Hvordan identifikation, autentificering og godkendelse adskiller sig

Det sker for hver eneste af os hver dag. Vi bliver konstant identificeret, autentificeret og autoriseret af forskellige systemer. Alligevel forveksler mange mennesker betydningen af disse ord og bruger ofte udtrykkene identifikation eller autorisation, når de i virkeligheden taler om autentificering.

Det er ikke noget særligt, så længe det bare er en dagligdags samtale, og begge parter forstår, hvad de taler om. Det er dog altid bedre at kende betydningen af de ord, man bruger, og før eller siden vil man løbe ind i en nørd, som vil drive en til vanvid med præciseringer, om det er autorisation kontra autentifikation, færre eller færre, hvilken eller hvilken og så videre.

Så, hvad betyder udtrykkene identifikation, autentifikation og autorisation, og hvordan adskiller processerne sig fra hinanden? Først vil vi konsultere Wikipedia:

• “Identifikation er den handling at angive en persons eller tings identitet.”
• “Autentifikation er den handling at bevise identiteten af en bruger af et computersystem” (f.eks. ved at sammenligne den indtastede adgangskode med den adgangskode, der er gemt i databasen).
• “Autorisation er den funktion at specificere adgangsrettigheder/privilegier til ressourcer.”

Du kan se, hvorfor folk, der ikke rigtig er bekendt med begreberne, kan forveksle dem.

Brug vaskebjørne til at forklare identifikation, autentifikation og autorisering

Nu skal vi for at gøre det mere enkelt bruge et eksempel. Lad os sige, at en bruger ønsker at logge ind på sin Google-konto. Google fungerer godt som et eksempel, fordi deres login-proces er pænt opdelt i flere grundlæggende trin. Her er, hvordan den ser ud:

• Først beder systemet om et login. Brugeren indtaster et, og systemet genkender det som et rigtigt login. Dette er identifikation.
• >Google beder derefter om et password. Brugeren angiver det, og hvis det indtastede password stemmer overens med det gemte password, så er systemet enig i, at brugeren faktisk ser ud til at være ægte. Dette er autentificering.
• I de fleste tilfælde beder Google derefter også om en engangs-bekræftelseskode fra en sms eller en authenticator-app. Hvis brugeren også indtaster den korrekt, vil systemet til sidst godkende, at han eller hun er den rigtige ejer af kontoen. Dette er to-faktor-autentifikation.
• Sidst giver systemet brugeren ret til at læse beskeder i sin indbakke og lignende. Dette er autorisation.

Autentifikation uden forudgående identifikation giver ingen mening; det ville være meningsløst at begynde at kontrollere, før systemet vidste, hvis autenticitet det skulle verificere. Man er nødt til at præsentere sig selv først.

I samme forbindelse ville identifikation uden autentificering være fjollet. Enhver kunne indtaste et hvilket som helst login, der fandtes i databasen – systemet ville have brug for adgangskoden. Men nogen kunne smugkigge på adgangskoden eller bare gætte den. Det er bedre at bede om yderligere beviser, som kun den rigtige bruger kan have, f.eks. en engangs-bekræftelseskode.

Men derimod er autorisation uden identifikation, endsige autentificering, ganske muligt. Du kan f.eks. give offentlig adgang til dit dokument i Google Drev, så det er tilgængeligt for alle. I det tilfælde kan du måske se en meddelelse om, at dit dokument bliver vist af en anonym vaskebjørn. Selv om vaskebjørnen er anonym, har systemet autoriseret den – dvs. givet den ret til at se dokumentet.

Hvis du imidlertid kun havde givet læserettighederne til visse brugere, skulle vaskebjørnen identificeres (ved at oplyse sit login) og derefter autentificeres (ved at oplyse adgangskoden og en engangs-bekræftelseskode) for at få ret til at læse dokumentet (autorisation).

Når det gælder om at læse indholdet af din postkasse, vil Google aldrig autorisere en anonym vaskebjørn til at læse dine beskeder Vaskebjørnen skulle præsentere sig selv som dig med dit login og din adgangskode, hvorefter den ikke længere ville være en anonym vaskebjørn; Google ville identificere den som dig.

Så, nu ved du, på hvilke måder identifikation adskiller sig fra autentifikation og autorisation. Endnu et vigtigt punkt: Autentifikation er måske den vigtigste proces med hensyn til sikkerheden på din konto. Hvis du bruger en svag adgangskode til autentificering, kan en vaskebjørn kapre din konto. Derfor:

• Opret stærke og unikke adgangskoder til alle dine konti.
• Hvis du har problemer med at huske dine adgangskoder, har du en adgangskodeadministrator i ryggen. Den kan også hjælpe med at generere adgangskoder.
• Aktiver to-faktor-godkendelse med engangsbekræftelseskoder i sms’er eller en authenticator-applikation for alle de tjenester, der understøtter det. Ellers vil en anonym vaskebjørn, der har fået fingrene i din adgangskode, kunne læse din hemmelige korrespondance eller gøre noget endnu værre.