-
Ajouter aux favoris
Identification, authentification, autorisation – quelle est la signification de chaque terme ?
mercredi 15 juin 2022
Regardons ce que signifient les termes « identification », « authentification » et « autorisation » – et en quoi ces procédures diffèrent les unes des autres.
Identification : " Stop ! Qui vient ? "
Lorsqu’un visiteur arrive au bureau de Doctor Web, il se présente à l’agent de sécurité à l’entrée. De cette façon, le visiteur s’identifie – il décline son identité. Le gardien ne se soucie pas de la raison pour laquelle la personne est venue - au travail, ramasser un colis ou assister à une réunion. Il n’a qu’à vérifier que cette personne est sur la liste de ceux qui sont autorisés à passer.
De la même manière, vous devez d’abord vous présenter si, par exemple, vous souhaitez vous connecter à votre compte dans n’importe quel système : banque en ligne, e-mail ou réseau social. Le système demande un identifiant (login), vous le saisissez et il le reconnaît comme existant. Ceci est une procédure dite d’identification, qui vérifie si un utilisateur/login/email indiqué existe.
Le système connaît un ensemble limité d’identificateurs. Si vous avez entré une séquence de caractères, et que le système a trouvé une entrée dans sa base de données sur un utilisateur avec un tel login, l’identification est terminée. Cela signifie que la première étape pour accéder à la ressource d’information (courrier, compte de réseau social, etc.) est effectuée.
Authentification : « Présentez votre pass »
Maintenant, vous devez entrer le mot de passe pour prouver que vous n’usurpez pas l’identité d’une autre personne. Lorsque le système est sûr que celui qui connaît le login connaît également le mot de passe, il conviendra qu’il est le véritable propriétaire du compte. C’est l’authentification : la procédure qui vérifie si le mot de passe correspond à l’utilisateur.
Vous souvenez-vous de la personne qui veut entrer dans notre bureau ? Supposons que le gardien l’ait trouvé sur la liste (l’ait identifié). Il doit ensuite vérifier les documents du visiteur afin de l'authentifier.
Pour que les pirates qui, par exemple, ont espionné ou récupéré le mot de passe de votre compte ne puissent pas y accéder, le système peut vous poser une question sur quelques chose que vous seul pouvez connaître, par exemple, un code SMS à usage unique pour confirmer la connexion. Si vous le saisissez correctement, le système s’assurera enfin que vous êtes bien celui que vous prétendez être. Il s’agit d’une authentification à deux facteurs (2FA – authentification à 2 facteurs).
Pour les services sérieux, l’authentification à deux facteurs est obligatoire. Habituellement, il s’agit d’une sorte de jeton (code à usage unique avec une durée de validité limitée), qui est envoyé au téléphone mobile de l’utilisateur par SMS. Mais pas nécessairement. Il existe d’autres options pour 2FA - sous la forme de clés USB, de périphériques Bluetooth, de scanners biométriques, etc. Même si l’attaquant reçoit votre identifiant et votre mot de passe (en utilisant des logiciels malveillants, en volant votre carnet avec des mots de passe ou à en utilisant des méthodes d’ingénierie sociale et de phishing), sans ce jeton, il ne pourra pas se connecter au compte.
Autorisation, « Le passage est autorisé »
Après l’authentification, le système vous permettra de lire les e-mails dans votre boîte aux lettres. Et le visiteur autorisé à passer sera accueilli par les secrétaires. S’il est venu chercher un emploi, elles inviteront le RH, s’il vient chercher un colis - ils vont lui remettre son colis, s’il est venu pour une réunion, elles vont l'accompagner jusqu'à la salle de réunion, etc. C’est une autorisation: procédure qui accorde à l’utilisateur des droits d’accès à certaines ressources.
L’autorisation vous donne non seulement une possibilité de vous connecter à un système, mais vous permet également d’y effectuer certaines opérations : lire des documents, envoyer des courriers, modifier des données - sous l’identifiant même que vous avez présenté au tout début.
Le projet Lumières sur la sécurité recommande
- Utilisez des mots de passe forts et uniques. Ils doivent être composés de 8 caractères au minimum, contenir des chiffres, des lettres majuscules et minuscules et des caractères spéciaux (!, @, #, $ и т.д.). Si seules des lettres et des chiffres sans caractères spéciaux sont disponibles pour créer un mot de passe, il est préférable d’augmenter sa longueur afin de compenser d’une manière ou d’une autre cette limitation et de renforcer la sécurité.
- La question de la sécurité des gestionnaires de mots de passe, qui génèrent eux-mêmes des mots de passe, puis les stockent et les saisissent automatiquement lors de l’authentification, mérite une discussion séparée. En bref : chez Doctor Web, nous considérons que le meilleur gestionnaire de mots de passe est notre cerveau.
- S’il est trop difficile de garder des mots de passe complexes composés de symboles dans votre tête, vous pouvez utiliser de longues phrases sémantiques. Pirater un tel mot de passe est plus difficile qu’un court ensemble de caractères, et s’en souvenir est beaucoup plus facile.
- N’oubliez pas de mettre à jour vos mots de passe périodiquement. Idéalement, tous les 3-6 mois. Si cela n’est pas possible, au moins une fois par an.
- Activez l’authentification à deux facteurs sur tous les services qui l’autorisent. Idéalement, cela nécessite deux appareils différents. 2FA est inutile si vous devez entrer le code du SMS qui viendra sur le même Smartphone que vous utilisez pour vous connecter à la banque en ligne dans le navigateur.
- Ne partagez pas les identifiants et les mots de passe avec qui que ce soit : cela augmente le risque de compromission et de fuite de données.
#authentification_à_deux_facteurs #protection_contre_la_perte_de_données #termes #mot_de_passe #SMS #ingénierie_sociale #terminologie
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png "Partagés 0 fois")
Nous apprécions vos commentaires
Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.