فصل چهارم:

Authentication and Authorization / احراز هویت و مجوز

اکنون که اصول ساختار فایل‌های سیستم‌عامل‌هایی مانند لینوکس و ویندوز را درک کرده‌ایم، اکنون زمان آن است که به موضوع پیچیده‌تر و بسیار مهم‌تر بپردازیم: احراز هویت، مجوز و اختیارات. این مفاهیم برای درک مکانیسم های امنیتی مورد استفاده در سیستم های کامپیوتری مدرن حیاتی هستند. آنها نقش اصلی را در تضمین امنیت داده ها و منابع در یک شبکه یا روی یک کامپیوتر دارند.

 

احراز هویت و مجوز: یک مرور کلی

احراز هویت و مجوز دو روی یک سکه امنیت فناوری اطلاعات هستند که اغلب با هم کار می کنند تا اطمینان حاصل شود که فقط کاربران مجاز به داده ها یا عملکرد خاصی دسترسی دارند.

 

احراز هویت به فرآیند تأیید هویت یک کاربر یا یک سیستم اشاره دارد. این معمولاً با تأیید اعتبار مانند نام کاربری و رمز عبور، داده‌های بیومتریک یا گواهی‌های دیجیتال انجام می‌شود. احراز هویت به این سوال پاسخ می دهد: “آیا شما واقعا همانی هستید که می گویید؟”

 

مجوز پس از احراز هویت انجام می شود و تعیین می کند که کاربر احراز هویت شده به کدام منابع و ویژگی ها اجازه دسترسی دارد. مجوز فرض می‌کند که سیستم قبلاً هویت کاربر را تایید کرده است و اکنون تصمیم می‌گیرد که چه حقوق و امتیازاتی به آن کاربر اعطا کند. به طور خلاصه، مجوز به این سوال پاسخ می دهد: “چه کاری مجاز به انجام آن هستید؟”

 

اختیارات / Permissions

اختیارات حقوق یا قوانین خاصی هستند که تعیین می کنند کاربر یا گروهی از کاربران چه اقداماتی را می توانند روی یک فایل، دایرکتوری یا دیگر شی سیستم انجام دهند. در سیستم عامل هایی مانند لینوکس و ویندوز، اختیارات برای کنترل نحوه استفاده از منابع توسط کاربران و فرآیندها استفاده می شود. رایج ترین اختیارات عبارتند از خواندن (خواندن)، نوشتن (نوشتن) و اجرای (اجرا) فایل ها یا دایرکتوری ها.

 

    • Read: اجازه مشاهده محتویات یک فایل یا فهرست کردن محتویات یک فهرست.

    • Write: اجازه ایجاد تغییرات در یک فایل یا ایجاد، تغییر یا حذف فایل‌ها در یک فهرست.

    • Execute: برای یک فایل، این به معنای اجازه اجرای فایل به عنوان یک برنامه است. برای یک دایرکتوری، به کاربر اجازه می دهد تا به دایرکتوری رفته و محتوای آن را بر اساس سایر مجوزها ویرایش یا مشاهده کند.

در سیستم‌های شبه یونیکس، اختیارات اغلب با ترکیبی از حروف (r برای خواندن، w برای نوشتن، x برای اجرا) یا عددی (با استفاده از اعداد هشت‌گانه) برای مشخص کردن حقوق مالکان، گروه‌ها و سایر کاربران (سایر) نشان داده می‌شوند.

 

مدیریت دقیق احراز هویت، مجوزها و اختیارات برای حفظ امنیت و یکپارچگی سیستم های اطلاعاتی ضروری است. این امکان محافظت از داده های حساس را فراهم می کند و اطمینان حاصل می کند که فقط کاربران مجاز به اطلاعات و عملکردهای خاص دسترسی دارند. در مرحله بعدی به مکانیسم های خاص و بهترین شیوه ها در این زمینه نگاه خواهیم کرد.

 

در علوم کامپیوتر، “مجوزها” به قوانینی اطلاق می شود که تعیین می کند چه کسی می تواند به فایل ها و فهرست ها دسترسی داشته باشد و چگونه می تواند از آنها استفاده کند. مجوزها یک مفهوم اساسی در سیستم عامل ها برای تضمین امنیت و عملکرد مناسب با کنترل دسترسی به سیستم های حیاتی و فایل های کاربر است. در زمینه سیستم‌های یونیکس مانند لینوکس و همچنین ویندوز، مجوزها معمولاً شامل جنبه‌های زیر می‌شوند:

 

سیستم های لینوکس و یونیکس / Linux and Unix Permissions

در سیستم‌های لینوکس و یونیکس مانند، اختیارات معمولاً برای سه دسته از کاربران تنظیم می‌شوند:

 

    • Owner: شخص یا حسابی که مالک فایل یا دایرکتوری است.

