Aunque a menudo se usan de manera indistinta, la autenticación y la autorización son dos conceptos diferentes cuya correcta combinación garantiza una buena gestión del control de acceso a sistemas y recursos.
Básicamente:
- La autenticación comprueba la identidad de un individuo.
- La autorización entra en juego después de una autenticación exitosa y determina los derechos de acceso a los recursos en función de la identidad de este individuo.
Por ejemplo:
Cuando entras en una plataforma de streaming mediante nombre de usuario y contraseña, te estás autenticando.
La información que has facilitado se compara con una base de datos almacenada en este sitio y si coincide, se te concede acceso al sistema.
Este proceso de autenticación es visible en todo momento: puedes ver lo que estás introduciendo en el formulario de acceso y cambiar estas credenciales cuando haga falta.
Pero una vez que estás dentro del sistema es posible que no puedas acceder a ciertos contenidos porque tu suscripción solamente te da derecho a funciones básicas.
Ahí es donde entra la autorización.
A diferencia de la autenticación este conjunto de configuraciones internas que otorgan o deniegan permisos no son visibles para ti.
Tampoco puedes cambiarlas.
¿Por qué son importantes la autenticación y la autorización?
El objetivo principal de la autenticación es prevenir los accesos no autorizados a sistemas, aplicaciones y redes.
La forma más común de verificación de identidad es un nombre de usuario seguido de una la contraseña junto a la autenticación en múltiples factores.
Pero existen otros métodos como por ejemplo:
- Autenticación biométrica.
- Autenticación basada en certificados digitales.
- Dispositivos de hardware que generan códigos o almacenan claves criptográficas (Tokens).
La función de la autorización es definir los privilegios y roles de cada persona basados en su identidad verificada: lo ideal es otorgar el nivel más bajo de permisos. Solo los estrictamente necesarios para realizar una tarea específica.
Por ejemplo un enfermero mediante usuario y contraseña puede tener acceso a las historias clínicas de los pacientes para hacer su trabajo pero carecer de permiso para cambiar los tratamientos.
La autenticación y la autorización están destinadas a interactuar. Pero deben implementarse por separado.
De esta manera, se puede establecer claramente dónde termina la verificación de identidad y dónde comienzan los permisos para escalar privilegios o utilizar herramientas y recursos.
Una buena gestión del proceso de autenticación, pero con unas reglas de acceso demasiado permisivas no es el escenario ideal para mantener los datos seguros.
