Apa perbedaan antara otorisasi dan autentikasi?

Keamanan menjadi perhatian penting dalam lanskap digital, dengan pengguna selalu berusaha untuk tetap terdepan dalam lanskap ancaman yang terus berkembang. Peretasan , phishing , dan malware hanyalah beberapa dari sekian banyak ancaman siber yang harus terus-menerus dilindungi oleh pengguna. Namun, ada banyak langkah keamanan yang dapat diterapkan pengguna untuk menjaga keamanan data dan perangkat mereka.

Banyak bisnis, organisasi, dan penyedia layanan juga menerapkan langkah-langkah untuk menjaga keamanan jaringan, sistem, dan data pelanggan mereka. Di antaranya adalah dua proses verifikasi identitas yang dikenal sebagai autentikasi dan otorisasi. Meskipun kedua istilah tersebut sering digunakan secara bergantian, keduanya memiliki fungsi yang sedikit berbeda, yang berarti keduanya harus digunakan bersama untuk menawarkan tingkat keamanan tertinggi. Integrasi ini memperkuat bahwa meskipun metode autentikasi maju pada tahun 2024, otorisasi harus berkembang agar sesuai , memastikan bahwa identitas yang aman dan terverifikasi memiliki izin yang tepat dalam sistem. Memahami nuansa autentikasi vs otorisasi penting untuk melindungi pengguna di dunia keamanan siber yang kompleks.

Apa itu autentikasi?

Dalam keamanan siber, autentikasi – terkadang disebut AuthN – adalah proses yang memungkinkan pengguna memverifikasi identitas mereka atau identitas perangkat mereka. Hampir semua perangkat elektronik atau layanan daring memerlukan beberapa jenis autentikasi untuk mengakses sistem atau data yang aman. Biasanya, hal ini – mungkin – hanya dimiliki oleh pengguna yang terverifikasi. Misalnya, saat masuk ke akun email atau profil media sosial, pengguna mungkin diminta memasukkan nama pengguna dan kata sandi. Di balik layar, sistem host kemudian memverifikasi kredensial masuk ini dengan kredensial yang tersimpan di basis data amannya – jika cocok, sistem akan menganggap pengguna tersebut valid dan memberikan akses ke akun tersebut.

Pada dasarnya, autentikasi adalah bentuk verifikasi identitas dan menawarkan lapisan keamanan untuk sistem, akun, dan perangkat lunak. Autentikasi memastikan bahwa hanya pengguna yang berwenang yang dapat mengakses data sensitif atau sumber daya lainnya.

Mengapa autentikasi penting?

Autentikasi keamanan merupakan bagian krusial dari keamanan siber karena berfungsi untuk memverifikasi bahwa pengguna memang benar-benar pengguna yang mereka akui. Autentikasi dapat digunakan dengan berbagai cara untuk mencegah akses tidak sah ke berbagai hal seperti jaringan perusahaan dan akun pengguna. Ada banyak alasan mengapa autentikasi bermanfaat bagi individu dan perusahaan, termasuk:

• Melindungi data pribadi dan perusahaan yang sensitif.
• Mengurangi risiko pelanggaran data dan masalah lebih lanjut seperti pencurian identitas atau penipuan keuangan .
• Memastikan hanya pengguna yang diberi wewenang khusus yang dapat mengakses data dan akun.
• Mempertahankan catatan akses yang akurat sehingga jelas siapa yang mengakses apa dan kapan.
• Mengamankan jaringan, sumber daya yang dilindungi, dan perangkat dari pelaku ancaman.

Jenis-jenis autentikasi

Untuk memahami definisi autentikasi pengguna dengan benar, penting untuk mengetahui seperti apa prosesnya. Autentikasi keamanan mengharuskan pengguna untuk lulus verifikasi identitas dengan menyajikan faktor autentikasi yang benar. Ini mungkin:

• Faktor pengetahuan : sesuatu yang diketahui pengguna, seperti kata sandi.
• Faktor kepemilikan : sesuatu yang dimiliki pengguna, biasanya ponsel atau token keamanan yang dapat digunakan untuk menerima kata sandi satu kali (OTP) atau membuat kode akses.
• Faktor inherensi : sesuatu yang secara fisik unik bagi pengguna – ini biasanya biometrik seperti sidik jari atau pengenalan wajah.
• Faktor lokasi : dalam hal ini, verifikasi didasarkan pada lokasi pengguna.
• Faktor waktu : di sini, verifikasi hanya dapat terjadi pada waktu-waktu tertentu yang ditentukan.

