Como diferenciar identificação, autenticação e autorização 

Explicamos como a identificação, autorização e autenticação diferem e por que a autenticação de dois fatores é necessária. 

Acontece com cada um de nós, todos os dias. Somos constantemente identificados, autenticados e autorizados por vários sistemas. E ainda, muitas pessoas confundem o significado dessas palavras, muitas vezes usando os termos identificação ou autorização quando, na verdade, estão falando sobre autenticação.

Isso não é um problema, desde que seja apenas uma conversa diária e ambos os lados entendam sobre o que estão falando. No entanto, é sempre melhor saber o significado das palavras que você usa pois, mais cedo ou mais tarde, você encontrará um geek que o deixará louco com esclarecimentos, seja autorização versus autenticação, ou seja, lá qual conceito a pessoa vai tentar explicar. 

Então, o que significam os termos identificaçãoautenticação e autorização e como os processos diferem uns dos outros? Primeiro, vamos consultar a Wikipedia: 

  • “Identificação é o ato de indicar a identidade de uma pessoa ou coisa”.
  • Autenticação é o ato de provar a identidade […] de um usuário do sistema de computador ” (por exemplo, comparando a senha inserida com a senha armazenada no banco de dados).
  • Autorização é a função de especificar direitos/privilégios de acesso aos recursos.” 

Dá para ver por que as pessoas que não estão realmente familiarizadas com os conceitos podem confundi-los. 

Usando guaxinins para explicar identificação, autenticação e autorização 

Para ficar mais simples, vamos usar um exemplo. Digamos que um usuário deseja fazer login em sua conta do Google. O Google funciona bem como exemplo porque seu processo de login é dividido em várias etapas básicas. É mais ou menos assim:  

  • Primeiro, o sistema pede um login. O usuário insere um e o sistema o reconhece como um login real. Isso é identificação. 
  • O Google então pede uma senha. O usuário a fornece e, se a senha inserida corresponder à senha armazenada, o sistema concorda que o usuário realmente parece ser real. Esta é a autenticação.
  • Na maioria dos casos, o Google também pede um código de verificação único, por uma mensagem de texto ou aplicativo autenticador. Se o usuário também inserir isso corretamente, o sistema finalmente concordará que ele ou ela é o proprietário(a) real da conta. Esta é a autenticação de dois fatores.
  • Por fim, o sistema dá ao usuário o direito de ler as mensagens em sua caixa de entrada e outros serviços. Esta é a autorização. 

 A autenticação sem identificação prévia não faz sentido; seria inútil começar a verificar antes que o sistema soubesse de quem é a autenticidade que deve ser verificadoA apresentação é o primeiro passo. 

Na mesma linha, identificação sem autenticação seria uma tolice. Qualquer pessoa pode inserir qualquer login existente no banco de dados – o sistema precisaria da senha. Mas alguém pode dar uma espiada na senha ou apenas adivinhá-la. Pedir mais provas que apenas o usuário real pode ter, como um código de verificação único, é melhor. 

Em contraste, a autorização sem identificação, deixando apenas a autenticação, é perfeitamente possível. Por exemplo, você pode fornecer acesso público ao seu documento no Google Drive, para que ele esteja disponível para qualquer pessoa. Nesse caso, você poderá ver um aviso informando que seu documento está sendo visualizado por um guaxinim anônimo” (um dos “animais anônimos” utilizados pelo Google para diferenciar usuários não identificados que estejam acessando um arquivo simultaneamente). Embora o guaxinim não seja identificado, o sistema o autorizou – ou seja, concedeu a ele o direito de ver o documento. 

No entanto, se você tivesse concedido o direito de leitura apenas a determinados usuários, o guaxinim teria que ser identificado (fornecendo seu login) e, em seguida, autenticado (fornecendo a senha e um código de verificação único) para obter o direito de ler o documento (autorização). 

Quando se trata de ler o conteúdo de sua caixa de correio, o Google nunca autorizará um guaxinim anônimo a ler suas mensagens. Ele teria que se apresentar como você, com seu login e senha, momento em que não seria mais um guaxinim anônimo. O Google o identificaria como você. 

Então, agora você sabe de que maneira a identificação é diferente da autenticação e da autorização. Mais um ponto importante: a autenticação é talvez o processo-chave em termos de segurança da sua conta. Se você estiver usando uma senha fraca para autenticação, um guaxinim pode sequestrar sua conta. Portanto: 

  • Se você tem dificuldades de lembrar suas senhasum gerenciador de senhas pode ajudarEle também é útil gerando novas senhas.

Dicas