ru

O que é autorização e controle de acesso?

2 декабря 2015
Автор Dave Piscitello

null

Você já deve conhecer o conceito de autenticação, a maneira como os sistemas de segurança desafiam você a provar que é o cliente, usuário ou funcionário que diz ser usando uma senha, um token ou outra forma de credencial. Talvez você não conheça o conceito de autorização e outro termo relacionado, controle de acesso.

Autorização

A autenticação verifica sua identidade e permite a autorização. Uma política de autorização determina o que sua identidade pode fazer. Por exemplo, qualquer cliente de um banco pode criar e usar uma identidade (por exemplo, um nome de usuário) para iniciar sessão no serviço on-line desse banco, mas a política de autorização da instituição deve garantir que somente você tenha autorização para acessar sua conta on-line uma vez que sua identidade seja verificada.

A autorização pode ser aplicada em níveis mais detalhados que um site ou a intranet da empresa. Sua identidade individual pode ser incluída em um grupo de identidades que compartilham uma política de autorização comum. Por exemplo, imagine um banco de dados que contém as compras de um cliente, seus dados pessoais e as informações do cartão de crédito. Um comerciante poderia criar uma política de autorização para esse banco de dados para permitir que um grupo de marketing tenha acesso a todas as compras do cliente, mas não aos dados pessoais e às informações do cartão de crédito. Dessa forma, o grupo de marketing poderia identificar produtos populares para promover ou colocar em oferta.

Ao usar redes sociais, criamos políticas de autorização de forma implícita. O Facebook, o LinkedIn ou o Twitter podem autenticar centenas de milhões de usuários, mas em certa medida podemos decidir se e como esses usuários interagem conosco. Isso também acontece quando você compartilha arquivos, vídeos ou fotos em sites como Google Docs, Dropbox, Instagram, Pinterest ou Flick, ou mesmo quando cria uma pasta "compartilhada" em seu laptop.

Controles de acesso

As políticas de autorização definem o que uma identidade ou um grupo podem acessar, e os controles de acesso, também conhecidos como permissões ou privilégios, são os métodos que usamos para aplicar essas políticas. Vamos ver alguns exemplos:

  • Nas configurações do Facebook – Quem pode ver o que eu compartilho? Quem pode entrar em contato comigo? Quem pode me procurar? – Permitimos ou negamos o acesso a nossas publicações no Facebook aos usuários ou ao público.
  • No Google Docs, as configurações permitem definir privilégios de edição ou compartilhamento para os documentos usados de forma colaborativa.
  • As configurações do Flickr permitem criar ou compartilhar álbuns ou imagens com familiares e amigos ou torná-los públicos com diferentes licenças e direitos de publicação (por exemplo Creative Commons).
  • Os compartilhamentos e as permissões no MacOS ou a guia Segurança na caixa de diálogo Propriedades do arquivo no Windows permitem definir privilégios de acesso para um determinado arquivo ou pasta.

A configuração correta dos privilégios de acesso é um componente crítico da proteção das informações contra o acesso não autorizado e da proteção dos sistemas contra violação, mas também é um assunto delicado. Em nossa próxima publicação, vamos analisar ataques que agentes mal-intencionados ou criminosos podem realizar quando os controles de acesso não são adequados para evitar o uso não autorizado, a divulgação involuntária ou o escalonamento de privilégios.

Authors

Dave Piscitello