    • Group: همه کاربرانی که بخشی از یک گروه تعریف شده هستند. هر فایل یا دایرکتوری با یک گروه مرتبط است.

    • Others: همه کاربران دیگری که در سیستم وجود دارند.

برای هر یک از این دسته ها می توان سه نوع مجوز تنظیم کرد:

 

    • Read: به خواندن محتوای فایل یا دایرکتوری اجازه می دهد.

    • Write: به تغییر یا حذف فایل یا ایجاد و حذف فایل‌ها در یک فهرست اجازه می‌دهد.

    • Execute: به اجرای یک فایل به صورت برنامه یا ورود به دایرکتوری و انجام عملیات بر اساس محتویات آن اجازه می دهد.

اختیارات اغلب به صورت ترکیبی از حروف نشان دهنده این حقوق (به عنوان مثال rwxr-xr–) یا به عنوان یک عدد اکتالی که مقداری را به هر مجموعه از مجوزها اختصاص می دهد (مثلا 755) نشان داده می شود.

 

Windows Permissions

ویندوز از مدل کمی متفاوت برای مجوزها استفاده می کند که بر اساس لیست های کنترل دسترسی (ACL) است. این لیست ها با جزئیات مشخص می کنند که کدام کاربران یا گروه های کاربری به فایل ها و دایرکتوری ها دسترسی دارند و چه عملیاتی مجاز به انجام آن ها هستند. اختیارات ویندوز را می توان به صورت بسیار جزئی تنظیم کرد و گزینه هایی را برای موارد زیر ارائه کرد:

 

    • خواندن / Read

    • نوشتن / Write

    • انجام دادن / Execute

    • دسترسی کامل / Full Control

    • مجوزهای ویژه / Special Permissions

ویندوز بین مجوزهای سطح فایل و دایرکتوری تمایز قائل می شود، که دومی می تواند شامل گزینه های اضافی مانند ایجاد و حذف فایل ها یا زیر شاخه ها باشد.

 

مدیریت دقیق اختیارات برای امنیت سیستم و حفاظت از داده ها ضروری است. با محدود کردن دسترسی به فایل‌های مهم سیستم و داده‌های شخصی، مدیران و کاربران می‌توانند خطر دسترسی غیرمجاز و آسیب‌های احتمالی را کاهش دهند. در سیستم‌های چند کاربره، اختیارات امکان کنترل و مدیریت مؤثر دسترسی به فایل‌ها و منابع را برای اطمینان از یک محیط کاری ایمن و کارآمد می‌دهند.

 

احراز هویت / Authentication: نگاه عمیق تر

احراز هویت اولین قدم برای اطمینان از امنیت در سیستم های دیجیتال است. برای تأیید هویت یک شخص یا سیستم قبل از اعطای دسترسی به منابع استفاده می شود. در هسته خود، احراز هویت در مورد پرسیدن این سوال، “تو کی هستی؟” و استفاده از روش های مختلف برای پاسخ به آن سوال است.

 

تصور کنید می خواهید حساب ایمیل خود را در رایانه یا گوشی هوشمند چک کنید. فرآیند با وارد کردن نام کاربری و رمز عبور خود در فیلدهای مربوطه در صفحه ورود آغاز می شود. این یک نمونه کلاسیک از احراز هویت در زندگی روزمره است. سیستم ایمیل اطلاعات ورود شما را تأیید می کند و اگر با اطلاعات موجود در پرونده مطابقت داشته باشد، به حساب کاربری و پیام های خود دسترسی خواهید داشت. این فرآیند تضمین می کند که فقط شما به ایمیل خود دسترسی دارید.

 

روش های احراز هویت

چندین روش برای احراز هویت وجود دارد که می تواند به تنهایی یا ترکیبی برای افزایش امنیت مورد استفاده قرار گیرد:

 

احراز هویت مبتنی بر دانش (چیزی که کاربر می داند):

 

این متداول ترین روش مورد استفاده است و شامل مواردی مانند رمز عبور، پین یا سؤالات امنیتی است. کاربر باید ثابت کند که دانش لازم برای دسترسی را دارد.

