Miten tunnistaminen, todennus ja valtuutus eroavat toisistaan

Se tapahtuu jokaiselle meistä joka päivä. Meidät tunnistetaan, todennetaan ja valtuutetaan jatkuvasti eri järjestelmissä. Silti monet ihmiset sekoittavat näiden sanojen merkitykset keskenään ja käyttävät usein termejä tunnistaminen tai valtuuttaminen, vaikka todellisuudessa he puhuvat autentikoinnista.

Ei siinä ole mitään pahaa, kunhan kyse on vain jokapäiväisestä keskustelusta ja molemmat osapuolet ymmärtävät, mistä he puhuvat. Aina on kuitenkin parempi tietää käyttämiensä sanojen merkitys, ja ennemmin tai myöhemmin törmäät nörttiin, joka tekee sinut hulluksi selvennyksillä, onko kyse auktorisoinnista vai autentikoinnista, vähemmän vai vähemmän, mikä vai mikä ja niin edelleen.

Mitä termit tunnistaminen, autentikointi ja auktorisointi siis tarkoittavat, ja miten prosessit eroavat toisistaan? Konsultoimme ensin Wikipediaa:

• ”Tunnistaminen on teko, jolla osoitetaan henkilön tai esineen henkilöllisyys.”
• ”Autentikointi on teko, jolla todistetaan tietokonejärjestelmän käyttäjän henkilöllisyys” (esimerkiksi vertaamalla syötettyä salasanaa tietokantaan tallennettuun salasanaan).
• ”Auktorisointi on toiminto, jossa määritetään resurssien käyttöoikeudet/oikeudet.”

Voit ymmärtää, miksi ihmiset, jotka eivät tunne näitä käsitteitä kunnolla, saattavat sekoittaa ne keskenään.

Käyttämällä pesukarhuja tunnistamisen, autentikoinnin ja auktorisoinnin selittämiseen

Käytetään nyt yksinkertaisuuden vuoksi esimerkkiä. Oletetaan, että käyttäjä haluaa kirjautua Google-tililleen. Google toimii hyvin esimerkkinä, koska sen kirjautumisprosessi on siististi jaettu useisiin perusvaiheisiin. Se näyttää seuraavalta:

• Ensin järjestelmä pyytää kirjautumista. Käyttäjä syöttää sellaisen ja järjestelmä tunnistaa sen oikeaksi tunnukseksi. Tämä on tunnistaminen.
• Google kysyy sitten salasanaa. Käyttäjä antaa sen, ja jos syötetty salasana täsmää tallennettuun salasanaan, järjestelmä hyväksyy, että käyttäjä todellakin vaikuttaa aidolta. Tämä on todennus.
• Useimmissa tapauksissa Google pyytää tämän jälkeen myös kertaluonteisen vahvistuskoodin tekstiviestillä tai todennussovelluksella. Jos käyttäjä syöttää senkin oikein, järjestelmä hyväksyy lopulta, että hän on tilin todellinen omistaja. Tämä on kaksitekijätodennus.
• Viimeiseksi järjestelmä antaa käyttäjälle oikeuden lukea viestejä postilaatikossaan ja vastaavaa. Tämä on auktorisointia.

Autentikoinnissa ilman edeltävää tunnistamista ei ole mitään järkeä; olisi turhaa aloittaa tarkistaminen ennen kuin järjestelmä tietää, kenen aitous on tarkistettava. Ensin pitää esittäytyä.

Samoin tunnistautuminen ilman autentikointia olisi typerää. Kuka tahansa voisi syöttää minkä tahansa tietokannassa olevan tunnuksen – järjestelmä tarvitsisi salasanan. Mutta joku voisi salaa kurkistaa salasanan tai vain arvata sen. Lisätodisteen pyytäminen, joka vain oikealla käyttäjällä voi olla, kuten kertakäyttövarmennuskoodi, on parempi.

Vastakohtaisesti valtuutus ilman tunnistusta, saati sitten autentikointia, on täysin mahdollista. Voit esimerkiksi tarjota julkisen pääsyn dokumenttiisi Google Drivessa, jolloin se on kenen tahansa saatavilla. Tällöin saatat nähdä ilmoituksen, jonka mukaan asiakirjasi on anonyymin pesukarhun tarkasteltavana. Vaikka pesukarhu on anonyymi, järjestelmä valtuutti sen – eli myönsi sille oikeuden katsoa asiakirjaa.

Jos olisit kuitenkin antanut lukuoikeuden vain tietyille käyttäjille, pesukarhun olisi pitänyt ensin tunnistautua (antamalla käyttäjätunnuksensa) ja sen jälkeen autentikoitua (antamalla salasana ja kertaluonteinen vahvistuskoodi) saadakseen oikeuden lukea asiakirjaa (valtuutus).

Kun on kyse postilaatikkosi sisällön lukemisesta, Google ei koskaan anna anonyymille pesukarhulle lupaa lukea viestejäsi Pesukarhun olisi esiteltävä itsensä sinuksi, annettava käyttäjätunnuksesi ja salasanasi, jolloin se ei olisi enää anonyymi pesukarhu, vaan Google tunnistaisi sen sinuksi.

Nyt tiedät siis, millä tavoin tunnistautuminen eroaa autentikoimisesta ja valtuuttamisesta. Vielä yksi tärkeä seikka: Tunnistaminen on ehkä tärkein prosessi tilisi turvallisuuden kannalta. Jos käytät tunnistautumiseen heikkoa salasanaa, pesukarhu voi kaapata tilisi. Siksi:

• Luo vahvat ja yksilölliset salasanat kaikille tileillesi.
• Jos sinulla on vaikeuksia muistaa salasanojasi, salasanahallinta on tukenasi. Se voi auttaa myös salasanojen luomisessa.
• Aktivoi kaksitekijätodennus tekstiviesteissä olevilla kertaluonteisilla varmennuskoodeilla tai todennussovelluksella kaikkiin sitä tukeviin palveluihin. Muuten joku salasanasi tassuihinsa saanut nimetön pesukarhu voi lukea salaisen kirjeenvaihtosi tai tehdä jotain vielä ilkeämpää.