Hoe identificatie, authenticatie en autorisatie van elkaar verschillen

Het gebeurt ons allemaal elke dag. We worden constant geïdentificeerd, geauthentiseerd en geautoriseerd door verschillende systemen. En toch verwarren veel mensen de betekenis van deze woorden, en worden de termen identificatie of autorisatie gebruikt als er eigenlijk authenticatie wordt bedoeld.

Dat is niet zo’n probleem zolang het een alledaags gesprek is en beide kanten begrijpen waar ze het over hebben. Het is altijd beter om de betekenis van de woorden die je gebruikt te weten, want vroeg of laat kom je een studiebol tegen die je helemaal gek maakt met een taalles over autorisatie versus authenticatie, als of dan, me of mij, enzovoorts.

Dus wat betekenen de termen identificatie, authenticatie en autorisatie en hoe verschilt het ene proces van het andere? We raadplegen allereerst Wikipedia:

• “Identificatie is het kenbaar maken van de identiteit van een subject.”
• “Authenticatie is het kenbaar maken van de identiteit van een subject” (bijvoorbeeld door het ingevoerde wachtwoord te vergelijken met het wachtwoord dat in de database is opgeslagen).
• “Autorisatie is het proces waarin een subject (een persoon of een proces) rechten krijgt op het benaderen van een object (een bestand, een systeem).”

U ziet hier waarom mensen die niet heel bekend zijn met deze concepten ze zouden kunnen verwarren.

Wasberen gebruiken om identificatie, authenticatie en autorisatie uit te leggen

Om het wat eenvoudiger te maken pakken er we een voorbeeld bij. Stel dat een gebruiker wil inloggen op zijn of haar Google-account. Google werkt goed als voorbeeld omdat het inlogproces netjes is opgedeeld in verschillende basisstappen. Dat ziet er zo uit:

• Allereerst vraagt het systeem om een login. De gebruiker voert die in en het systeem herkent dat als een echte login. Dit is identificatie.
• Google vraagt vervolgens om een wachtwoord. De gebruiker voert die in, en als het wachtwoord overeenkomt met het opgeslagen wachtwoord, dan stemt het systeem ermee in dat de gebruiker inderdaad echt lijkt te zijn. Dit is authenticatie.
• In de meeste gevallen vraagt Google vervolgens ook nog om een eenmalige verificatiecode via een sms’je of een authenticator-app. Als de gebruiker ook deze code correct invult, is het systeem eindelijk overtuigt dat diegene ook de daadwerkelijke eigenaar van het account is. Dit is tweestapsverificatie.
• Tenslotte geeft het systeem de gebruiker het recht om berichten in de inbox te lezen en meer. Dit is autorisatie.

Authenticatie zonder voorafgaande identificatie heeft geen zin; het zou nutteloos zijn om te beginnen met een controle voordat het systeem weet wiens authenticiteit er moet worden geverifieerd. Iemand moet zich eerst kenbaar maken.

Op eenzelfde soort manier zou identificatie zonder authenticatie raar zijn. Iedereen zou dan elk soort login dat in de database bestaat kunnen invoeren. Het systeem heeft ook een wachtwoord nodig. Maar iemand kan een wachtwoord hebben afgekeken of het simpelweg hebben geraden. Het is beter om nog voor aanvullend bewijs te vragen dat alleen de echte gebruiker kan verstrekken, zoals bijvoorbeeld een eenmalige verificatiecode.

Autorisatie zonder identificatie, laat staan authenticatie, is in tegenstelling wel goed mogelijk. U kunt bijvoorbeeld openbare toegang tot uw document in Google Drive verstrekken die voor iedereen beschikbaar is. In dat geval kan het zijn dat u een bericht ziet waarin staat dat uw document wordt bekeken door een “anonieme wasbeer”. Hoewel die wasbeer anoniem is, heeft het systeem hem wel geautoriseerd, oftewel toestemming gegeven om het document te bekijken.

Maar als u het recht om in te zien alleen aan bepaalde gebruikers hebt gegeven, moet die wasbeer geïdentificeerd zijn (door een login te verstrekken), vervolgens geauthentiseerd (door een wachtwoord en een eenmalige verificatiecode) om toestemming te krijgen om het document te lezen (autorisatie).

Als het gaat om het lezen van de inhoud van uw mailbox, zal Google nooit een anonieme wasbeer autoriseren om uw berichten te lezen. De wasbeer moet zichzelf daarvoor als u voordoen, met uw login en wachtwoord, en dan zou het niet langer een anonieme wasbeer zijn; Google zou die dan als u identificeren.

Dus nu weet u op welke manieren identificatie verschilt van authenticatie en autorisatie. Nog één belangrijk punt: Authenticatie is wellicht het belangrijkste proces als het gaat om de beveiliging van uw account. Als u een zwak wachtwoord voor de authenticatie gebruikt, zou een wasbeer uw account kunnen kapen. Daarom:

• Creëer sterke en unieke wachtwoorden voor al uw accounts.
• Als u het lastig vindt om al uw wachtwoorden te onthouden, gebruik dan een wachtwoord-manager. Die kan ook helpen bij het genereren van wachtwoorden.
• Activeer tweestapsverificatie met eenmalige verificatiecodes in sms-berichten of een authenticator-applicatie bij elke dienst die dit ondersteunt. Anders kan een anonieme wasbeer die uw wachtwoord in handen krijgt zomaar uw geheime correspondentie lezen, of erger.