya dapat dilihat oleh penyedia layanan kesehatan yang telah secara tegas diberikan persetujuan oleh pasien.
  
• Seorang pengguna membuat dokumen dalam sistem file bersama. Mereka mengatur izin akses ke "hanya baca" sehingga pengguna lain dapat melihat dokumen tetapi tidak dapat mengeditnya.
  
• Sistem operasi laptop mencegah program yang tidak dikenal mengubah pengaturan sistem.

Autentikasi dan otorisasi pengguna memainkan peran pelengkap dalam melindungi informasi sensitif dan sumber daya jaringan dari ancaman orang dalam dan penyerang eksternal. Singkatnya, autentikasi membantu organisasi mempertahankan akun pengguna, sementara otorisasi membantu mempertahankan sistem yang dapat diakses oleh akun tersebut.

Sistem manajemen identitas dan akses (IAM) yang komprehensif membantu melacak aktivitas pengguna, memblokir akses yang tidak sah ke aset jaringan, dan memberlakukan izin terperinci sehingga hanya pengguna yang tepat yang dapat mengakses sumber daya yang tepat.

Autentikasi dan otorisasi menjawab dua pertanyaan penting yang perlu dijawab oleh organisasi untuk menerapkan kontrol akses yang berarti: 

• Siapa kamu? (Autentikasi)
  
• Apa yang diizinkan untuk Anda lakukan dalam sistem ini? (Otorisasi)

Organisasi perlu mengetahui siapa pengguna sebelum dapat mengaktifkan tingkat akses yang tepat. Sebagai contoh, ketika seorang administrator jaringan masuk, pengguna tersebut harus membuktikan bahwa mereka adalah admin dengan memberikan faktor autentikasi yang tepat. Hanya setelah itu, sistem IAM akan membenarkan pengguna untuk melakukan tindakan administrasi seperti menambah dan menghapus pengguna lain.

Ketika kontrol keamanan organisasi makin efektif, makin banyak penyerang yang menyiasatinya dengan mencuri akun pengguna dan menyalahgunakan hak istimewa mereka untuk mendatangkan malapetaka. Serangan-serangan ini mudah dilakukan oleh penjahat siber. Peretas dapat memecahkan kata sandi melalui serangan brute force, menggunakan malware infostealer, atau membeli kredensial dari peretas lain. 

Phishing adalah taktik pencurian kredensial umum lainnya, dan alat AI generatif sekarang memungkinkan peretas untuk mengembangkan serangan phishing yang lebih efektif dalam waktu yang lebih singkat.

Meskipun mungkin dianggap sebagai langkah keamanan dasar, autentikasi dan otorisasi merupakan pertahanan penting terhadap pencurian identitas dan penyalahgunaan akun, termasuk serangan yang didukung AI.

Autentikasi dapat mempersulit pencurian akun dengan mengganti atau memperkuat kata sandi dengan faktor lain yang lebih sulit dipecahkan, seperti biometrik.

Sistem otorisasi granular dapat mengurangi gerakan lateral dengan membatasi hak pengguna hanya pada sumber daya dan tindakan yang mereka butuhkan. Cara ini membantu membatasi kerusakan yang dapat ditimbulkan oleh peretas dan ancaman orang dalam yang berbahaya dengan menyalahgunakan hak akses.