Ir para o conteúdo

Discuss~ao:Curso Livre de Segurança de Sistemas/Tecnologias e Soluç~oes de Proteç~ao

Adicionar hiperligações
De Wikiversidade

Autenticação e autorização

A autenticação verifica a identidade digital do usuário de um sistema, a autorização garante que um usuário autenticado somente tenha acesso aos recursos autorizados.

A autenticação é uma referência ao procedimento que confirma a validade do usuário que realiza a requisição de um serviço. Este procedimento é baseado na apresentação de uma identidade junto com uma ou mais credenciais. As senhas e os certificados digitais são exemplos de credenciais.

Processo de determinar se alguém ou alguma coisa é, de fato, quem ou o que declarou ser. Ela ocorre em duas etapas:

1. Identificação: apresentar um identificador (pode ser o mesmo ou não usado pelo SO para as atividades de controle de acesso).

2. Verificação: apresentar ou gerar informações de identificação que corroboram o vínculo entre a entidade e o identificador.

Entretanto para o usuário há diversas autenticações que são possíveis:

LDAP: serviço de diretório X.500;

Kerberos: autenticação centralizada usando criptografia simétrica (KDC);

TLS: autenticação de servidor via certificado de chave pública (permite também autenticação de cliente);

SSH: também usa chaves digitais públicas para realizar identificação de indivíduos e máquinas;

Sistemas de Gerenciamento de Identidade (IDM ou IDAM);

NIST SP 800-63B: Digital Identity Guidelines - Authentication and Lifecycle Management;

Os sistemas operacionais usam funções de derivação (KDF) de chaves a partir das senhas dos usuários, executando centenas/milhares de operações

Já a autorização é a concessão de uso para determinados tipos de serviço, dada a um usuário previamente autenticado, com base na sua identidade, nos serviços que requisita e no estado atual do sistema. A autorização pode ser baseada em restrições, que são definidas por um horário de permissão de acesso ou localização física do usuário, por exemplo. A autorização determina a natureza do serviço cujo acesso é permitido a um usuário. Como exemplos de tipos de serviços temos: filtragem de endereço IP, atribuição de endereço, atribuição de rota, serviços diferenciados por QoS, controle de banda/gerenciamento de tráfego, tunelamento compulsório para determinado endpoint e criptografia.

Obtida de "https://pt.wikiversity.org/w/index.php?title=Discuss~ao:Curso_Livre_de_Segurança_de_Sistemas/Tecnologias_e_Soluç~oes_de_Proteç~ao&oldid=129803"