Esiste un termine per l'autorizzazione prima dell'autenticazione? È anche comune?

1

Nella maggior parte degli scenari una persona identifica chi sono (autenticazione / AuthN) tramite qualcosa come un nome utente e una password. Successivamente un sistema probabilmente valuterà cosa può eseguire l'identità convalidata (autorizzazione / AuthZ) tramite qualcosa come gruppi AD o LDAP.

Qualcuno conosce i sistemi che valutano prima l'autorizzazione? Ad esempio, prima che una password sia verificata o una sessione (ad esempio un cookie) sia anche fornita, il sistema controllerebbe il nome utente e verificherà se l'identità richiesta è persino autorizzata a provare e autenticarsi. In caso contrario, non si preoccuperà nemmeno di controllare la password o creare un cookie / sessione.

Questo in realtà non si adatta allo standard dell'autorizzazione classica. Esiste un termine per questo stile di AuthN / AuthZ? Ho cercato su Google tutti i tipi di cose per provare a trovare un sistema, uno strumento, un'app, un termine o una definizione che si applica a questo caso d'uso.

    
posta ps2005 23.10.2014 - 20:17
fonte

5 risposte

4

Ho visto i sistemi che filtrano prima da un elenco di indirizzi IP consentiti, quindi per tentare anche di utilizzare un metodo di autenticazione devi provenire da un indirizzo o intervallo IP specificato. Questo è simile a ciò che stai descrivendo. Ma in generale, l'autorizzazione si riferisce alla decisione di cosa può fare un utente autenticato, e quindi logicamente arriva dopo il passaggio di autenticazione, tranne quando è consentito l'accesso anonimo, naturalmente.

    
risposta data 23.10.2014 - 20:59
fonte
1

Quello che stai descrivendo è, di fatto, l'autenticazione. È solo una descrizione più esplicita dei passaggi coinvolti nell'autenticazione di quanto si possa vedere in generale.

In particolare, i passaggi del processo di autenticazione sono identificazione e autenticazione. Prima si ottiene un identificatore (come un nome utente) e se si tratta di un identificatore valido e può essere abbinato nel sistema di identità a un account con una credenziale di autenticazione, si tenta di autenticare o abbinare le credenziali di autenticazione presentate (come una password ) alle credenziali di autenticazione memorizzate per quell'account.

Quindi potresti chiamarlo "Identificazione e Autenticazione" se vuoi, ma dal momento che entrambi i pezzi sono parte integrante dell'autenticazione corretta, non c'è davvero bisogno di essere così espliciti.

    
risposta data 23.10.2014 - 20:26
fonte
0

Immagino che ciò che è davvero confuso su questo è che va contro il tipico modo in cui le cose sono fatte. Ma se vuoi abbatterlo, diamo un'occhiata ai modi che hai proposto.

Autenticazione quindi autorizzazione

In questo modo, un utente deve dimostrare di essere quello che dice di essere (in questo caso con un nome utente e una password e, una volta eseguita, la sessione è autorizzata ad eseguire determinate funzioni. Se l'autenticazione fallisce, conosciamo l'utente non è in grado di fare nulla. Inoltre, non forniamo loro alcuna informazione sul sistema se non che la combinazione scelta tra username e password non è riuscita.

Autorizzazione, quindi autenticazione

Ho intenzione di assumere per semplicità di presentare un identificatore, (come un nome utente), per verificare se ci sono risorse autorizzate per quell'identificatore. Se c'è, chiedi una password e autenticati, e la sessione continua. Se non c'è, dici di no e continua. Il problema qui è che rivela i nomi utente in uso agli aggressori. In generale, i nomi utente sono considerati comunque insicuri, ma rivelare gli account attivi e non disabilitati a un attacco può semplificare il loro lavoro. Puoi creare un elenco completo di nomi utente eseguendo il polling di tutte le opzioni e fare le tue scelte da lì.

Questo è probabilmente il motivo per cui non lo fanno in questo modo.

    
risposta data 23.10.2014 - 21:07
fonte
0

In realtà stai portando a un punto molto interessante. Invece di vedere solo l'autenticazione come prova della tua identità (il fatto che tu sia effettivamente Bob), vedi l'autenticazione in un senso più ampio per cui prova l' autenticità di un reclamo. Ad esempio, potresti dichiarare di avere 21 anni, potresti dichiarare di essere un cittadino dell'UE, oppure potresti avere la patente di guida valida. In tutte e 3 le istanze, gli scenari di autorizzazione sarebbero:

  • possibilità di acquistare e consumare alcol negli Stati Uniti
  • possibilità di entrare nell'UE senza visto
  • capacità di guidare un'auto

Si noti che in questi 3 casi d'uso, tutti relativi all'autorizzazione, l'identità dell'utente finale non è rilevante. Piuttosto, un attributo dell'utente, un reclamo se vuoi, è ciò che conta.

Pertanto, per acquistare alcolici, non è strettamente necessario autenticarsi (cioè dimostrare di essere Bob). Devi solo dimostrare l'autenticità del reclamo che hai più di 21 anni.

Di fatto, il Regno Unito aveva questo ambizioso schema di carta d'identità nazionale che è stato demolito alcuni anni fa. In questo schema, avevano l'idea di mostrare la tua carta d'identità a un buttafuori / barista e di poter configurare la carta in modo che mostrasse solo se avevi più o meno 18 anni ma nascondeva il resto (ad esempio il tuo nome, indirizzo ...) non pertinente al caso d'uso.

In conclusione, affinché l'autorizzazione funzioni, è necessario dimostrare l'autenticità di tutti i reclami necessari per quel particolare controllo dell'autorizzazione.

    
risposta data 23.10.2014 - 23:44
fonte
0

Gestione dei cookie di Google per Amazon. L'autenticazione è valida solo per un certo periodo di tempo e, una volta scaduta, non ti consente di eseguire operazioni critiche senza ripeterla. Per prima cosa controllano se la tua identità di "bassa qualità" è autorizzata a eseguire un'operazione, e in caso contrario ti chiedono di autenticare di nuovo per ottenere una "identità strong".

Direi che UAC di Windows funziona essenzialmente nello stesso modo.

Non ho familiarità con un termine per tale approccio, ma personalmente chiamerei "just in time" o "on the need" authentication.

    
risposta data 24.10.2014 - 00:12
fonte