Hur identifiering, autentisering och auktorisering skiljer sig åt

Det händer var och en av oss varje dag. Vi identifieras, autentiseras och auktoriseras ständigt av olika system. Ändå är det många som blandar ihop betydelsen av dessa ord och ofta använder begreppen identifiering eller auktorisering när de i själva verket talar om autentisering.

Det är ingen stor sak så länge det bara är en vardaglig konversation och båda sidor förstår vad de talar om. Det är dock alltid bättre att känna till innebörden av de ord man använder, och förr eller senare kommer du att stöta på en nörd som kommer att driva dig till vansinne med förtydliganden, oavsett om det är auktorisering kontra autentisering, färre eller färre, vilken eller vilken och så vidare.

Så, vad betyder termerna identifiering, autentisering och auktorisering, och hur skiljer sig processerna från varandra? Först konsulterar vi Wikipedia:

• ”Identifiering är den handling som anger en persons eller saks identitet.”
• ”Autentisering är den handling som bevisar identiteten hos en användare av ett datorsystem” (till exempel genom att jämföra det inmatade lösenordet med det lösenord som finns lagrat i databasen).
• ”Auktorisering är funktionen att specificera åtkomsträttigheter/privilegier till resurser.”

Du förstår varför personer som inte är riktigt bekanta med begreppen kan blanda ihop dem.

Användning av tvättbjörnar för att förklara identifiering, autentisering och auktorisering

För att göra det enklare kan vi nu använda ett exempel. Låt oss säga att en användare vill logga in på sitt Google-konto. Google fungerar bra som exempel eftersom dess inloggningsprocess är snyggt uppdelad i flera grundläggande steg. Så här ser det ut:

• Först ber systemet om en inloggning. Användaren anger ett och systemet känner igen det som en riktig inloggning. Detta är identifiering.
• Google frågar sedan efter ett lösenord. Användaren anger det, och om det inmatade lösenordet stämmer överens med det lagrade lösenordet godkänner systemet att användaren faktiskt verkar vara verklig. Detta är autentisering.
• I de flesta fall ber Google sedan också om en engångsverifieringskod från ett sms eller en autentiseringsapp. Om användaren anger även den korrekt kommer systemet slutligen att godkänna att han eller hon är den verkliga ägaren till kontot. Detta är tvåfaktorsautentisering.
• Slutligt ger systemet användaren rätt att läsa meddelanden i sin inkorg och liknande. Detta är auktorisering.

Autentisering utan föregående identifiering är meningslös; det skulle vara meningslöst att börja kontrollera innan systemet visste vems äkthet det skulle kontrollera. Man måste presentera sig själv först.

I samma anda skulle identifiering utan autentisering vara dumt. Vem som helst skulle kunna ange vilken inloggning som helst som finns i databasen – systemet skulle behöva lösenordet. Men någon skulle kunna smygtitta på lösenordet eller bara gissa det. Att begära ytterligare bevis som endast den riktiga användaren kan ha, t.ex. en engångsverifieringskod, är bättre.

Däremot är auktorisering utan identifiering, för att inte tala om autentisering, fullt möjligt. Du kan till exempel ge offentlig tillgång till ditt dokument i Google Drive, så att det är tillgängligt för vem som helst. I det fallet kan du se ett meddelande som säger att ditt dokument är på väg att läsas av en anonym tvättbjörn. Även om tvättbjörnen är anonym har systemet auktoriserat den – det vill säga gett den rätt att läsa dokumentet.

Om du däremot hade gett läsrättigheterna endast till vissa användare skulle tvättbjörnen ha varit tvungen att bli identifierad (genom att uppge sitt inloggningsnamn) och sedan autentiserad (genom att uppge lösenordet och en engångsbekräftelsekod) för att få rätt att läsa dokumentet (auktorisering).

När det gäller att läsa innehållet i din brevlåda kommer Google aldrig att auktorisera en anonym tvättbjörn att läsa dina meddelanden Tvättbjörnen skulle behöva presentera sig som dig, med ditt inloggningsnummer och lösenord, och då skulle den inte längre vara en anonym tvättbjörn, utan Google skulle identifiera den som dig.

Så, nu vet du på vilka sätt identifiering skiljer sig från autentisering och auktorisering. Det finns ytterligare en viktig punkt: Autentisering är kanske den viktigaste processen när det gäller säkerheten för ditt konto. Om du använder ett svagt lösenord för autentisering kan en tvättbjörn kapa ditt konto. Därför:

• Skapa starka och unika lösenord för alla dina konton.
• Om du har svårt att komma ihåg dina lösenord har en lösenordshanterare din rygg. Den kan också hjälpa till med att generera lösenord.
• Aktivera tvåfaktorsautentisering, med engångsverifieringskoder i sms eller en autentiseringsapplikation, för alla tjänster som stöder det. Annars kan en anonym tvättbjörn som fått tag på ditt lösenord läsa din hemliga korrespondens eller göra något ännu otäckare.