Hoe identificatie, authenticatie en autorisatie verschillen

Het overkomt ieder van ons elke dag. We worden voortdurend geïdentificeerd, geauthenticeerd en geautoriseerd door verschillende systemen. En toch verwarren veel mensen de betekenis van deze woorden, waarbij ze vaak de termen identificatie of autorisatie gebruiken terwijl ze het in feite over authenticatie hebben.

Dat is niet erg zolang het maar een alledaags gesprek is en beide partijen begrijpen waar ze het over hebben. Het is echter altijd beter om de betekenis te kennen van de woorden die je gebruikt, en vroeg of laat kom je een geek tegen die je gek maakt met verduidelijkingen, of het nu autorisatie versus authenticatie is, minder of minder, welke of dat, enzovoort.

Dus, wat betekenen de termen identificatie, authenticatie, en autorisatie, en hoe verschillen de processen van elkaar? Eerst zullen we Wikipedia raadplegen:

• “Identificatie is de handeling van het aangeven van de identiteit van een persoon of ding.”
• “Authenticatie is de handeling van het bewijzen van de identiteit van een gebruiker van een computersysteem” (bijvoorbeeld door het ingevoerde wachtwoord te vergelijken met het wachtwoord dat in de database is opgeslagen).
• “Autorisatie is de functie van het specificeren van toegangsrechten/privileges tot bronnen.”

Je kunt zien waarom mensen die niet echt bekend zijn met de concepten ze door elkaar zouden kunnen halen.

Roekberen gebruiken om identificatie, authenticatie en autorisatie uit te leggen

Nou, voor een grotere eenvoud, laten we een voorbeeld gebruiken. Laten we zeggen dat een gebruiker wil inloggen op zijn Google-account. Google werkt goed als voorbeeld omdat het inlogproces netjes is opgedeeld in een aantal basisstappen. Het ziet er als volgt uit:

• Eerst vraagt het systeem om een login. De gebruiker voert er een in en het systeem herkent het als een echte login. Dit is identificatie.
• Google vraagt vervolgens om een wachtwoord. De gebruiker geeft het, en als het ingevoerde wachtwoord overeenkomt met het opgeslagen wachtwoord, dan erkent het systeem dat de gebruiker inderdaad echt lijkt te zijn. Dit is authenticatie.
• In de meeste gevallen vraagt Google vervolgens ook om een eenmalige verificatiecode uit een sms-bericht of authenticator-app. Als de gebruiker ook die correct invoert, zal het systeem uiteindelijk akkoord gaan dat hij of zij de echte eigenaar van het account is. Dit is two-factor authentication.
• Ten slotte geeft het systeem de gebruiker het recht om berichten in zijn inbox en dergelijke te lezen. Dit is autorisatie.

Authenticatie zonder voorafgaande identificatie heeft geen zin; het zou zinloos zijn om te gaan controleren voordat het systeem wist wiens authenticiteit moet worden geverifieerd. Men moet zich eerst voorstellen.

Op dezelfde lijn, identificatie zonder authenticatie zou dwaas zijn. Iedereen zou elke login kunnen invoeren die in de database bestaat – het systeem zou het wachtwoord nodig hebben. Maar iemand zou stiekem naar het wachtwoord kunnen gluren of het gewoon kunnen raden. Vragen om extra bewijs dat alleen de echte gebruiker kan hebben, zoals een eenmalige verificatiecode, is beter.

Gemachtigd worden zonder identificatie, laat staan authenticatie, is daarentegen heel goed mogelijk. U kunt bijvoorbeeld publieke toegang verlenen tot uw document in Google Drive, zodat het voor iedereen beschikbaar is. In dat geval zou u een bericht kunnen zien dat uw document wordt bekeken door een anonieme wasbeer. Hoewel de wasbeer anoniem is, heeft het systeem hem geautoriseerd – dat wil zeggen, het recht gegeven om het document te bekijken.

Hoewel, als je het leesrecht alleen aan bepaalde gebruikers had gegeven, zou de wasbeer moeten worden geïdentificeerd (door het verstrekken van zijn login), dan geauthenticeerd (door het verstrekken van het wachtwoord en een eenmalige verificatiecode) om het recht te krijgen om het document te lezen (autorisatie).

Wanneer het gaat om het lezen van de inhoud van uw mailbox, zal Google nooit een anonieme wasbeer machtigen om uw berichten te lezen. De wasbeer zou zich moeten voorstellen als u, met uw login en wachtwoord, op welk punt hij niet langer een anonieme wasbeer zou zijn; Google zou hem identificeren als u.

Dus, nu weet u op welke manieren identificatie verschilt van authenticatie en autorisatie. Nog een belangrijk punt: Authenticatie is misschien wel het belangrijkste proces als het gaat om de veiligheid van uw account. Als je een zwak wachtwoord gebruikt voor de authenticatie, kan een wasbeer je account kapen. Daarom:

• Zorg voor sterke en unieke wachtwoorden voor al uw accounts.
• Als u moeite heeft met het onthouden van uw wachtwoorden, heeft een wachtwoordmanager uw rug. Het kan ook helpen bij het genereren van wachtwoorden.
• Activeer tweefactorauthenticatie, met eenmalige verificatiecodes in sms-berichten of een authenticator-applicatie, voor elke service die dit ondersteunt. Anders kan een anonieme wasbeer die uw wachtwoord in handen heeft gekregen, uw geheime correspondentie lezen of iets nog smerigers doen.