identidad autenticación autorización

Identidad, autenticación y autorización: ¿iguales?

  • Identidad, autenticación y autorización son tres conceptos de Internet que deberías dominar
  • Saber de qué se trata cada uno de los sistemas de seguridad es clave para aprovecharlos
  • ¿De qué forma funcionan y qué avances recientes pueden ayudarnos a estar seguros?

En días en los que la seguridad en Internet es cada vez más preocupante para el usuario, se confunden conceptos básicos como identidad, autenticación y autorización. En este artículo queremos analizar cuál es su significado, cuáles son los alcances de cada uno de ellos y por qué deberíamos tener en claro qué implica cada uno.

Saber de qué se trata cada uno de esos sistemas de seguridad es clave para aprovecharlos al máximo, evitando agujeros de seguridad pero también pudiendo configurar una protección adecuada para todos tus equipos.

Identificación

Cuando accedes a un portal o una aplicación, lo primero que haces es iniciar sesión. Es decir, identificarte. Generalmente vas a toparte con algún tipo de identificador con correo electrónico y contraseña, aunque últimamente algunos servicios permiten identificarse asociando las cuentas de Google o Facebook. Recién cuando estés identificado podrás publicar contenidos, ver qué publican otros, hacer cambios en tu perfil, etc.

Lo lógico es que sólo el propietario de la cuenta tenga estos datos o credenciales sensibles.

Autenticación

Basada en el conocimiento

La autenticación de toda la vida supone que sólo sea el propietario de la cuenta el que tenga la información personal. Independientemente de si se usa un PIN o contraseña, éste es reemplazado por un hash y no queda almacenado. Estamos hablando de una versión cifrada del PIN o contraseña que no pueden recuperar los ciberdelincuentes.

Basada en la propiedad

La autenticación basada en la propiedad implica verificar que eres el dueño de algo que sólo tendría el propietario indicado para esa cuenta. Por ejemplo, una Bandeja de entrada de correo electrónico o un número de teléfono. Cualquiera de las plataformas que utilizan autenticación vía correo o teléfono entran dentro de este grupo.

Basadas en el tiempo

Los sistemas de autenticación, como Google Authenticator, proporcionan OTP basadas en el tiempo -TOTP –. Dejan de lado los SMS, los correos y los números telefónicos para proveer un acceso por tiempo limitado, dificultando que se caiga en situaciones de phishing que son algo más comunes en otros casos. Cada vez más firmas lo adoptan.

Basadas en dispositivos físicos

Para algunos, el único modo de estar seguros es dejar su autenticación en manos de un dispositivo físico. Normalmente, éstos pertenecen a entornos de alta seguridad como multinacionales. Dependen de una TOTP. Evidentemente hay un riesgo de robo del dispositivo físico, pero éste no suele estar expuesto a personas extrañas.

Autenticación multifactor

Es menos extraño que en ambientes delicados se apueste por la autenticación multifactor antes que por las demás. Cuantos más factores de autenticación intervienen menores son las probabilidades de que haya vulnerabilidades. Puedes hallar servicios o plataformas que te pidan una contraseña junto con otra manera de autenticarte.

Diferencia entre autenticación y autorización

Probablemente, la pregunta que te estarás haciendo a esta altura es en qué consiste la autorización.

A grandes rasgos, la autorización define a qué recursos del equipo o servicio autenticado puede acceder el usuario. Aunque un usuario pueda autenticarse en una plataforma, eso no significa que tenga todas las autorizaciones. Conviven muchos niveles de autorizaciones, y suelen depender del lugar que se ocupe en la organización.

Si la autenticación sirve para verificar la identidad, la autorización analiza y concede los permisos de cada identidad.

Es decir, la identificación sin autentificación no valdría para nada. Y en toda organización donde haya al menos dos usuarios podría haber también variados niveles de autorización. Dichos tres conceptos interactúan todo el tiempo.

Conclusiones

Más allá de la descripción de estos términos, hay algunas recomendaciones que no deberías dejar de considerar. Comenzando por crear contraseñas únicas, sólidas y complejas para todas las cuentas que tengas activas.

Si la cantidad de contraseñas te está sobrepasando, recurrir a un gestor de contraseñas puede ser buena idea. Finalmente, siempre que puedas deberías activar la autenticación de dos factores para dormir más tranquilo.

¿Cuáles son las precauciones que tomas con respecto a tus contraseñas? ¿Qué más quieres saber en este sentido?


Deja un comentario