Es el pan de cada día de todos. Constantemente nos identificamos, autentificamos y autorizamos en varios sistemas. Y, sin embargo, muchas personas confunden el significado de estas palabras, a menudo usando los términos identificación o autorización cuando, de hecho, se refieren a autentificación.
No es nada grave siempre que solo se trate de una conversación diaria y ambas partes comprendan de qué están hablando. Sin embargo, siempre es mejor conocer el significado de las palabras que usas y, tarde o temprano te encontrarás con un geek que te volverá loco con aclaraciones, ya sea autorización contra autentificación, esto o aquello.
Entonces, ¿qué significan los términos identificación, autentificación y autorización y en qué se diferencian estos procesos entre sí?:
- Identificación es el acto de indicar la identidad de una persona o cosa.
- Autentificación es el acto de probar la identidad de un usuario del sistema informático (por ejemplo, comparando la contraseña introducida con la contraseña almacenada en la base de datos).
- Autorización es la función de especificar los derechos o privilegios de acceso a los recursos.
Podrás entender por qué las personas que no están familiarizadas con los conceptos pueden confundirlos.
Un mapache nos ayuda a explicarte la identificación, autentificación y autorización
Ahora, para simplificar, vamos a usar un ejemplo. Supongamos que un usuario desea iniciar sesión en su cuenta de Google. Google es un buen ejemplo, ya que el proceso de inicio de sesión está claramente dividido en varios pasos básicos:
- Primero, el sistema solicita un inicio de sesión. El usuario introduce uno y el sistema lo reconoce como un inicio de sesión real. Esta es la identificación.
- Después, Google solicita una contraseña. El usuario la introduce y, si coincide con la contraseña almacenada, el sistema acepta que el usuario realmente parece ser real. Esta es la autentificación.
- En la mayoría de los casos, Google también solicita un código de verificación único enviado por mensaje de texto o una aplicación de autentificación. Si el usuario lo introduce correctamente, el sistema finalmente acepta que se trata del verdadero propietario de la cuenta. Esta es la autentificación de dos factores.
- Finalmente, el sistema le concede al usuario el derecho a leer los mensajes en su bandeja de entrada y demás. Esta es una autorización.
La autentificación sin identificación previa no tiene sentido; no tendría sentido comenzar a verificar antes de que el sistema supiera de quién es la autenticidad. Uno tiene que presentarse primero.
En esta misma línea, la identificación sin autentificación sería una tontería. Cualquiera puede introducir un inicio de sesión que exista en la base de datos; por lo que el sistema necesita también la contraseña. Pero alguien podría echar un vistazo a la contraseña o simplemente adivinarla. Es mejor pedir más pruebas que solo el usuario real puede tener, como un código de verificación de un solo uso.
Por el contrario, la autorización sin identificación, por no hablar de la autentificación, es bastante posible. Por ejemplo, puedes proporcionar acceso público a un documento en Google Drive para que esté disponible para cualquier persona. En ese caso, es posible que te encuentres con un aviso que dice que un mapache anónimo está viendo tu documento. Aunque el mapache es anónimo, el sistema lo ha autorizado, es decir, le ha otorgado el derecho de ver el documento.
Sin embargo, si le hubieras otorgado el derecho de lectura solo a ciertos usuarios, el mapache habría tenido que identificarse (proporcionando su inicio de sesión) y autentificarse (proporcionando la contraseña y un código de verificación único) para obtener el derecho a leer el documento (autorización).
En cuanto al contenido de tu bandeja de entrada, Google nunca autorizará a un mapache anónimo a leer tus mensajes. El mapache tendría que hacerse pasar por ti, con tu nombre de usuario y contraseña, momento en el que ya no sería un mapache anónimo; Google lo identificaría como si fueras tú.
Ahora ya sabes en qué se diferencia la identificación de la autentificación y la autorización. Y, otra cosa muy importante: la autentificación probablemente sea el proceso clave en términos de seguridad de tu cuenta. Si está utilizando una contraseña débil para la autentificación, un mapache podría secuestrar tu cuenta. Por lo tanto:
- Crea contraseñas sólidas y únicas para todas tus cuentas.
- Si te cuesta recordar tus contraseñas, un gestor de contraseñas lo hará por ti. También te puede ayudar a generarlas.
- Activa la autentificación de dos factores, con códigos de verificación únicos enviados a mensajes de texto o una aplicación de autentificación, para cada servicio que la admita. De lo contrario, algún mapache anónimo que se entere de tu contraseña podrá leer tu correspondencia secreta o hacer algo aún más desagradable.