Wat is authenticatie? Verschillende authenticatiemethoden

Authenticatie is het proces waarbij je weet wie je bondgenoot is en wie je vijand is, en de vijand kennen is al het halve werk. Het is de eerste controle in het proces om te verifiëren of een gebruiker, apparaat of systeem daadwerkelijk is wie of wat het beweert te zijn bij een toegangsverzoek.

Of een gebruiker nu inlogt op e-mail, een webapplicatie opent, verbinding maakt met een VPN of inlogt op een intern dashboard, authenticatie bepaalt of de identiteit achter het verzoek betrouwbaar is. Toegang tot de dienst wordt pas verleend nadat de authenticatie is voltooid. 

Zwakke authenticatie kan alle andere beveiligingsmaatregelen irrelevant maken. Aanvallers hebben geen geavanceerde exploits nodig als ze simpelweg kunnen inloggen als een legitieme gebruiker. 

Laten we zonder verder omhaal eens dieper ingaan op wat authenticatie nu eigenlijk is en hoe de verschillende authenticatiemethoden werken.

Wat is authenticatie?

Authenticatie is het proces waarbij een identiteit wordt geverifieerd, wat helpt bij de bescherming van zowel digitale als fysieke bronnen. Het is een fundamenteel onderdeel van het waarborgen van de integriteit en vertrouwelijkheid van gevoelige gegevens.

Authenticatie stelt bedrijven in staat te bevestigen dat alleen de juiste personen, diensten en apps met de juiste machtigingen toegang hebben tot de resources van de organisatie. Dit geldt ook voor niet-menselijke identiteiten zoals servers, webapplicaties en andere machines en workloads.

Authenticatie berust op het eenvoudige principe van het vergelijken van de verstrekte inloggegevens met een geautoriseerde database of authenticatieserver. Als de inloggegevens overeenkomen met de geregistreerde gegevens, wordt toegang verleend; zo niet, dan wordt deze geweigerd. Dit proces voorkomt ongeautoriseerde toegang en beschermt gevoelige informatie.

Moderne authenticatie gaat veel verder dan simpele wachtwoorden. Organisaties gebruiken tegenwoordig meerlaagse verificatiemethoden die iets combineren wat de gebruiker weet, iets wat hij bezit en iets wat hij is.

Hoe authenticatie werkt

In de kern controleert authenticatie of het systeem de aanvrager vertrouwt. Dit kan vervolgens worden onderverdeeld in de volgende primaire stappen:

1. Identiteitsbevestiging: Controleren of de persoon of het systeem dat toegang aanvraagt, gebruikmaakt van legitieme inloggegevens. 
2. Referenties controleren: Door middel van een kruiscontrole in de database wordt vastgesteld wie en welke gebruiker het verzoek heeft ingediend, zodat latere toegang kan worden verleend.
3. Toegangsautorisatie: Toegang verlenen tot de diensten die de gebruiker kan gebruiken.

De verleende autorisatie is gebaseerd op het beleid dat is uitgevaardigd voor de gebruikers-ID die toegang heeft aangevraagd, en alleen de diensten en applicaties die binnen die grenzen zijn toegestaan, zijn beschikbaar voor de gebruiker. 

De rol van authenticatie in beveiliging

Authenticatie is de bouwsteen voor alles. oplossingen voor identiteits- en toegangsbeheer, die verantwoordelijk zijn voor het beheren van gebruikersidentiteiten, hun gedefinieerde levenscyclus en hun toegangsrechten binnen het systeem van een organisatie. 

Het implementeren van authenticatiecontroles verlaagt het risico op ongeautoriseerde toegang en datalekken aanzienlijk, waardoor alle bedrijfsgegevens en de privacy van gebruikers worden beschermd. Dergelijke geplande en systematische controles zijn essentieel voor het afdwingen van toegangscontroles en het beheren van de beveiliging van de netwerken en systemen van een organisatie.

Authenticatie versus autorisatie

Voordat we verdergaan, is het essentieel om het verschil te begrijpen tussen het authenticeren en autoriseren van een ID. Authenticatie begint op het moment dat een ID in het systeem wordt ingevoerd, terwijl autorisatie pas begint nadat de ID succesvol is geverifieerd. 

Nadat de identiteit die aan de inloggegevens is gekoppeld, is geverifieerd, beoordeelt het autorisatiesysteem het verzoek aan de hand van gedefinieerde toegangscontroles. Deze beoordeling omvat verschillende kenmerken, zoals de rol van de gebruiker, het toegewezen gebruiksdoel voor applicaties en de machtigingen die de gebruiker heeft voor toegang tot de bedrijfsdatabase.  

