¿Hay un término para Autorizar antes de Autenticarse? ¿Es incluso común?

1

En la mayoría de los escenarios, una persona identifica quiénes son (autenticación / Autenticación) a través de algo como un nombre de usuario y una contraseña. Posteriormente, es probable que un sistema evalúe qué puede realizar esa identidad validada (autorización / AuthZ) a través de algo como AD o grupos LDAP.

¿Alguien sabe de sistemas que evalúen primero la autorización? Por ejemplo, antes de que se verifique una contraseña o incluso se proporcione una sesión (por ejemplo, una cookie), el sistema verificará el nombre de usuario y verá si la identidad reclamada puede probar y autenticarse. Si no es así, ni siquiera se molestará con la verificación de la contraseña o la creación de una cookie / sesión.

Esto realmente no encaja en el molde de la autorización clásica. ¿Hay un término para este estilo de AuthN / AuthZ? He estado buscando en Google todo tipo de cosas para intentar encontrar un sistema, herramienta, aplicación, término o definición que se aplique a este caso de uso.

    
pregunta ps2005 23.10.2014 - 20:17
fuente

5 respuestas

4

He visto sistemas que filtran primero por una lista de direcciones IP permitidas, por lo que, para intentar incluso utilizar un método de autenticación, debe provenir de un rango o dirección IP específicos. Esto es similar a lo que estás describiendo. Pero en general, la autorización se refiere a decidir qué puede hacer un usuario autenticado, y por lo tanto, lógicamente viene después del paso de autenticación, excepto cuando se permite el acceso anónimo, por supuesto.

    
respondido por el Dave Mulligan 23.10.2014 - 20:59
fuente
1

Lo que estás describiendo es, de hecho, autenticación. Es solo una descripción más explícita de los pasos involucrados en la autenticación de lo que generalmente se puede ver.

Específicamente, los pasos en el proceso de autenticación son la identificación y la autenticación. Primero obtiene un identificador (como un nombre de usuario) y si es un identificador válido y se puede hacer coincidir en el sistema de identidad con una cuenta con una credencial de autenticación, intenta autenticar o igualar la credencial de autenticación presentada (como una contraseña). ) a la credencial de autenticación almacenada para esa cuenta.

Por lo tanto, puede llamar a esto "Identificación y autenticación" si lo desea, pero dado que ambas partes son parte integral de la autenticación exitosa, realmente no hay necesidad de ser tan explícitos.

    
respondido por el Xander 23.10.2014 - 20:26
fuente
0

Google para la gestión de cookies de Amazon. La autenticación solo es válida durante un cierto período de tiempo y, una vez que caduque, no le permitirán realizar operaciones críticas sin volver a realizarla. Es decir, primero verifican si su identidad de "baja calidad" está autorizada para realizar una operación y, de lo contrario, le piden que se autentique nuevamente para obtener una "identidad fuerte".

Yo diría que Windows UAC esencialmente funciona de la misma manera.

No estoy familiarizado con un término para tal enfoque, pero yo mismo lo llamaría "justo a tiempo" o "en la necesidad" de autenticación.

    
respondido por el mkalkov 24.10.2014 - 00:12
fuente
0

Supongo que lo realmente confuso de esto es que va en contra de la forma típica en que se hacen las cosas. Pero si desea desglosarlo, veamos las formas en las que ha propuesto.

Autenticación luego autorización

De esta manera, un usuario debe demostrar que es quien dice ser (en este caso, con un nombre de usuario y contraseña, y una vez que lo hacen, la sesión está autorizada para realizar ciertas funciones. Si la autenticación falla, sabemos que el usuario no puede hacer nada. Lo que es más, es que no les brindamos ninguna información sobre el sistema que no sea la combinación de nombre de usuario y contraseña elegida.

Autorización y luego autenticación

Por razones de simplicidad, asumiré que está presentando un identificador (como un nombre de usuario), para verificar si hay algún recurso autorizado para ese identificador. Si la hay, solicita una contraseña y se autentica, y la sesión continúa. Si no hay, dices nop y continúa. El problema aquí es que revela los nombres de usuario en uso a los atacantes. En general, los nombres de usuario se ven como inseguros de todos modos, pero revelar cuentas activas y no deshabilitadas para un ataque puede facilitar su trabajo. Puede crear una lista completa de nombres de usuario mediante el sondeo a través de todas las opciones y hacer sus elecciones desde allí.

Probablemente por eso no lo hacen de esa manera.

    
respondido por el Desthro 23.10.2014 - 21:07
fuente
0

En realidad estás provocando un punto muy interesante. En lugar de ver simplemente la autenticación como prueba de su identidad (el hecho de que usted es realmente Bob), vea la autenticación en un sentido más amplio mediante el cual puede demostrar la autenticidad de una reclamación. Por ejemplo, puede decir que tiene 21 años de edad, puede ser ciudadano de la UE o tener una licencia de conducir válida. En los 3 casos, los escenarios de autorización serían:

  • capacidad para comprar y consumir alcohol en los EE. UU.
  • posibilidad de entrar en la UE sin una visa
  • capacidad para conducir un coche

Tenga en cuenta que en estos 3 casos de uso, todo sobre la autorización, la identidad del usuario final no es relevante. Más bien, un atributo del usuario, un reclamo si lo desea, es lo que importa.

Por lo tanto, para comprar alcohol, no necesita estrictamente autenticarse (es decir, probar que es Bob). Solo necesita demostrar la autenticidad de la afirmación de que tiene más de 21 años.

De hecho, el Reino Unido tenía este ambicioso programa de Tarjeta de Identidad Nacional que fue desechado hace unos años. En ese esquema, tuvieron la idea de que usted podría mostrar su tarjeta de identificación a un portero / camarero y que usted podría configurar la tarjeta para que solo muestre si tiene más de 18 años o no, pero esconde el resto (por ejemplo, su nombre, dirección ...) no es relevante para el caso de uso.

En conclusión, para que la autorización funcione, debe probar la autenticidad de todas las reclamaciones que necesitará para esa verificación de autorización en particular.

    
respondido por el David Brossard 23.10.2014 - 23:44
fuente

Lea otras preguntas en las etiquetas