在網路安全中,我們經常聽到「認證」和「授權」這兩個詞。雖然它們聽起來很像,但它們在保護你的帳號和數據時,扮演的角色卻是截然不同的。
理解這兩者的區別,是掌握資安管理核心的關鍵。我們可以將它們想像成是搭乘捷運的兩個獨立步驟。
比喻:你走進捷運站,掏出你的 悠遊卡(或車票),將它靠近感應區。
這張卡片裡有你的身份資訊,機器會讀取並確認:「這是一張有效的、付過費的票嗎?」
一旦機器確認這張票是有效的,它就完成了「認證」。它確認你是一位合法的乘客,可以進入捷運系統。
技術應用:在網路世界中,認證就是你輸入使用者名稱和密碼、使用指紋或臉部辨識、或是透過 多重認證 (MFA) 的過程。系統的目的只有一個:確認你的身份是真實且合法的。
比喻:你已經刷卡進了捷運站(通過了認證)。現在,你決定要進入一個機房或員工休息室。
雖然你有一張有效的悠遊卡,但這張卡片沒有授權你進入這些特定的、有管制的地方。
如果換成一位捷運工程師,他的卡片除了能讓他通過閘門,還被授予了進入機房的權限。
技術應用:在網路世界中,授權就是系統判斷你能夠讀取、修改、或刪除哪些檔案或功能。我們之前討論的最小權限原則、ACL 或 RBAC,都是授權的具體實踐方式。