De belangrijkste verschillen tussen authenticatie en autorisatie kunnen als volgt worden samengevat:

Verschillende soorten authenticatie

Er bestaan ​​verschillende authenticatiemethoden, elk met hun eigen parameters en beveiligingsniveau. Laten we eens kijken hoe de verschillende authenticatiemethoden in de praktijk werken:

1. Traditionele methoden: wachtwoorden en gebruikersnamen

Wachtwoorden en gebruikersnamen zijn al jaren de meest gebruikte authenticatiemethoden. De gebruiker wordt gevraagd een unieke gebruikersnaam en wachtwoord aan te maken, meestal als inloggegevens, die vervolgens in de bedrijfsdirectory worden opgeslagen. 

Deze wachtwoorden en gebruikersnamen worden vervolgens versleuteld en opgeslagen in een database die ze controleert telkens wanneer de gebruiker het betreffende wachtwoord en de gebruikersnaam invoert. Bij een succesvolle vergelijking krijgt de gebruiker toegang tot de betreffende diensten. 

 Hoewel wachtwoorden en gebruikersnamen nog steeds veelvuldig worden gebruikt als de standaard authenticatiemethode, brengen ze ook beveiligings- en gebruiksproblemen met zich mee vanwege hun kwetsbaarheid voor phishingaanvallen. 

2. Zonder wachtwoord

Simpel gezegd betekent authenticatie zonder wachtwoord inloggen zonder een traditioneel wachtwoord in te typen. In plaats daarvan wordt de identiteit van de gebruiker geverifieerd aan de hand van andere parameters. Deze parameters zijn onder andere:

1. Biometrie: Vingerafdrukken, gezichtsherkenning en netvliesscans zijn tegenwoordig op de meeste apparaten beschikbaar en kunnen direct aan een persoon worden gekoppeld. Ze zijn moeilijk te vervalsen en handig voor gebruikers die niets meer hoeven te onthouden.
2. Factoren die van invloed zijn op het bezit: Dit omvat onder andere hardwarebeveiligingstokens, authenticatie-apps of eenmalige toegangscodes (OTP's) die via sms of e-mail worden verzonden. Dit zorgt ervoor dat alleen degenen die fysiek in het bezit zijn van het geregistreerde apparaat kunnen inloggen. 
3. Getimede links: Er wordt eenmalig een link naar het geregistreerde e-mailadres van de gebruiker gestuurd, waarmee toegang wordt verleend. Deze methode is vooral populair in apps voor consumenten, omdat een wachtwoord dan niet meer nodig is.

Door de noodzaak voor wachtwoorden en gebruikersnamen, de zwakste schakel in de beveiliging, weg te nemen, verkleinen organisaties het aanvalsoppervlak aanzienlijk.

3. Nul vertrouwen

Zero trust-authenticatie werkt volgens het principe 'nooit vertrouwen, altijd verifiëren'. Deze aanpak past dezelfde strenge controles toe voor authenticatie van zowel gebruikers- als apparaatidentiteiten, waardoor alleen vertrouwde toegang wordt gegarandeerd. 

Bij de zero trust-authenticatiemethode evalueert het systeem continu de identiteit, de status van het apparaat en het gebruikersgedrag om toegang tot resources te verlenen op basis van deze realtime beoordeling. Er wordt geen impliciet vertrouwen verleend, zelfs niet als een gebruiker of apparaat zich binnen het bedrijfsnetwerk bevindt. 

4. Twee-factor- en meer-factormodellen

De tweefactorauthenticatie bouwt voort op authenticatie met of zonder wachtwoord door een extra beveiligingslaag toe te voegen. Om ervoor te zorgen dat alleen geautoriseerde gebruikers toegang hebben tot een account of systeem, moeten gebruikers twee of meer identificatiemethoden overleggen voordat toegang wordt verleend. 

Deze formulieren zijn onderverdeeld op basis van verschillende factoren, zoals een wachtwoord, biometrische authenticatie en een code die naar de telefoon van de gebruiker wordt gestuurd of een verificatielink.

Deze extra stap maakt tweefactorauthenticatie mogelijk. multi-factor authenticatie Het maakt inbreuken en ongeautoriseerde toegang aanzienlijk moeilijker. Het vermindert de impact van gestolen of zwakke wachtwoorden, beschermt tegen phishing en credential-stuffing-aanvallen en beperkt de toegang, zelfs als inloggegevens zijn gecompromitteerd. 

