privacidade

Como diferenciar identificação, autenticação e autorização

Explicamos como a identificação, autorização e autenticação diferem e por que a autenticação de dois fatores é necessária.

Alex Perekalin
24 set 2020

Acontece com cada um de nós, todos os dias. Somos constantemente identificados, autenticados e autorizados por vários sistemas. E ainda, muitas pessoas confundem o significado dessas palavras, muitas vezes usando os termos identificação ou autorização quando, na verdade, estão falando sobre autenticação.

Isso não é um problema, desde que seja apenas uma conversa diária e ambos os lados entendam sobre o que estão falando. No entanto, é sempre melhor saber o significado das palavras que você usa pois, mais cedo ou mais tarde, você encontrará um geek que o deixará louco com esclarecimentos, seja autorização versus autenticação, ou seja, lá qual conceito a pessoa vai tentar explicar.

Então, o que significam os termos identificação, autenticação e autorização e como os processos diferem uns dos outros? Primeiro, vamos consultar a Wikipedia:

“Identificação é o ato de indicar a identidade de uma pessoa ou coisa”.

“Autenticação é o ato de provar a identidade […] de um usuário do sistema de computador ” (por exemplo, comparando a senha inserida com a senha armazenada no banco de dados).

“Autorização é a função de especificar direitos/privilégios de acesso aos recursos.”

Dá para ver por que as pessoas que não estão realmente familiarizadas com os conceitos podem confundi-los.

Usando guaxinins para explicar identificação, autenticação e autorização

Para ficar mais simples, vamos usar um exemplo. Digamos que um usuário deseja fazer login em sua conta do Google. O Google funciona bem como exemplo porque seu processo de login é dividido em várias etapas básicas. É mais ou menos assim:

Primeiro, o sistema pede um login. O usuário insere um e o sistema o reconhece como um login real. Isso é identificação.

O Google então pede uma senha. O usuário a fornece e, se a senha inserida corresponder à senha armazenada, o sistema concorda que o usuário realmente parece ser real. Esta é a autenticação.

Na maioria dos casos, o Google também pede um código de verificação único, por uma mensagem de texto ou aplicativo autenticador. Se o usuário também inserir isso corretamente, o sistema finalmente concordará que ele ou ela é o proprietário(a) real da conta. Esta é a autenticação de dois fatores.

Por fim, o sistema dá ao usuário o direito de ler as mensagens em sua caixa de entrada e outros serviços. Esta é a autorização.

A autenticação sem identificação prévia não faz sentido; seria inútil começar a verificar antes que o sistema soubesse de quem é a autenticidade que deve ser verificado. A apresentação é o primeiro passo.

Na mesma linha, identificação sem autenticação seria uma tolice. Qualquer pessoa pode inserir qualquer login existente no banco de dados – o sistema precisaria da senha. Mas alguém pode dar uma espiada na senha ou apenas adivinhá-la. Pedir mais provas que apenas o usuário real pode ter, como um código de verificação único, é melhor.

Em contraste, a autorização sem identificação, deixando apenas a autenticação, é perfeitamente possível. Por exemplo, você pode fornecer acesso público ao seu documento no Google Drive, para que ele esteja disponível para qualquer pessoa. Nesse caso, você poderá ver um aviso informando que seu documento está sendo visualizado por um “guaxinim anônimo” (um dos “animais anônimos” utilizados pelo Google para diferenciar usuários não identificados que estejam acessando um arquivo simultaneamente). Embora o guaxinim não seja identificado, o sistema o autorizou – ou seja, concedeu a ele o direito de ver o documento.

No entanto, se você tivesse concedido o direito de leitura apenas a determinados usuários, o “guaxinim“ teria que ser identificado (fornecendo seu login) e, em seguida, autenticado (fornecendo a senha e um código de verificação único) para obter o direito de ler o documento (autorização).

Quando se trata de ler o conteúdo de sua caixa de correio, o Google nunca autorizará um “guaxinim anônimo“ a ler suas mensagens. Ele teria que se apresentar como você, com seu login e senha, momento em que não seria mais um guaxinim anônimo. O Google o identificaria como você.

Então, agora você sabe de que maneira a identificação é diferente da autenticação e da autorização. Mais um ponto importante: a autenticação é talvez o processo-chave em termos de segurança da sua conta. Se você estiver usando uma senha fraca para autenticação, um “guaxinim“ pode sequestrar sua conta. Portanto:

Crie senhas fortes e únicas para todas as suas contas.

Se você tem dificuldades de lembrar suas senhas, um gerenciador de senhas pode ajudar. Ele também é útil gerando novas senhas.

Ative a autenticação de dois fatores, com códigos de verificação únicos em mensagens de texto ou em um aplicativo autenticador, para cada serviço compatível. Caso contrário, algum “guaxinim anônimo“ que colocou as patas em sua senha poderá ler sua correspondência secreta ou fazer algo ainda mais desagradável.

Golpistas exploram pré-cadastro no Pix para roubar credenciais

Identificamos uma campanha de phishing com objetivo de coletar possíveis senhas de acesso das vítimas; veja como não ser vítima

Dicas

Olha o passarinho (verificado) ou as novas maneiras de reconhecer falsificações

Como diferenciar uma foto ou vídeo real de uma falsificação e rastrear sua procedência.

Como mudar para a Kaspersky: um guia de migração passo a passo

Como mudar a proteção cibernética de seu computador ou smartphone para a solução de segurança mais premiada da Kaspersky.

Chefe ou fraudador? Golpe disfarçado de ordens do seu chefe

Recebeu uma mensagem de seu chefe ou colega de trabalho pedindo para você “resolver um problema” de uma forma inesperada? Cuidado com golpistas! Como proteger a si mesmo e sua empresa contra um possível ataque?

Como proteger a segurança doméstica

As empresas de segurança oferecem tecnologias inteligentes, principalmente câmeras, para proteger a casa contra roubos, incêndios e outros incidentes. Mas que tal proteger esses sistemas de segurança contra intrusos? É o que faremos para preencher essa lacuna.

FERRAMENTAS GRATUITAS

Soluções de segurança direcionadas

Soluções Corporativas

Como diferenciar identificação, autenticação e autorização

Usando guaxinins para explicar identificação, autenticação e autorização

Mantenha o sigilo em aplicativos de anotações criptografadas e listas de tarefas pendentes

Saiba por que você deve desativar o histórico de links do Facebook e como fazê-lo

Golpistas exploram pré-cadastro no Pix para roubar credenciais

Dicas

Olha o passarinho (verificado) ou as novas maneiras de reconhecer falsificações

Como mudar para a Kaspersky: um guia de migração passo a passo

Chefe ou fraudador? Golpe disfarçado de ordens do seu chefe

Como proteger a segurança doméstica

Inscreva-se para receber nossos destaques em seu e-mail

Soluções domésticas

Produtos para pequenas empresas

Produtos para empresas médias

Soluções corporativas

Securelist

Eugene Personal Blog