 

مثال: وارد کردن رمز عبور برای ورود به حساب بانکی آنلاین.

 

احراز هویت مبتنی بر مالکیت (چیزی که کاربر مالک آن است): 

 

این روش از چیزی فیزیکی استفاده می کند که کاربر باید برای دسترسی به آن داشته باشد، مانند کارت هوشمند، رمز یا تلفن همراه.

 

مثال: با استفاده از یک OTP (رمز یک بار مصرف) ارسال شده به تلفن همراه شما برای تأیید تراکنش بانکی آنلاین.

 

احراز هویت مبتنی بر ذاتی (چیزی که کاربر است):

 

 این روش به ویژگی‌های بیومتریک منحصر به فرد کاربر مانند اثر انگشت، تشخیص چهره یا اسکن عنبیه اشاره دارد.

 

مثال: باز کردن قفل گوشی هوشمند با اثر انگشت یا صورت.

 

احراز هویت مبتنی بر رفتار: 

 

این روش نسبتاً جدید رفتار کاربر، مانند نحوه تایپ کردن، حرکت ماوس یا سرعت راه رفتن را تجزیه و تحلیل می‌کند.

 

مثال: یک برنامه بانکی که تشخیص می دهد نحوه وارد کردن رمز عبور شما با الگوی معمول شما متفاوت است.

 

احراز هویت چند عاملی (MFA (Multi Factor Authentication: 

 

این روش دو یا چند روش فوق را برای افزایش امنیت ترکیب می کند. MFA به ویژه موثر است زیرا مانع از دسترسی مهاجم می شود حتی اگر یکی از روش های احراز هویت به خطر بیفتد.

 

مثال: هنگام دسترسی به یک سیستم حساس، باید هم رمز عبور (چیزی که می دانید) و هم یک کد از تلفن خود (چیزی که مالک آن هستید) وارد کنید.

 

زمینه های کاربردی

روش‌های احراز هویت تقریباً در همه جنبه‌های زندگی دیجیتال ما، از ورود به شبکه‌های اجتماعی گرفته تا دسترسی به اسناد کاری تا تأیید تراکنش‌ها در تجارت آنلاین، استفاده می‌شوند. انتخاب روش احراز هویت اغلب به سطح امنیت مورد نیاز و عملی بودن در یک زمینه مشخص بستگی دارد. به عنوان مثال، احراز هویت چند عاملی ممکن است برای دسترسی به داده های بسیار حساس مورد نیاز باشد، در حالی که احراز هویت رمز عبور ساده برای برنامه های کاربردی کمتر حساس کافی است.

 

احراز هویت پایه و اساس امنیت دیجیتال را تشکیل می دهد و اولین گام برای ایمن بودن است.

 

تفاوت بین احراز هویت مبتنی بر مالکیت و احراز هویت چند عاملی (MFA)

تفاوت بین احراز هویت مبتنی بر مالکیت و احراز هویت چند عاملی (MFA)  در درجه اول در تعداد و نوع عوامل مورد نیاز برای احراز هویت نهفته است:

 

احراز هویت مبتنی بر مالکیت

 

احراز هویت مبتنی بر مالکیت با تأیید چیزی که کاربر مالک آن است، به یک سیستم یا سرویس دسترسی می دهد. نمونه های معمولی این عبارتند از:

 

    • رمز امنیتی

    • کارت های بانکی

    • برنامه های گوشی های هوشمند که کد امنیتی تولید می کنند

    • توکن USB

این روش فرض می کند که فقط کاربر مجاز به عنصر احراز هویت مبتنی بر مالکیت دسترسی دارد. مزیت آشکار این است که در مقایسه با بهره برداری از دانش مانند رمز عبور، سرقت چیزی که از نظر فیزیکی ایمن است، دشوارتر است. با این حال، یک نقطه ضعف ممکن است این باشد که اشیاء فیزیکی ممکن است گم یا دزدیده شوند، که امنیت را به خطر می اندازد.

