Identificatie, verificatie en autorisatie: wat is het verschil?

digitale identiteit - blogpost connective

Als het over digitale identiteiten gaat, gebruiken we vaak termen zoals ‘identificatie’, ‘verificatie’ en ‘autorisatie’. Maar voor sommige bedrijven die in een oplossing willen investeren om hun klanten digitaal te identificeren, is het verschil tussen deze termen niet altijd duidelijk.

Daarom leggen we in deze blogpost tot in de puntjes uit wat deze termen precies betekenen en waarin ze verschillen op het vlak van betekenis, beveiliging enzovoort. Daar gaan we!

Identificatie

Het eerste begrip is meteen ook het meest voor de hand liggende. Bij digitale identificatie beweert een gebruiker een bepaalde persoon te zijn. Meestal gebeurt dit met een gebruikersnaam of e-mailadres, maar soms moet de gebruiker zijn identiteit bevestigen met een eID, BankID, smartcard of iets dergelijks. Wat informatieveiligheid betreft kun je dit vergelijken met het invullen van een gebruikersnaam of persoonlijke gegevens zoals een naam en geboortedatum, want hiermee maak je duidelijk wie je bent (of beweert te zijn).

In deze fase is er GEEN wachtwoord of pincode vereist. Dat hoort namelijk bij de verificatiestap, de volgende stap in het proces. Identificatie gebeurt vaak in face-to-facesituaties, zoals in een bank of ziekenhuis waar je je eID in een lezer steekt zodat de bediende de identiteitsinformatie op de microchip kan inlezen. Op zo’n moment vraagt de bediende je geen wachtwoord.

Verificatie

Zoals we al zeiden is dit de stap waarbij je bewijst dat je bent wie je beweert te zijn. Als je jezelf identificeert door bijvoorbeeld een gebruikersnaam in het naamvakje van een website in te vullen, moet je vervolgens bewijzen dat jij de persoon bent die de gevraagde toegang mag krijgen. Dat heet verificatie en kan op verschillende manieren gebeuren.

Iets dat je weet

De meeste systemen verifiëren je identiteit met ‘iets dat je weet’, zoals een wachtwoord of pincode. Dit is een geheim dat alleen jij en het systeem kennen. Als jij dus het juiste wachtwoord of de juiste pincode ingeeft, weet het systeem dat jij het echt bent.

Iets dat je hebt

Een andere verificatiemethode houdt in dat je ‘iets dat je hebt’ gebruikt. Een smartcard, rijbewijs of USB-token, bijvoorbeeld. Een smartcard is een combinatie van beide: deze kaart bevat een microchip en een of meerdere certificaten (iets dat je hebt), maar je hebt ook een pincode (iets dat je weet) nodig om jezelf te verifiëren. Dat heet multi-factor authentication. Meer uitleg hierover volgt later in deze blogpost.

Iets dat je bent

Tot slot kun je je identiteit ook verifiëren met ‘iets dat je bent’. Dat klinkt misschien vreemd, maar deze verificatiemethode is een van de vaakst voorkomende in ons dagelijkse leven. Hoe ontgrendel je bijvoorbeeld je smartphone? We schatten dat 95 % van onze lezers dit doen met hun vingerafdruk of gezichtsherkenning. Dat bedoelen we dus! ‘Iets dat je bent’ verwijst naar biometrische gegevens, zoals een duimafdruk, irisscan of gezichtsherkenning. Dit systeem verifieert gebruikers door een fysieke eigenschap met de in het systeem geregistreerde waarde te vergelijken.

Multi-factor authentication

Als er meer dan één verificatiefactor wordt gebruikt, heet dit ‘multi-factor authentication’. Denk bijvoorbeeld aan een geheim onderzoekslaboratorium waar laboranten hun ID-kaart moeten tonen, een pincode moeten intikken én een vingerafdruk laten scannen voor ze erin mogen (iets dat je hebt + iets dat je weet + iets dat je bent). Zo’n laboratorium gebruikt multi-factor authentication.

Nu we ons met succes hebben geïdentificeerd en geverifieerd, hebben we eigenlijk twee dingen gedaan: we hebben beweerd iemand te zijn en bewezen dat dit klopt. Nu moet het systeem nog een laatste punt bepalen: wat mag je precies doen?

Autorisatie

Autorisatie is de laatste stap in het proces.  Nadat een gebruiker zichzelf heeft geïdentificeerd en zijn identiteit heeft geverifieerd, bepaalt de autorisatie wat de gebruiker in het systeem mag doen.

Goed om weten: autorisatie is onmogelijk zonder identificatie en verificatie. Beeld je even in dat iedereen met hetzelfde account zou inloggen: ofwel geef je dan iedereen dezelfde rechten, ofwel blokkeer je bepaalde rechten voor iedereen. Als alle gebruikers via hetzelfde account werken, kun je geen onderscheid tussen hen maken.

Maar als alle gebruikers met hun eigen account inloggen, kun je wél verschillende toegangsniveaus of rechten toekennen afhankelijk van hun identiteit. Zo geef je bijvoorbeeld een systeembeheerder meer rechten en uitgebreidere toegang dan een gewone gebruiker.

Met de oplossingen eSignatures en Identity Hub biedt Connective je verschillende manieren om gebruikers te identificeren, verifiëren en autoriseren. Heb je nog vragen over welke mogelijkheden onze oplossingen precies inhouden? Aarzel dan niet om contact met ons op te nemen. Wij tonen je met plezier alle opties.