Authenticatie

Authenticatie (AuthN)

Waar identiteits- en toegangsmanagement begint met identificatie, is authenticatie de tweede stap. Authenticatie, ook vaak aangeduid met een internationaal synoniem als ‘authentication’ of de afkorting ‘AuthN’, is een van de beveiligingsprocessen binnen het IAM-framework. Maar wat bedoelen we precies met authenticatie in deze context? En wat is het verschil met een verwant begrip als autorisatie? Lees verder voor de antwoorden.

Wat is authenticatie?

Authenticatie is een belangrijk onderdeel van een identity and access management (IAM) systeem, en verwijst naar de processen en mechanismen die worden gebruikt om de identiteit van een gebruiker, applicatie of apparaat te verifiëren. Met andere woorden: is de gebruiker, applicatie of het apparaat daadwerkelijk wie of wat hij/zij/het pretendeert te zijn? Een authenticatiesysteem vergelijkt de opgegeven digitale identiteit met de echtheidskenmerken en gegevens die bij jou bekend zijn. Authenticatie is de tweede stap in het IAM-beveiligingsproces.

Vrijwel elke internetgebruiker heeft dagelijks wel een keer te maken met authenticatie. Neem bijvoorbeeld het inloggen in je zakelijke of persoonlijke Google- of Outlook-account. Na het invoeren van je gebruikersnaam of email (identificatie) vragen Google en Microsoft om een wachtwoord. De gebruiker vult dit vervolgens in. Komt het ingevoerde wachtwoord overeen met het opgeslagen wachtwoord? Dan gaat het systeem ervan uit dat jij de echte gebruiker bent en is de authenticatie geslaagd.

Wat zijn de meest voorkomende authenticatiefactoren?

Er zijn verschillende authenticatiefactoren, ook wel ‘credentials’ genoemd, die elk hun eigen voor- en nadelen kennen. Deze zijn onder te verdelen in iets wat je weet, hebt, bent of doet. Enkele van de meest belangrijke en voorkomende zijn:

  • Wachtwoorden: dit is de meest voorkomende authenticatiefactor, waarbij een gebruiker een gebruikersnaam en wachtwoord opgeeft om toegang te krijgen tot een systeem of dienst. Als een gebruiker de juiste geheime combinatie van letters, cijfers en/of tekens weet, gaat het systeem ervan uit dat de digitale identiteit geldig is en geeft het de gebruiker toegang. Het is belangrijk dat een wachtwoord niet te eenvoudig en voor de hand liggend, en dus moeilijk te raden is.
  • Eenmalige pincodes: dit is een verificatiefactor waarbij je als gebruiker vanuit bijvoorbeeld een SMS of authenticator app een eenmalige code hebt ontvangen en dient op te geven om te kunnen inloggen. Het is gebruikelijk dat deze codes een beperkte geldigheidsduur hebben en niet meermaals gebruikt kunnen worden.T
  • Biometrische kenmerken: dit is een type credential dat een gebruiker verifieert op basis van fysieke, ofwel wat je bent gebaseerde, factoren zoals een irisscan, gezichtsherkenning of vingerafdruk. Denk bijvoorbeeld aan FaceID op een Apple iPhone.

Wat is sterke authenticatie?

Hackers gaan steeds slimmer en professioneler te werk waardoor meer en meer organisaties en softwareleveranciers tegenwoordig sterke authenticatie vereisen. De gebruiker moet hierbij niet een, maar meerdere authenticatiestappen doorlopen om zich te authenticeren. Om sterke authenticatie daadwerkelijk veiliger te laten zijn dan traditionele vormen van authenticatie is het belangrijk dat om een combinatie van verschillende type factoren te gebruiken. Het toepassen van twee wachtwoorden maakt het inlogproces niet per se veiliger. Ze kunnen namelijk alsnog beiden worden gekraakt of geraden. Combineer je een SMS-pincode met een authenticatie app dan kan iemand met een gestolen telefoon zich alsnog onterecht toegang verschaffen. Combineer je echter compleet verschillende authenticatiefactoren dan verklein je de kans dat iemand ongeoorloofd toegang krijgt tot data, applicaties en systemen.

In zijn totaliteit kunnen we de volgende vormen van authenticatie onderscheiden waarvan de laatste twee onder de noemer ‘sterke authenticatie’ vallen:

  • Single-factor authenticatie: dit is de meest eenvoudige, maar ook de onveiligste vorm van authenticatie. De gebruiker hoeft slechts één credential, of ‘factor’, te verstrekken om zijn identiteit te verifiëren. Dit is meestal een wachtwoord, maar het kan ook zoiets zijn als een eenmalige pincode die via een gelinkte smartphone-app op te halen is.
  • Tweefactorauthenticatie: deze vorm van authenticatie is sterk opkomend en vereist de gebruiker twee bewijzen te leveren om zijn identiteit te verifiëren. Dit is vaak een combinatie van iets dat de gebruiker weet (zoals een wachtwoord) en iets dat de gebruiker heeft (zoals een toegangspas of een eenmalige code die naar zijn telefoon wordt gestuurd).
  • Multifactorauthenticatie: dit is een type authenticatie waarbij de gebruiker meer dan twee bewijsstukken moet leveren om zijn identiteit te verifiëren. Dit kan bijvoorbeeld een combinatie zijn van iets dat de gebruiker weet, iets dat de gebruiker heeft en iets dat de gebruiker is (zoals een biometrische factor zoals een vingerafdruk of een irisscan).

Wat is het verschil tussen authenticatie en autorisatie?

Authenticatie wordt vaak in een adem genoemd met autorisatie. Hoewel de twee begrippen zeker raakvlakken hebben en allebei deel uitmaken van het IAM-proces, betekenen ze niet hetzelfde.

We kunnen het verschil tussen authenticatie en autorisatie duidelijk maken aan de hand van een analogie. Stel dat er buiten kantooruren een schoonmaakploeg langskomt om je bedrijfsgebouw of kantoor een poetsbeurt te geven. De identiteitskaart die de schoonmakers aan de bewaker laten zien, is de authenticatie die hen het gebouw laat betreden en vergelijkbaar met de inloggegevens waarmee gebruikers inloggen op een digitaal systeem.

Autorisatie heeft betrekking op waar de schoonmaakploeg in het gebouw mag komen en wat ze mogen doen. De schoonmakers mogen van de bewaker bijvoorbeeld wel spullen verschuiven en tijdelijk verplaatsen om alle hoekjes van het kantoor goed te reinigen. Maar ze mogen niet de serverruimte betreden of gebruikmaken van de bedrijfsapparatuur om hun mails te bekijken.

De bewaker vertegenwoordigd in bovenstaande voorbeeld het IAM-systeem dat verantwoordelijk is voor zowel de authenticatie en autorisatie. Samengevat komt het verschil tussen authenticatie en autorisatie in een IAM-context hierop neer:

  • Authenticatie verifieert de identiteit van een gebruiker met behulp van een gebruikersnaam, wachtwoord en/of andere authenticatiefactoren.
  • Autorisatie bepaalt tot welke afgeschermde delen van een applicatie of systeem de gebruiker vervolgens toegang krijgt.

Kortom, authenticatie gaat over het verifiëren van de identiteit, terwijl autorisatie gaat over het verlenen van toegang tot informatie en uitvoeren van acties.