Dalam praktiknya, contoh autentikasi mungkin terlihat seperti:

• Kata Sandi : Ini adalah bentuk verifikasi identitas yang paling umum dan digunakan di mana-mana untuk masuk ke perangkat dan akun – namun, ini umumnya merupakan salah satu protokol autentikasi yang paling tidak aman, itulah sebabnya para ahli menyarankan praktik terbaik seperti mengubah kata sandi secara berkala dan menggunakan pengelola kata sandi yang aman .
• Kata sandi sekali pakai : Kata sandi yang dibuat sistem ini biasanya dikirimkan ke pengguna melalui email atau pesan teks untuk memungkinkan mereka masuk dengan aman ke akun atau perangkat sekali – Anda akan sering melihat ini digunakan dalam transaksi perbankan, misalnya.
• Token : Bentuk autentikasi ini memberikan akses ke kode yang dihasilkan dari perangkat terenkripsi .
• Autentikasi biometrik : Bentuk verifikasi identitas ini menggunakan faktor inheren – biasanya wajah atau sidik jari pengguna – untuk memberikan akses ke perangkat atau akun – ini umumnya digunakan pada ponsel pintar dan laptop sekarang.
• Autentikasi multifaktor : Ini memerlukan setidaknya dua faktor autentikasi – seperti kata sandi dan biometrik - untuk memberi pengguna akses.
• Autentikasi berbasis sertifikat : Untuk ini, pengguna menawarkan verifikasi identitas dengan sertifikat digital yang menggabungkan kredensial mereka dengan tanda tangan digital otoritas sertifikasi pihak ketiga – sistem autentikasi memeriksa validitas sertifikat dan kemudian menguji perangkat pengguna untuk mengonfirmasi identitas.
• Autentikasi perangkat : Metode autentikasi keamanan ini secara khusus digunakan untuk memverifikasi perangkat seperti ponsel dan komputer sebelum memberi mereka akses ke jaringan atau layanan – ini sering digunakan bersama metode lain seperti autentikasi biometrik.
• Aplikasi autentikasi : Beberapa bisnis dan organisasi sekarang menggunakan aplikasi pihak ketiga ini untuk menghasilkan kode keamanan acak untuk mengakses sistem, akun, dan jaringan.
• Single Sign-on (SSO) : Ini memungkinkan pengguna untuk masuk ke beberapa aplikasi melalui satu penyedia pusat – misalnya, masuk ke Google memberikan akses ke Gmail, Google Drive, dan YouTube.

Bagaimana autentikasi digunakan?

Autentikasi keamanan digunakan dalam banyak cara setiap hari. Secara umum, bisnis dan organisasi yang menggunakan protokol autentikasi untuk mengatur kontrol akses internal dan eksternal. Ini membatasi bagaimana pengguna dapat mengakses jaringan, sistem, dan layanan mereka. Rata-rata orang akan menggunakan banyak contoh autentikasi setiap hari untuk menjalankan fungsi tertentu, seperti:

• Menggunakan kredensial masuk untuk mengakses sistem perusahaan, email, basis data, dan dokumen di tempat kerja, terutama saat bekerja jarak jauh.
• Menerapkan autentikasi biometrik untuk membuka kunci dan menggunakan ponsel pintar atau laptop mereka.
• Menggunakan autentikasi multifaktor untuk masuk ke aplikasi perbankan online dan menjalankan transaksi keuangan.
• Masuk ke situs e-commerce dengan nama pengguna dan kata sandi.
• Menggunakan kata sandi satu kali untuk mengotorisasi tagihan kartu kredit saat melakukan pembelian online
• Menggunakan token, sertifikat, atau kata sandi untuk mengakses catatan kesehatan elektronik.

