Artikel Terbaru

Autentikasi vs Otorisasi, Apa Sih Bedanya?

Ilustrasi Password

Ilustrasi Password

Di era transformasi digital, hampir setiap aktivitas—mulai dari membuka email, mengakses mobile banking, hingga mengelola sistem perusahaan—melibatkan proses verifikasi identitas dan pengaturan hak akses. Dua konsep yang menjadi fondasi utama dalam sistem keamanan tersebut adalah autentikasi (authn) dan otorisasi (authz).

Sekilas, keduanya terdengar mirip dan sering digunakan secara bergantian. Padahal, dalam praktiknya, autentikasi dan otorisasi memiliki fungsi yang berbeda meskipun saling berkaitan erat. Keduanya merupakan bagian penting dari  Identity and Access Management (IAM), yaitu kerangka kerja untuk memastikan orang yang tepat mendapatkan akses yang tepat terhadap sumber daya yang tepat.

Lalu, apa sebenarnya perbedaan authn dan authz? Mengapa keduanya sama-sama krusial dalam menjaga keamanan data?

 

Authn: Memastikan Siapa Anda

Autentikasi (authentication atau authn) adalah proses untuk memastikan bahwa seseorang atau suatu perangkat benar-benar adalah pihak yang mereka klaim. Dengan kata lain, autentikasi menjawab pertanyaan: “Siapa Anda?”

Bayangkan Anda ingin mengambil tiket konser yang sudah dibeli sebelumnya. Petugas kemungkinan akan meminta kartu identitas untuk memastikan bahwa Anda memang orang yang berhak mengambil tiket tersebut. Proses verifikasi identitas itulah yang disebut autentikasi.

Dalam dunia digital, proses ini terjadi setiap kali Anda login ke akun. Ketika Anda memasukkan username dan password, sistem akan memeriksa apakah kombinasi tersebut cocok dengan data yang tersimpan. Jika cocok, sistem mengakui identitas Anda dan memberikan akses awal.

Tujuan utama autentikasi adalah mencegah akses oleh pihak yang tidak berwenang. Tanpa autentikasi yang kuat, data sensitif bisa dengan mudah diakses oleh orang yang salah.

 

Metode Autentikasi yang Umum Digunakan

  1. Username dan Password
    Metode paling umum dan paling lama digunakan adalah kombinasi username dan password. Hampir semua orang yang pernah menggunakan internet pasti familiar dengan metode ini.

    Ketika seseorang membuka akun email melalui browser, sistem awalnya tidak tahu siapa pengguna tersebut. Setelah username dan password dimasukkan, sistem akan memverifikasi kecocokan data. Jika sesuai, pengguna dianggap sah dan diperbolehkan masuk.

    Namun, metode ini memiliki kelemahan. Password bisa ditebak, dicuri melalui phishing, atau bocor akibat kebocoran data. Karena itu, mengandalkan password saja kini dianggap kurang aman.

  2. Multi-Factor Authentication (MFA)
    Untuk meningkatkan keamanan, banyak layanan menerapkan Multi-Factor Authentication (MFA). Metode ini mengharuskan pengguna memberikan lebih dari satu bukti identitas.

    Biasanya, MFA diterapkan dalam bentuk Two-Factor Authentication (2FA), yaitu kombinasi dua faktor berbeda, misalnya:

    • Sesuatu yang Anda tahu (password)
    • Sesuatu yang Anda miliki (kode OTP di ponsel atau token fisik)
    • Sesuatu yang melekat pada diri Anda (biometrik)

    Soft token biasanya berupa kode yang dikirim melalui SMS atau aplikasi autentikator. Sementara hard token berbentuk perangkat fisik seperti kunci keamanan USB.Dengan MFA, meskipun password diketahui orang lain, mereka tetap tidak bisa login tanpa faktor tambahan.

  3. Sertifikat Kunci Publik
    Metode ini menggunakan sistem enkripsi kunci publik dan kunci privat. Cara kerjanya lebih kompleks, tetapi sangat aman jika diterapkan dengan benar.Teknologi ini digunakan dalam Transport Layer Security (TLS), yang melindungi komunikasi pada situs berprotokol HTTPS. Setiap kali Anda mengakses situs HTTPS, perangkat Anda sebenarnya sedang memverifikasi identitas server menggunakan sertifikat digital.

    Selain itu, autentikasi kunci publik juga dapat digunakan untuk mutual authentication, di mana kedua pihak dalam komunikasi saling memverifikasi identitas. Ini sering diterapkan pada API dan perangkat Internet of Things (IoT).

  4. Autentikasi Biometrik
    Autentikasi biometrik memanfaatkan ciri fisik unik manusia seperti sidik jari, wajah, atau retina. Sistem akan membandingkan data biometrik yang dipindai dengan data yang tersimpan di database.Metode ini semakin populer karena praktis dan sulit dipalsukan. Namun, pengelolaan data biometrik juga harus dilakukan dengan sangat hati-hati karena sifatnya sangat sensitif.

 

Authz: Menentukan Apa yang Boleh Anda Lakukan

Jika autentikasi memastikan siapa Anda, maka otorisasi (authorization atau authz) menentukan apa yang boleh Anda lakukan setelah identitas Anda diverifikasi.

