Dentro da série “Segurança no mundo Apple”, o entendimento do conceito sobre autenticação e autorização é extremamente importante para que possamos compreender as etapas e elementos envolvidos no processo. Autenticação e autorização não é algo exclusivo do OS X, é um conceito presente há séculos no nosso dia-a-dia e absorvido no mundo da computação.
No OS X os conceitos são amplamente baseados em dois padrões open source: Mach e BSD. Estas tecnologias estão posicionadas na camada mais baixa do OS X.
Autenticação é o processo pelo qual uma pessoa ou entidade (tal como um computador) prova que é quem diz que é. A autenticação é alcançada através da apresentação de algo que você conhece, algo que você tem, algum aspecto de identificação único, ou alguma combinação destes. Embora a maioria dos usuários geralmente associe autenticação como sendo a combinação de um nome de usuário e senha, a autenticação pode assumir outras formas, incluindo tokens, certificados digitais e assim por diante.
Por exemplo, toda vez que você utiliza um caixa eletrônico, você precisa se autenticar inserindo o seu cartão bancário (algo relacionado a você) e em seguida um número de identificação associado à sua conta (algo que você conhece). O sistema também poderia identificá-lo utilizando outros métodos, tais como impressão digital, padrões de retina ou reconhecimento de voz, em vez de um número de identificação (senha).
Para fazer com que situações de autenticação sejam mais convenientes e eficientes, muitos sistemas usam algum método de identificação, que é o meio de verificar que a pessoa ou entidade é a mesma identificada anteriormente. No mundo físico, este método pode ser um cartão de identificação, um distintivo ou até mesmo uma pulseira colorida. Em computadores, o método de identificação geralmente utiliza-se de tickets, tokens ou outra credencial fornecida na etapa final do processo de autenticação.
OS X Server e cliente podem autenticar usuários por:
- Kerberos, Key Distribution Center (KDC);
- Senha armazenada com segurança na base Open Directory Password Server;
- Hash de autenticação armazenado em um arquivo local onde somente o root (super-usuário) pode ter acesso;
- Senha criptografada armazenada na conta do usuário;
- Servidor LDAP.
Utilizando as tecnologias listadas acima, existem três formas comuns para autenticar um usuário: shared secrets, kerberos tickets e a combinação de uma chave pública com certificados.
Autorização é o processo pelo qual uma pessoa ou entidade (tal como computador) recebe o direito de realizar uma operação restrita. É o direito (privilégio) que você recebe após ser identificado. A autorização é construída em cima da autenticação; antes que você possa decidir se autoriza alguém a executar uma ação, você deve primeiro saber quem é essa pessoa.
O processo de autorização consiste em três etapas:
- Autenticação da entidade para determinar a sua identidade;
- Determinar se a entidade autenticada tem permissão apropriada, isto é, o direito de realizar o tipo de acesso requisitado (exemplo: leitura, escrita ou execução);
- Concessão do acesso.
Autorização abrange acesso ao sistema, arquivos, pastas, aplicativos e serviços, e o nível de acesso que determinada entidade possui em relação àquele objeto.
Por hoje, é só; o assunto não é tão empolgante, mas é fundamental para continuarmos nosso aprendizado sobre as camadas de segurança. Espero que estejam gostando da série! 🙂