Apa itu otorisasi?

Meskipun orang sering mencampuradukkan autentikasi dengan otorisasi, kedua proses ini memiliki fungsi yang berbeda. Setelah sistem memverifikasi identitas pengguna dengan autentikasi keamanan, otorisasi – terkadang disebut 'AuthZ' - mengambil alih untuk mendikte apa yang dapat dilakukan pengguna sekali dalam sistem atau akun. Pada dasarnya, proses otorisasi mengontrol sumber daya apa yang dapat diakses oleh pengguna tertentu – seperti berkas dan basis data – dan operasi apa yang dapat mereka jalankan dalam sistem atau jaringan. Misalnya, dalam jaringan perusahaan, administrator TI mungkin diberi wewenang untuk membuat, memindahkan, dan menghapus berkas, sementara karyawan rata-rata mungkin hanya dapat mengakses berkas pada sistem.

Jenis-jenis otorisasi

Secara umum, otorisasi membatasi seberapa banyak akses yang dimiliki pengguna terhadap data, jaringan, dan sistem. Namun, ada beberapa cara berbeda untuk menjalankannya. Berikut adalah beberapa contoh otorisasi yang paling sering digunakan dalam keamanan siber:

• Discretionary Access Control (DAC) memungkinkan administrator untuk menetapkan setiap pengguna tertentu akses yang sangat spesifik berdasarkan verifikasi identitas.
• Mandatory Access Control (MAC) mengontrol otorisasi dalam sistem operasi, mengelola izin untuk berkas dan memori, misalnya.
• Kontrol Akses Berbasis Peran (RBAC) menerapkan kontrol yang dibangun dalam model DAC atau MAC , mengonfigurasi sistem untuk setiap pengguna tertentu.
• Kontrol Akses Berbasis Atribut (ABAC) menggunakan atribut untuk menerapkan kontrol berdasarkan kebijakan yang telah ditentukan – izin ini dapat diberikan kepada pengguna atau sumber daya tertentu, atau di seluruh sistem.
• Daftar Kontrol Akses (ACL) memungkinkan administrator untuk mengontrol pengguna atau layanan mana yang dapat mengakses lingkungan tertentu atau membuat perubahan di dalamnya.

Bagaimana otorisasi digunakan?

Seperti halnya autentikasi, otorisasi sangat penting bagi keamanan siber karena memungkinkan bisnis dan organisasi untuk melindungi sumber daya mereka dengan beberapa cara. Oleh karena itu, para ahli menyarankan agar setiap pengguna menerima tingkat izin terendah yang diperlukan untuk kebutuhan mereka. Berikut adalah beberapa cara di mana otorisasi dapat menawarkan langkah-langkah keamanan yang bermanfaat:

• Mengizinkan pengguna yang berwenang untuk mengakses fitur-fitur aman dengan aman – misalnya, untuk memungkinkan nasabah perbankan mengakses rekening masing-masing di aplikasi seluler.
• Mencegah pengguna dari layanan yang sama mengakses rekening satu sama lain dengan menggunakan izin untuk membuat partisi di dalam sistem.
• Menggunakan pembatasan untuk membuat tingkat akses yang berbeda bagi pengguna Perangkat Lunak sebagai Layanan (SaaS) – memungkinkan platform SaaS untuk menawarkan tingkat layanan tertentu untuk akun gratis dan tingkat layanan yang lebih tinggi untuk akun premium.
• Memastikan pemisahan antara pengguna internal dan eksternal sistem atau jaringan dengan izin yang sesuai.
• Membatasi kerusakan akibat pelanggaran data – misalnya, jika peretas memperoleh akses ke jaringan perusahaan melalui akun karyawan dengan izin rendah, kecil kemungkinan mereka akan dapat mengakses informasi sensitif.

Autentikasi vs otorisasi: Apa persamaan atau perbedaannya?