Otorisasi menjawab pertanyaan: “Apa yang boleh Anda akses atau lakukan?

Contohnya dalam layanan perbankan online. Setelah login berhasil, nasabah bisa melihat saldo dan riwayat transaksi miliknya sendiri. Namun, ia tidak bisa melihat data keuangan nasabah lain.

Di sisi lain, seorang manajer bank mungkin memiliki hak akses yang lebih luas untuk melihat data seluruh nasabah. Perbedaan ini bukan karena identitas mereka berbeda, melainkan karena tingkat otorisasinya berbeda.

Dalam perusahaan, seorang karyawan mungkin berhasil login ke sistem internal. Namun, bukan berarti ia boleh mengakses seluruh dokumen perusahaan. Karyawan bagian pemasaran, misalnya, tidak semestinya bisa melihat data penggajian karyawan lain.

Tingkat otorisasi inilah yang menentukan izin (permissions) atau hak akses (privileges) seseorang.

Bagaimana Otorisasi Bekerja?
Sistem otorisasi biasanya bekerja setelah proses autentikasi berhasil. Artinya, sistem sudah tahu siapa Anda, lalu memutuskan akses apa saja yang boleh diberikan.

Ada beberapa pendekatan umum dalam pengelolaan hak akses:

  1. Role-Based Access Control (RBAC)
    Dalam metode ini, setiap pengguna diberikan satu atau lebih peran (role). Setiap role memiliki kumpulan izin tertentu. Misalnya:

    • Role “Admin” memiliki akses penuh.
    • Role “Staf” hanya bisa membaca dan mengedit data tertentu.

    Pendekatan ini cukup sederhana dan banyak digunakan karena mudah dikelola.

  2. Attribute-Based Access Control (ABAC)
    Dalam ABAC, izin diberikan berdasarkan atribut tertentu, baik atribut pengguna maupun atribut tindakan. Contohnya:

    • Jabatan pengguna
    • Lokasi akses
    • Waktu login
    • Jenis perangkat yang digunakan

    Dengan pendekatan ini, kebijakan akses bisa lebih fleksibel dan kontekstual.

  3. Rule-Based Access Control
    Metode ini menentukan akses berdasarkan aturan tertentu yang berlaku untuk semua pengguna. Misalnya, sistem mungkin menolak semua akses dari luar negeri atau di luar jam kerja tertentu.

Peran OAuth dalam Otorisasi Modern
Dalam ekosistem aplikasi modern, terutama layanan cloud dan web, standar seperti OAuth sangat berperan penting.

OAuth adalah protokol yang memungkinkan satu layanan memberikan otorisasi kepada layanan lain tanpa harus membagikan password pengguna. Misalnya, ketika Anda login ke sebuah aplikasi menggunakan akun media sosial, proses tersebut biasanya melibatkan OAuth.

Tingkat izin pengguna biasanya ditentukan oleh Identity Provider (IdP), yaitu layanan yang mengelola identitas dan hak akses.

OAuth juga memungkinkan penggunaan Single Sign-On (SSO). Dengan SSO, pengguna cukup login sekali untuk mengakses berbagai aplikasi. Tanpa mekanisme seperti ini, setiap aplikasi harus mengatur izin secara terpisah, yang lebih rumit dan kurang efisien.

 

Mengapa Authn dan Authz Tidak Boleh Disamakan?

Kesalahan umum dalam memahami keamanan digital adalah menganggap bahwa jika seseorang sudah berhasil login, maka ia boleh melakukan apa saja. Padahal, login hanya membuktikan identitas—bukan memberikan akses tanpa batas.

Autentikasi tanpa otorisasi akan membuat sistem rentan terhadap penyalahgunaan internal. Sebaliknya, otorisasi tanpa autentikasi yang kuat bisa membuka peluang bagi penyerang untuk menyamar sebagai pengguna sah.

Karena itu, keduanya harus berjalan berdampingan. Autentikasi memastikan sistem tahu siapa yang masuk. Otorisasi memastikan pengguna hanya bisa melakukan hal-hal yang memang menjadi haknya.

 

Kesimpulan

Perbedaan antara authn dan authz dapat diringkas sebagai berikut:

  • Authn (Autentikasi) memastikan identitas pengguna.
  • Authz (Otorisasi) menentukan hak akses pengguna.

Keduanya adalah fondasi utama dalam sistem keamanan digital modern. Dalam dunia yang semakin terkoneksi, memahami perbedaan dan cara kerja autentikasi serta otorisasi bukan hanya penting bagi profesional IT, tetapi juga bagi siapa pun yang ingin menjaga keamanan data pribadi dan organisasi.

Tanpa autentikasi yang kuat, sistem tidak dapat memastikan siapa yang mengaksesnya. Tanpa otorisasi yang tepat, sistem tidak dapat membatasi tindakan pengguna. Kombinasi keduanya adalah kunci untuk menciptakan lingkungan digital yang aman, terpercaya, dan efisien.

Bagikan artikel ini
Komentar ()

Berlangganan

Berlangganan newsletter kami dan dapatkan informasi terbaru.

Artikel Terkait

Video Terkait