 

احراز هویت چند عاملی (MFA)

 

از سوی دیگر، احراز هویت چند عاملی به استفاده از دو یا چند روش احراز هویت از دسته‌های مختلف برای تأیید هویت کاربر اشاره دارد. این دسته ها معمولا عبارتند از:

 

    • چیزی که کاربر می داند (مانند رمز عبور یا پین)

    • چیزی که کاربر مالک آن است (به عنوان مثال تلفن هوشمند یا رمز امنیتی)

    • چیزی که کاربر است (ویژگی های بیومتریک مانند اثر انگشت یا تشخیص چهره)

MFA سطح بالاتری از امنیت را فراهم می کند زیرا دسترسی مهاجمان را دشوارتر می کند، حتی اگر یکی از اشکال احراز هویت (مانند رمز عبور) به خطر بیفتد. با ترکیب چندین عامل مستقل، خطر دسترسی غیرمجاز به میزان قابل توجهی کاهش می یابد. MFA اغلب برای خدماتی استفاده می شود که به امنیت بیشتری نیاز دارند، مانند بانکداری آنلاین، حساب های ایمیل یا ابزارهای مدیریت سیستم.

 

تفاوت اصلی در پیچیدگی و امنیت نهفته است:

 

احراز هویت مبتنی بر مالکیت از یک عامل واحد (چیزی که کاربر مالک آن است) استفاده می کند و سطح متوسطی از امنیت را فراهم می کند.

 

احراز هویت چند عاملی دو یا چند عامل را از دسته‌های مختلف ترکیب می‌کند و امنیت بسیار بالاتری را تضمین می‌کند.

 

در عمل، این بدان معنی است که احراز هویت مبتنی بر مالکیت، دسترسی را از طریق مالکیت یک شی فیزیکی اعطا می‌کند، در حالی که MFA از ترکیبی از روش‌های احراز هویت مستقل برای همان دسترسی استفاده می‌کند که الزامات امنیتی را به میزان قابل توجهی افزایش می‌دهد.

 

مجوز / Authorisation: نگاه عمیق تر

اکنون که موضوع احراز هویت را به تفصیل پوشش دادیم، اکنون به دومین جنبه حیاتی کنترل دسترسی در سیستم های کامپیوتری می پردازیم: مجوز. در حالی که احراز هویت هویت کاربر را تأیید می کند، مجوز تعیین می کند که کاربر احراز هویت شده از چه منابعی و تا چه حد می تواند استفاده کند.

 

تصور کنید در یک شرکت بزرگ با بخش های مختلف مانند IT، امور مالی و منابع انسانی کار می کنید. هر بخش از نرم افزار تخصصی استفاده می کند که دسترسی به داده های حساس را فراهم می کند. هر کارمندی نباید به همه داده ها دسترسی داشته باشد. به عنوان مثال، فقط کارکنان منابع انسانی نیاز به دسترسی به پرونده های کارکنان دارند، در حالی که امور مالی نیاز به دسترسی به حساب های شرکت دارند. اینجاست که مجوز وارد عمل می شود. این تنظیم می کند که چه کسی می تواند به اطلاعات و عملکردها بر اساس نقش، وظایف و مجوزهای خود دسترسی داشته باشد.

 

فرآیند مجوز / Authorisation

فرآیند مجوز معمولاً بلافاصله پس از احراز هویت انجام می شود:

 

    • احراز هویت: ابتدا یک کاربر هویت خود را مشخص می کند، برای مثال با وارد کردن نام کاربری و رمز عبور یا از طریق احراز هویت چند عاملی.

    • کنترل دسترسی مبتنی بر نقش (RBAC (Role-based access control: سیستم حقوق و امتیازات خاصی را به کاربر تأیید شده بر اساس نقش او در شرکت اختصاص می دهد. RBAC به مدیران اجازه می دهد تا دسترسی به منابع و عملیات را از طریق نقش های اختصاص داده شده به کاربران کنترل کنند.

    • بررسی مجوز: هنگامی که کاربر تلاش می کند به یک منبع دسترسی پیدا کند یا اقدامی را انجام دهد، سیستم مجوزهای او را بررسی می کند تا تصمیم بگیرد که آیا دسترسی یا عمل مجاز است یا خیر.

روش های مجوز

کنترل دسترسی مبتنی بر نقش (RBAC (Role-based access control: 

همانطور که قبلا ذکر شد، حقوق دسترسی بر اساس نقش کاربر در سیستم تخصیص داده می شود. یک کاربر می تواند یک یا چند نقش داشته باشد و هر نقش با مجوزهای خاصی مرتبط است.

 

با کنترل دسترسی مبتنی بر نقش، مجوزها مستقیماً به کاربران فردی اختصاص نمی‌یابد، بلکه به نقش‌ها اختصاص می‌یابد. سپس کاربران با اختصاص یک یا چند نقش به آن دسترسی پیدا می کنند. این روش مدیریت مجوزها را ساده می کند زیرا تغییرات در حقوق دسترسی نقش به طور خودکار برای همه کاربران اختصاص داده شده به آن نقش اعمال می شود.

