Autentizace a autorizace

Autentizace slouží k jednoznačnému určení uživatele, který přistupuje k systému. Cílem autentizace je zajistit, že systém přesně ví, s jakým uživatelem komunikuje, kdo to je.

 

Každý bezpečný systém by měl podporovat autentizaci uživatele. Zpravidla se tak děje pomocí vnitřních mechanismů systému, nejčastěji databázového serveru. V databázi jsou vytvořeni uživatelé s přidělenými (i jimi samými) hesly, která bývají šifrována. Takový uživatel se pak k systému přihlašuje pomocí svého jména a odpovídajícího hesla. Není to však zdaleka jediná možnost – k autentizaci mohou být použity i speciální aplikace (například bezpečnostní či adresářové servery), hardwarová zařízení (čipové karty) či služby operačního systému (je-li uživatel platně přihlášen do operačního systému, má umožněn přístup i k dané aplikaci).

 

Bezpečnostní správce (administrátor) by měl mít možnost právo (oprávnění) pro připojení k systému nejen přidělit, ale také odebrat či časově (případně jinak – například počtem přihlášení za aktuální měsíc) omezit jeho platnost. Výhodou dále je, umožní-li systém definovat akce, které se mají vykonat při nesplnění autentizačních podmínek (kontaktovat bezpečnostního správce – například zasláním elektronické pošty či zprávy na operátor, zablokovat uživatelský účet nebo odebrat oprávnění přístupu ke chráněným datům či vybraným činnostem).

 

Samozřejmostí by mělo být vygenerování záznamu do sledovacích protokolů (stejně jako v případě porušení ostatních bezpečnostních mechanismů). Nelze jednoznačně konstatovat, který způsob autentizace a reakce na selhání je nejlepší – vždy záleží na konkrétní situaci.

Autorizací se rozumí proces ověření přístupových oprávnění uživatele vstupující do informačního systému. Tento proces ve většině případů navazuje na proces autentizace. Podstatou autorizace je ověřit, zda daný uživatel má oprávnění provést příslušnou akci, například vložení nového záznamu do seznamu dodavatelů apod.

 

V návaznosti na zvolenou bezpečnostní strategii bývají oprávnění na provedení těchto akcí rozdělena mezi více subjektů – nejčastěji mezi administrátory, bezpečnostní správce a běžné uživatele.