Hoy en día, no hay que ir al banco para hacer transferencias de dinero; no hay que ir a la compañía eléctrica para pagar la factura de la luz; no hay que ir a la estación de tren para comprar los billetes de tren… todas estas y otras cuestiones que llevan mucho tiempo se simplifican y se resuelven gracias a Internet.
Hoy en día, hay muchos ámbitos en los que la realización de tareas se logra mediante la interacción entre el ser humano y el ordenador, a través de un sitio web o una aplicación en un dispositivo móvil. Estos sistemas deben tener el nivel de seguridad adecuado y lo primero que encuentra un usuario al utilizarlos es la identificación, la autenticación y la autorización. ¿Cuál es la diferencia entre ellos? Veámoslo más de cerca.
Los Temas que Aprenderás
¿Qué es la Identificación?
Supongamos que existe un sistema o una base de datos particular que contiene una serie de parámetros (identificadores), por ejemplo:
- ID de usuario;
- Nombre completo (nombres y apellidos);
- número de teléfono;
- IMEI del dispositivo;
- dirección de correo electrónico;
- login (apodo o usuario);
- datos de la tarjeta bancaria;
- número de vehículo;
- número de serie (código de barras);
- número de pista;
- dirección del sitio web;
- etc.
Cada vez que compras algo en línea o te registras en algún sitio, obtienes un identificador, un parámetro determinado que te permite interactuar con el sistema. Suele ser único: no se solapa con otros sistemas de información, miembros o usuarios. Por lo tanto, si quieres acceder al sistema o conocer alguna información, tendrás que proporcionar uno o varios identificadores. Sobre esta base podemos decir que la identificación es el proceso de identificar (reconocer) inequívocamente a un sujeto u objeto, por su identificador, en un sistema determinado.
Para entenderlo mejor, tomemos como ejemplo una situación sencilla. Estás en casa, ocupándote de tus asuntos: viendo películas de hacking, haciendo ejercicio o leyendo un artículo sobre ciberseguridad en EsGeeks. En un momento dado oyes sonar el timbre de la puerta, dejas lo que estás haciendo y vas a contestar. Al llegar a la puerta, miras por la mirilla, pero no ves a nadie, preguntas “¿Quién es?” y la respuesta es “¡Soy yo, EL NOMBRE DEL HOMBRE!”. El nombre de la persona que está al otro lado de la puerta, en esta situación, es un identificador. La respuesta correcta o incorrecta a la pregunta es un proceso de identificación.
¿Qué es la Autentificación?
Para evitar el acceso no autorizado al sistema y a los datos, la identificación por sí sola no es suficiente, por lo que se recurre a la autenticación, y en los últimos tiempos, la autenticación de dos factores es cada vez más importante. El uso de una u otra característica en el sistema depende de la fiabilidad, la seguridad y el coste de implementación requeridos.
La noción de autentificación implica la autentificación de un identificador o de una persona (objeto o sujeto). Hay tres factores principales de autentificación para esto:
- Conocimiento (algo que sólo nosotros sabemos) – contraseña, PIN, clave de imagen, etc;
- Posesiones (algo que sólo nosotros tenemos) – dispositivo móvil, tarjeta inteligente, llave, etc;
- Propiedades (lo que es nuestra parte inherente) – biometría (huellas dactilares y palmares, voz, retina, etc.).
Para entenderlo de forma general, veamos los ejemplos anteriores. En el primer caso, cuando se presenten invitados no deseados y sólo se escuche un nombre en respuesta a la pregunta “¿Quién es?”, se tratará de una identificación. A veces no es suficiente, por lo que si se pide alguna información (el factor de autenticación) que sólo la persona en cuestión conoce, por ejemplo: “¿Cuál es su nombre?, ¿Qué edad tienes?, ¿En qué parte del cuerpo tienes un lunar?, etc.”, la respuesta de esa persona es la autentificación.
¿Qué es la Autorización?
Conceder acceso a un sistema, estar presente en él y realizar determinadas acciones es una autorización. La noción implica que una persona que ha sido autorizada tiene pleno derecho a realizar acciones dentro de sus privilegios y facultades, para ello se pueden aplicar tres categorías principales en un sistema de información:
- Control de acceso selectivo: el acceso a la información y la realización de determinadas acciones se concede a un usuario o grupo de usuarios específico;
- Gestión de mandatos: conceder y limitar el acceso a la información en función de su clasificación. Las acciones de los usuarios están reguladas por niveles de acceso o posición de los usuarios;
- Acceso basado en roles: una forma flexible de diferenciación de acceso que combina las dos anteriores y que varía en función de la situación, en un momento determinado.
Si nos fijamos en los ejemplos anteriores, en la primera situación, si la persona está identificada y autentificada y se le abre la puerta para que acceda al piso, esto se consideraría una autorización.
Tabla de Comparación
. | Identificación | Autenticación | Autorización |
---|---|---|---|
Definición | Es un atributo que identifica o reconoce inequívocamente a un sujeto u objeto. | Verifica la identidad de la persona a la que se va a dar acceso al sistema. | Comprueba los privilegios o permisos de la persona para acceder a los recursos. |
Incluye el proceso de | No se realiza ninguna verificación aquí. | Verificación de las credenciales de los usuarios | Validación de las autorizaciones de los usuarios |
Orden | La autenticación se realiza en un primer paso. | La autenticación se realiza en un segundo paso. | La autorización suele hacerse después de la autenticación. |
La Relación entre Identificación, Autenticación y Autorización
“…encadenados por una única cadena unida por un único objetivo…”.
Los tres procesos mencionados interactúan y no existen unos sin otros. Primero se genera una identidad, luego se realiza la autenticación y la autorización y, por último, se disfruta de todas las prestaciones y beneficios del sistema, dentro de los límites de su autoridad.
En Internet, en un sitio web, se vería algo así:
- Identificación: pasar por el proceso de registro;
- Autenticación: utilizas tu nombre de usuario y contraseña;
- Autorización: utilizas los recursos y las instalaciones que se te proporcionan.
Por cierto, vas directamente a la práctica: regístrate aquí en el sitio web de Binar10s, luego entra con tu nombre de usuario y contraseña y utiliza las facilidades que sólo tienen los usuarios, por ejemplo, para preguntar y resolver dudas relacionadas a la informática y ciberseguridad.