 

به عنوان مثال: در یک بیمارستان، سیستم اطلاعاتی می تواند نقش هایی مانند “پزشک”، “پرستار” و “اداره” داشته باشد. پزشکان می توانند به سوابق کامل بیمار دسترسی داشته باشند، در حالی که پرستاران فقط به اطلاعات لازم برای مراقبت مستقیم از بیمار دسترسی دارند. دولت به داده های اداری دسترسی خواهد داشت، اما دسترسی بالقوه به اطلاعات دقیق پزشکی محدود خواهد بود.

 

کنترل دسترسی مبتنی بر ویژگی (ABAC (Attribute-based access control:

 این روش از ویژگی ها یا ویژگی های کاربران، منابع و زمینه های محیطی برای تصمیم گیری در مورد دسترسی استفاده می کند. ABAC نسبت به RBAC انعطاف پذیرتر است و می تواند سیاست های پیچیده کنترل دسترسی را پیاده سازی کند.

 

کنترل دسترسی مبتنی بر ویژگی، تصمیمات دسترسی دقیق را بر اساس ترکیبی از ویژگی‌های کاربر (مانند بخش، نقش)، ویژگی‌های منبع (مانند سطوح طبقه‌بندی) و در صورت امکان، شرایط محیطی (مثلاً زمان فعلی) امکان‌پذیر می‌سازد. ABAC می تواند از سیاست های پیچیده ای پشتیبانی کند که مجوز انعطاف پذیر و پویا را امکان پذیر می کند.

 

مثال: یک شرکت سیاستی را اجرا می کند که کارکنان امور مالی تنها در ساعات کاری عادی زمانی که در شبکه شرکت هستند به سیستم گزارشگری مالی دسترسی دارند. ABAC می تواند این خط مشی را با ارزیابی ویژگی هایی مانند “Department = Finance”، “Time = 9:00-17:00” و “Network = Corporate Network” برای تصمیم گیری در مورد دسترسی اجرا کند.

 

کنترل دسترسی مبتنی بر مستاجر (Mandatory access control (MAC:

 در این مدل، مدیر سیستم سیاست های کنترل دسترسی را تعریف می کند که توسط کاربران قابل تغییر نیستند. MAC اغلب در محیط هایی با الزامات امنیتی بالا استفاده می شود. MAC اغلب بر اساس طبقه بندی اطلاعات و مجوز امنیتی کاربران است.

 

مثال: در یک تأسیسات نظامی، اسناد و داده‌ها ممکن است در سطوح امنیتی مختلف، مانند «محرمانه»، «محرمانه» و «بسیار محرمانه» طبقه‌بندی شوند. یک سرباز با مجوز امنیتی “مخفی” می تواند به اطلاعات “محرمانه” و “محرمانه” دسترسی داشته باشد، اما نه به “فوق سری”. خط‌مشی‌های MAC تضمین می‌کنند که هرگونه تلاش برای دسترسی به اطلاعات طبقه‌بندی‌شده بالاتر رد و ثبت می‌شود.

 

انتخاب روش مجوز بستگی به الزامات امنیتی خاص و پیچیدگی سیستم دارد. RBAC در محیط‌هایی که نقش‌ها به وضوح تعریف شده‌اند به خوبی کار می‌کند و مجوزها را می‌توان به راحتی بر اساس آن نقش‌ها سازمان‌دهی کرد. ABAC انعطاف پذیری و دانه بندی را ارائه می دهد که برای سناریوهای کنترل دسترسی پویا و پیچیده تر ایده آل است. MAC بالاترین سطح امنیت را از طریق سیاست‌های کنترل‌شده و تغییرناپذیر ارائه می‌کند، اما به ویژه برای محیط‌هایی که امنیت در آن اولویت بالاتری نسبت به قابلیت استفاده است، مناسب است.

 

زمینه های کاربردی مجوز

مجوز تقریباً در هر زمینه ای از فناوری اطلاعات، از سیستم عامل ها و برنامه های کاربردی وب گرفته تا شبکه های شرکتی و خدمات ابری استفاده می شود. برای اطمینان از امنیت داده ها و رعایت حریم خصوصی با اطمینان از اینکه کاربران فقط می توانند به اطلاعات و منابع لازم برای کار خود دسترسی داشته باشند، بسیار مهم است.

