Le due nozioni possono effettivamente essere confuse poiché per definizione un protocollo è di per sé un insieme di regole. Ma nel caso di ISO / IEC 25023 i significati sono diversi e penso che la migliore definizione potrebbe essere un esempio tangibile:
Supponiamo di utilizzare qualsiasi protocollo di autenticazione che utilizzi il metodo ID / password come hai detto: le regole di autenticazione potrebbero essere, ad esempio, un insieme di questi:
- La password deve essere sottoposta a hash
- Gli input devono essere disinfettati per evitare le iniezioni SQL
- L'ID deve essere il numero
- L'ID non deve superare le 25 cifre
- ...
Una regola di autenticazione è un insieme di misure adottate per implementare il protocollo di autenticazione nella pratica.