Identificatie en authenticatie: overeenkomsten en verschillen

Nu iedereen wereldwijd steeds meer zaken online doet, moeten gebruikers constant worden geïdentificeerd, geauthenticeerd en geautoriseerd. Deze termen worden vaak door elkaar gebruikt, maar verwijzen elk naar iets anders, werken op verschillende manieren en vervullen specifieke taken. 

Identificatie verwijst naar het identificeren van een specifieke gebruiker, meestal aan de hand van een gebruikersnaam. Authenticatie verwijst naar het bewijzen van de identiteit van de gebruiker, meestal met een wachtwoord dat wordt ingevoerd. 

Pas nadat gebruikers zich naar behoren hebben geïdentificeerd en geauthenticeerd, mogen ze toegang tot systemen of machtigingen krijgen. Bij autorisatie worden rechten en machtigingen toegewezen voor specifieke resources. Identificatie en authenticatie dienen specifieke doeleinden en zijn noodzakelijke onderdelen van data security. 

Identificatie en authenticatie: definities

Identificatie is de eerste stap in de meeste onlinetransacties. Gebruikers moeten aangeven wie ze zijn, meestal door een naam, e-mailadres, telefoonnummer of gebruikersnaam op te geven. Dit is het proces waarmee mensen aangeven of zij een bepaalde persoon zijn. 

In een online-omgeving kan het echter lastig zijn om na te gaan of personen wel hun echte identiteit opgeven en zijn wie ze beweren te zijn. 

Hun identiteit kan dan worden geverifieerd aan de hand van aanvullende informatie, bijvoorbeeld een door een overheid afgegeven identiteitsbewijs. Dit verificatieproces vindt meestal alleen de eerste keer plaats dat u een account aanmaakt of een site bezoekt. Daarna wordt uw identiteit geauthenticeerd. In de meeste gevallen zal u daarvoor een wachtwoord aanmaken om in combinatie met uw gebruikersnaam te gebruiken.

Wanneer u zich − na verificatie van uw identiteit − voor het eerst aanmeldt voor een systeem, service of organisatie, er toegang toe krijgt of een onboarding doorloopt, wordt een bepaalde vorm van authenticatie opgezet. Dit authenticatieproces moet u vervolgens elke keer dat u de service of applicatie gebruikt, opnieuw doorlopen. 

Voor digitale authenticatie is een van de volgende dingen nodig:

  • iets dat een persoon weet: een wachtwoord of securityvraag;
  • iets dat een persoon heeft: een token, smartcard, ID-kaart of cryptografische sleutel;
  • iets dat een persoon is: biometrische data, zoals vingerafdrukken of een gezichtsscan.

Met authenticatie tonen gebruikers aan dat zij nog steeds de persoon zijn die ze in de identificatiefase beweerden te zijn. De veiligste authenticatiemethoden zijn gebaseerd op multi-factor authenticatie (MFA), waarbij meer dan één vorm van authenticatie wordt gebruikt.

Autorisatie: een toelichting

Autorisatie verwijst naar het verlenen van toegang tot een service of systeem en het toekennen van rechten en machtigingen aan een gebruiker op basis van de eerder uitgevoerde identificatie en authenticatie. 

In 2020 waren er bijna 5 miljoen meldingen van identiteitsdiefstal en fraude. Cybercriminaliteit is een groot probleem. Kwaadwillenden stelen persoonsgegevens en doen zich voor als legitieme gebruikers. 

Met autorisatie kunnen we controleren of personen zijn wie ze beweren te zijn, of ze specifieke services mogen gebruiken en of ze bepaalde machtigingen hebben. Om effectief te kunnen zijn, moet autorisatie na identificatie en authenticatie plaatsvinden.

Waar elk protocol wordt toegepast

Identificatie wordt gebruikt in de eerste configuratiefase van accounts en services en tijdens de onboarding bij organisaties. Het is noodzakelijk dat personen informatie verstrekken om hun identiteit aan te tonen en dat deze identiteit vervolgens wordt geverifieerd. 

Voor de verificatie van de identiteit kan onder meer gebruik worden gemaakt van identiteitsbewijzen, kennis waarov