 

مجوز بخشی پیچیده اما ضروری از امنیت فناوری اطلاعات و کنترل دسترسی است. با تعریف دقیق نقش‌ها، مجوزها و سیاست‌های کنترل دسترسی، سازمان‌ها می‌توانند اطمینان حاصل کنند که داده‌ها و منابع خود در برابر دسترسی غیرمجاز محافظت می‌شوند و در عین حال قابلیت استفاده را برای کاربران مجاز حفظ می‌کنند. تعادل بین امنیت و دسترسی در اینجا کلیدی است.

 

قبل از اینکه جلوتر برویم، چند جنبه اضافی و بهترین شیوه وجود دارد که ارزش برجسته‌سازی برای عمیق‌تر کردن درک و بکارگیری دارد:

 

    • احراز هویت مبتنی بر زمینه و ریسک / Context- and risk-based authentication: سیستم‌های مدرن می‌توانند زمینه درخواست احراز هویت (مانند مکان، دستگاه‌های مورد استفاده، زمان و غیره) و ریسک مربوطه را ارزیابی کنند تا تصمیم بگیرند که آیا اقدامات امنیتی اضافی مورد نیاز است یا خیر. این می تواند به تنظیم پویا امنیت بر اساس ریسک درک شده کمک کند.

    • اصل حداقل امتیاز / Principle of Least Privilege: استفاده از اصل کمترین امتیاز (PoLP) هم برای مجوز و هم برای احراز هویت مهم است. این بدان معنی است که کاربران فقط باید حداقل حقوق لازم برای وظایف خود را به حداقل رساندن خطر در صورت بروز یک حادثه امنیتی اختصاص دهند.

    • بررسی و حسابرسی منظم / Regular review and auditing: سیاست‌های مجوز و تخصیص حقوق دسترسی باید به طور مرتب مورد بازبینی و ممیزی قرار گیرند تا اطمینان حاصل شود که هنوز الزامات فعلی را برآورده می‌کنند و خطرات غیرضروری وجود ندارد.

بهترین شیوه ها / Best Practices

    • استفاده از مکانیزم‌های احراز هویت قوی: برای افزایش امنیت، تا حد امکان از احراز هویت چند عاملی استفاده کنید.

    • تشویق امنیت رمز عبور: کاربران را تشویق کنید تا از رمزهای عبور قوی استفاده کنند و رمز عبور خود را مرتباً تغییر دهند.

    • مجوزها را با دقت مدیریت کنید: اطمینان حاصل کنید که اعطای مجوزها با دقت انجام می شود و مجوزهای قدیمی یا دیگر مورد نیاز به موقع حذف می شوند.

    • ایجاد آگاهی امنیتی: به کاربران در مورد اهمیت شیوه های امنیتی، از جمله خطرات حملات فیشینگ و اهمیت گزارش فعالیت های مشکوک، آموزش دهید.

با دانش احراز هویت و مجوز و همچنین روش‌های مرتبط و بهترین شیوه‌ها، شما به خوبی برای درک و بهبود امنیت سیستم‌های فناوری اطلاعات مجهز هستید. این مفاهیم نه تنها از نظر فنی بسیار مهم هستند، بلکه فرهنگ امنیت و استفاده آگاهانه از منابع دیجیتال را نیز ترویج می‌کنند.

 

تفاوت بین احراز هویت و مجوز چیست؟
Authentication vs Authorisation

در حالی که احراز هویت مربوط به تأیید هویت است، مجوز مربوط به مجوزها یا کاری است که شخصی پس از دسترسی به یک سیستم یا منبع محافظت شده مجاز به انجام آن است.

 

فرض کنید باب در بخش بازاریابی شرکتش کار می کند. باب رمز عبور خود را وارد می کند، صورتش را اسکن می کند و رمز سخت خود را برای ورود به شبکه شرکتش وارد می کند. در این مرحله، احراز هویت کامل شده است.

 

پس از ورود، باب به هر فایل داده ای که در اختیار شرکت است دسترسی ندارد. مجوز تعیین می کند که باب چه چیزی را می تواند ببیند و چه چیزی را نمی تواند ببیند. به عنوان یک بازاریاب، او مجاز است برخی از داده‌ها را ببیند، مانند فهرستی از مشتریان بالقوه که شرکت برای آنها پیام‌های بازاریابی ارسال می‌کند، اما نه داده‌های دیگر، مانند پایگاه کد اصلی شرکت یا فهرست حقوق کارمندان.