5. Eenmalige aanmelding (SSO)

SSO (Single Sign-On) is een authenticatiemethode waarmee gebruikers met éénmalig inloggen veilig toegang krijgen tot meerdere applicaties, platforms en services. Dit voorkomt wachtwoordmoeheid en maakt naadloos schakelen tussen tools zoals e-mail, klantrelatiebeheersystemen, beheerapps of andere services mogelijk.

SSO Het systeem is sterk afhankelijk van de identiteitsprovider, die verantwoordelijk is voor het authenticeren van gebruikers en het uitgeven van beveiligde tokens die hun identiteit bevestigen. Deze provider fungeert als de vertrouwde autoriteit waarop applicaties vertrouwen en zorgt ervoor dat alleen geverifieerde gebruikers toegang krijgen.

Soorten authenticatieprotocollen

Authenticatieprotocollen zijn essentiële regelsets voor het verifiëren van de identiteit van een eindpunt of een gebruiker door de ontvangende partij, zoals een server. Vrijwel elk computersysteem gebruikt een vorm van netwerkauthenticatie om gebruikers te verifiëren. Deze protocollen bepalen de regels en procedures die voor het verificatieproces worden gebruikt. 

Hieronder vindt u een lijst met de meest gebruikte authenticatieprotocollen in verschillende sectoren:

1. SAML2.0Het stelt gebruikers in staat om met één login toegang te krijgen tot meerdere applicaties. Het maakt gebruik van een veilige uitwisseling van authenticatiegegevens tussen een identiteitsaanbieder en een serviceaanbieder, waardoor gebruikers zich afzonderlijk bij elke service kunnen aanmelden.
2. SCIMHet is een open standaard authenticatieproces dat de uitwisseling van gebruikersidentiteitsgegevens tussen systemen automatiseert. SCIM Biedt consistente mogelijkheden voor het aanmaken, bijwerken en verwijderen van gebruikersaccounts op meerdere platformen.
3. OAuth 2.0Het stelt apps in staat om beperkte toegang te vragen tot gebruikersgegevens die door een andere dienst, zoals Google, Microsoft of GitHub, worden gehost. Deze toegang kan door de gebruiker worden geweigerd. 
4. KerberosHet wordt gebruikt voor het valideren van clients/servers tijdens een netwerkproces met behulp van een cryptografische sleutel. Het is ontworpen voor het uitvoeren van sterke authenticatie bij het rapporteren aan applicaties.
5. RADIUSHet is ontworpen voor gebruikers van netwerkdiensten. De RADIUS-server versleutelt de door de gebruiker ingevoerde inloggegevens, die via de lokale database worden gekoppeld, en biedt vervolgens toegang.
6. CHAP en PAPZe gebruiken een gebruikersnaam en wachtwoord om gebruikers te authenticeren. Terwijl PAP wachtwoorden in platte tekst verzendt, verbetert CHAP dit door gebruikers continu te verifiëren via uitdaging-antwoorduitwisselingen zonder het wachtwoord te onthullen.
7. LDAP: LDAP Het wordt gebruikt om toegang te krijgen tot en beheer uit te voeren over directoryservices waarin gebruikersidentiteiten en -gegevens zijn opgeslagen. Het bepaalt alle personen, organisaties en andere apparaten op een netwerk, ongeacht de netwerkperimeter. 
8. FIDO2: Het omvat een reeks technologie-onafhankelijke specificaties om veilige gebruikerstoegang en authenticatie te consolideren. FIDO Hiermee kunnen gebruikers toegang krijgen tot hun accounts en deze authenticeren met toegangscodes, biometrie of een pincode in plaats van wachtwoorden.

Aanbevelingen voor het bouwen van een sterke authenticatielaag

Door verschillende authenticatiemethoden te gebruiken, zorgt u ervoor dat er altijd een vangnet is en dat het potentiële beveiligingsrisico kleiner wordt. Hieronder vindt u een overzicht van enkele best practices die u kunt toepassen om ervoor te zorgen dat uw authenticatielaag waterdicht blijft.