Penting untuk memahami persamaan dan perbedaan dalam autentikasi vs otorisasi. Keduanya memiliki peran penting dalam verifikasi identitas pengguna dan menjaga keamanan data dan sistem, tetapi ada juga beberapa perbedaan utama dalam hal yang mereka lakukan, cara kerjanya, dan cara terbaik penerapannya.

Perbedaan antara otorisasi dan autentikasi

Beberapa perbedaan utama antara otorisasi dan autentikasi adalah:

• Fungsi : autentikasi pada dasarnya adalah verifikasi identitas, sedangkan otorisasi menentukan sumber daya apa yang dapat diakses pengguna.
• Operasi : Autentikasi mengharuskan pengguna untuk memberikan kredensial untuk verifikasi identitas; otorisasi adalah proses otomatis yang mengelola akses pengguna sesuai dengan kebijakan dan aturan yang telah ditetapkan sebelumnya.
• Waktu : Autentikasi adalah langkah pertama dalam proses, terjadi ketika pengguna pertama kali mengakses sistem; otorisasi terjadi setelah identitas pengguna berhasil diverifikasi.
• Berbagi informasi : autentikasi memerlukan informasi dari pengguna untuk memverifikasi identitas mereka; otorisasi menggunakan token untuk memverifikasi bahwa identitas pengguna telah diautentikasi dan menerapkan aturan akses yang sesuai.
• Standar dan metode : Autentikasi biasanya menggunakan protokol OpenID Connect (OIDC) dan kata sandi, token, atau biometrik untuk verifikasi; otorisasi sering menggunakan OAuth 2.0, dan metode seperti Role-Based Access Control (RBAC).

Kesamaan antara autentikasi dan otorisasi

Autentikasi dan otorisasi keduanya merupakan bagian penting dari keamanan jaringan dan manajemen akses, sehingga memiliki banyak kesamaan. Kedua proses:

• Digunakan untuk menjaga keamanan sistem, jaringan, dan data.
• Beroperasi secara berurutan, dengan autentikasi terlebih dahulu melakukan verifikasi identitas sebelum otorisasi menetapkan izin akses.
• Menentukan manajemen pengguna untuk memastikan hanya pengguna yang berwenang yang dapat mengakses sumber daya yang relevan.
• Menggunakan protokol yang serupa untuk menjalankan fungsinya.

Kebutuhan akan autentikasi dan otorisasi dalam keamanan siber

Karena autentikasi dan otorisasi bekerja secara berbeda untuk menawarkan lapisan keamanan terpisah untuk jaringan, data, dan sumber daya lainnya, keduanya perlu digunakan bersama-sama untuk menciptakan lingkungan yang sepenuhnya aman. Kedua proses tersebut diperlukan untuk menjaga data pengguna tetap terpisah dan aman. Autentikasi meminta pengguna untuk menyelesaikan proses verifikasi identitas untuk mengakses sistem, dan setelah ini, otorisasi menentukan sistem dan data apa yang dapat diakses pelanggan – biasanya hanya milik mereka sendiri.

Autentikasi penting karena :

• Mengamankan akses untuk setiap pengguna, menjaga data mereka tetap aman.
• Menyederhanakan manajemen pengguna dengan Single Sign-On (SSO), memungkinkan mereka mengakses berbagai layanan cloud dengan satu set kredensial login.
• Menawarkan pengalaman pengguna yang lebih baik, seringkali dengan menawarkan metode verifikasi yang sederhana.

Otorisasi penting karena :

• Menerapkan prinsip hak istimewa terkecil sehingga pengguna hanya memiliki akses ke sumber daya yang diperlukan untuk peran mereka.
• Memungkinkan kontrol akses dinamis sehingga administrator dapat mengubah kebijakan akses secara real-time, menawarkan keamanan yang lebih fleksibel.

Artikel Terkait :

• Melindungi data Anda secara online dengan pengelola kata sandi
• Cara melindungi diri Anda dan data Anda

Produk dan Layanan Terkait :

• Kaspersky Premium Antivirus
• Kaspersky Password Manager
• Unduh Kaspersky Premium Antivirus dengan Uji Coba Gratis 30 Hari