Uwierzytelnianie ((ang.) authentication), niepoprawnie autentykacja – proces polegający na zweryfikowaniu zadeklarowanej tożsamości osoby, urządzenia lub usługi biorącej udział w wymianie danych.
Definicje pojęć: uwierzytelnienie i autoryzacja znajdują się w podstawowej normie kryptograficznej ISO/IEC CD 9798-1, do której odwołują się algorytmy uwierzytelniania i autoryzacji.
Uwierzytelnienie następuje po identyfikacji, czyli zadeklarowaniu swojej tożsamości przez użytkownika (np. przez podanie loginu). Zadeklarowana, ale jeszcze niezweryfikowana, tożsamość jest potwierdzana w procesie uwierzytelnienia (np. przez podanie hasła).
Uwierzytelnianie odbywa się w oparciu o tzw. wiedzę uwierzytelniającego się podmiotu (potocznie: „co wiesz”). Wiedzą tą może być hasło (np. login i hasło, do tej pory wykorzystywane są do logowania się do systemów operacyjnych komputerów i serwisów internetowych).
Coraz częściej systemy i serwisy internetowe oferują uwierzytelnianie dwuetapowe, czyli oprócz loginu należy posiadać wiedzę o dwóch czynnikach uwierzytelniających. Przykładem może być platforma gier Battle.net i usługa poczty Gmail, w której możemy włączyć weryfikację dwuetapową. W Gmail kod weryfikacyjny otrzymujemy przez SMS lub przez specjalną aplikację Google Authenticator generującą kody na telefonie.
Z uwierzytelnianiem związane jest pojęcie serwera uwierzytelniania.
Uwierzytelnianie często ma miejsce przed procesem autoryzacji.
Spis treści |
Rozwój kryptografii i metod uwierzytelnienia doprowadził do rozszerzenia uwierzytelnienia o posiadany element uwierzytelniania (np. token/klucz, czyli tzw. „co masz”). Jest to system spotykany na przykład w bankach – podajemy numer wygenerowany przez token i PIN. Jeśli ktoś podsłucha hasło to i tak nie będzie mógł wygenerować kolejnego numeru identycznego z naszym tokenem. Jeśli ktoś skradnie nasz token to i tak nie zna hasła. Musiałby podsłuchać hasło i skraść token, co jest już dużo trudniejsze i mniej prawdopodobne. Przykłady:
Zabezpieczenie biometryczne (np. odcisk palca, potocznie: „kim jesteś”), jednak z kryptograficznego punktu widzenia jest to odmiana zabezpieczenia „co masz”.