1. Geef prioriteit aan multifactorauthenticatie: Multifactorauthenticatie is vergelijkbaar met het dubbelchecken van je antwoord tijdens een examen. Door dit te verplichten voor beheerdersaccounts, thuiswerkers en applicaties die gevoelige gegevens bevatten, kunnen bedrijven datalekken aanzienlijk verminderen.
2. Kies voor een wachtwoordloze aanpak voor inloggegevens: Door biometrie, getimede OTP, beveiligde links of apparaatgebonden authenticatie te implementeren, kunnen bedrijven phishing, credential stuffing en brute-force-aanvallen aanzienlijk verminderen.
3. Adaptieve authenticatie toepassen: Realtime risicosignalen zoals apparaatreputatie, geografische locatie, IP-risico en gedragspatronen zijn uitstekende identificatiefactoren. Ze verminderen bovendien de IT-last van constante monitoring, omdat elke verandering in deze factoren automatisch leidt tot de implementatie van beveiligingsmaatregelen. 
4. SSO om wachtwoordmoeheid te voorkomen: Het gebruik van SSO vermindert de werkdruk voor medewerkers en maakt snelle gebruikersauthenticatie mogelijk via een vertrouwde identiteitsaanbieder. 
5. Authenticatieactiviteit monitoren: Door patronen zoals herhaalde inlogfouten, gebruik van nieuwe apparaten, ongebruikelijke locaties of toegang op abnormale tijdstippen te registreren, kunnen bedrijven elke dreiging afschrikken voordat deze de kans krijgt om toe te slaan. 
6. Gebruik moderne identiteitsprotocollen: Het gebruik van OAuth 2.0, OpenID Connect, SAML en andere moderne protocollen helpt implementatiefouten te verminderen die kunnen optreden in op maat gemaakte authenticatiesystemen.
7. Handhaaf strikte sessiebeheerregels: Het beperken van de levensduur van identiteitstokens, het intrekken van verdachte sessies en het blokkeren van langlopende of onbeheerde tokens voorkomen dat ongeautoriseerde toegang tussen legitieme sessies door glipt.

Een solide fundament leidt tot een solide constructie. 

Authenticatie vormt de basis waarop alle beveiligingsmaatregelen zijn gebouwd. Door een sterke basis te leggen, kunt u een hechte beveiligingsstructuur creëren die niet gemakkelijk te doorbreken is. 

Bedrijven moeten zich bewust zijn van de constante toename in het aantal nieuwe identiteiten en de steeds groter wordende cyberdreiging. Bedrijven die authenticatie centraal stellen in hun bedrijfsstructuur, zijn beter in staat de toegang tot hun datanetwerk te beveiligen.

Scalefusion OneIdP Biedt u een uitgebreide reeks authenticatiefactoren, zodat u er altijd zeker van bent dat de juiste persoon de juiste toegang heeft. De UEM-gestuurde zero trust-toegangsoplossing verifieert zowel de identiteit als de beveiligingsstatus van het apparaat, waardoor toegang alleen wordt verleend wanneer aan beide beveiligingsnormen is voldaan.

Veelgestelde vragen

1. Wat is het verschil tussen authenticatie en autorisatie?

Authenticatie vindt eerst plaats om te verifiëren wie een gebruiker is (identiteit), gevolgd door autorisatie, die bepaalt wat de gebruiker mag doen (toegang).

2. Waarom is authenticatie zonder wachtwoord veiliger?

Authenticatie zonder wachtwoorden elimineert statische, gemakkelijk te omzeilen inloggegevens en vervangt deze door phishingbestendige, apparaatgebonden of biometrische factoren. Daarmee worden risico's zoals hergebruik van wachtwoorden, brute-force-aanvallen en credential stuffing geëlimineerd.

3. Is authenticatie hetzelfde als identiteitsverificatie?

Nee. Hoewel beide de identiteit bevestigen, is identiteitsverificatie meestal een eenmalig proces dat valideert of een persoon is wie hij of zij beweert te zijn. Authenticatie daarentegen is een continu, veilig proces dat ervoor zorgt dat de terugkerende gebruiker bij elke controlepost dezelfde persoon is.

4. Waarvoor wordt authenticatie gebruikt?

Authenticatie is een cruciaal onderdeel van elke cybersecuritystructuur. Het is het proces dat bedrijven gebruiken om te bevestigen dat alleen de juiste personen, diensten en apps met de juiste machtigingen toegang hebben tot de resources van de organisatie.

5. Wat zijn enkele voorbeelden van authenticatie?

Voorbeelden van authenticatie zijn onder andere inloggen met een gebruikersnaam/wachtwoord, gezichtsherkenning (Face ID) of vingerafdrukscanners op telefoons, het ontvangen van een sms-OTP of SSO.