Illustration av en produkt artikel
Publicerad den

Identifiering, Autentisering, Inloggning - vad är skillnaden?

När man pratar om digitala identitetslösningar är det bra att ha en genemsam terminologi.

Alla kanske inte bryr sig om skillnaden på begreppen identifiering, autentisering och inloggning. Men om man är systemarkitekt och funderar på vilken typ av inloggning man ska använda på sin sajt, eller om man är mjukvaruutvecklare och ska implementera någon form av inloggning eller ID-lösning, kan det vara bra att kunna skilja på begreppen.

Var härmed varnad, det här kommer att bli lite akademiskt 😉.

Identifiering

Identifiering är när man knyter ett subjekt (t.ex. en person eller en sak), till en identitet och ger identiteten ett unikt namn. I samband med detta sker normalt registrering av identiteten i ett register (eng: “provisioning”). Dessutom skapas det ibland ett identitetsbevis. Det här är ganska abstrakt och förklaras enklast med några exempel:

  • En bebis (subjekt) föds på BB. En post skapas i folkbokföringen (registering) och ges ett personnummer (unikt namn).

  • En person (subjekt) har precis klarat uppkörningen. En post skapas i trafikverkets register (registrering) och ges ett referensnummer (unikt namn). Dessutom skapas ett körkort (identitetsbevis) som kan användas av subjektet för att styrka sin behörighet att köra bil.

  • En person (subjekt) skapar ett konto hos en e-handel och anger bl.a. sin e-postadress. En post skapas i e-handelns användardatabas (registrering) med e-postadressen som användarnamn (unikt namn). Personen väljer också ett lösenord som, tillsammans med e-postadressen, fungerar som identitetsbevis.

Identifiering innefattar normalt att kontrollera/registrera ett eller flera attribut hos subjektet. Kontroll kan t.ex. ske genom att subjektet bevisar ägandeskap av en annan typ av identitet. Ett exempel på det är om du använder passet för att identifiera dig när du ansöker om ett körkort.

Identitetsbevis

Ett identitetsbevis (eng: “security credentials”) är ett intyg på att man är unikt kopplad till en viss identitet. Identitetsbeviset behöver vara kontrollerbart så att en kontrollant kan avgöra handlingens äkthet. Exempel på identitetsbevis är:

  • Körkort

  • Användarnamn + lösenord

  • E-legitimation

Syftet med identitetsbeviset är att spara tid och resurser genom att bara identifiera varje subjekt första gången. Vid efterföljande tillfällen kan man använda den mindre resurskrävande autentiseringen för att fastställa identiteten.

Autentisering

Begreppet autentisering avser processen att kontrollera äktheten hos ett identitetsbevis i syfte att fastställa innehavarens identitet. Om identitetsbeviset är äkta kan man använda det unika namnet i beviset för att referera till själva identiteten. Exempel på hur en autentisering kan gå till är:

  • Kontrollera att angivet lösenord stämmer överens med motsvarande post i databasen.

  • Kontrollera de fysiska egenskaperna och informationen hos ett körkort.

  • Att via kryptografiska operationer säkerställa att en e-legitimation är äkta och tillhör subjektet.

Inloggning

Inloggning är när en användare (d.v.s. subjektet) av en tjänst/system presenterar sig (med sitt identitetsbevis), blir autentiserad och därefter får en personligt anpassad vy presenterad för sig. En inloggning tjänar framförallt två syften:

  • Säkerhet. Tjänsten/systemet måste försäkra sig om att rätt användare får göra rätt saker. Exempelvis måste ju en internetbank se till att inte obehöriga får tillgång kundernas konton.

  • Användarupplevelse. Tjänsten/systemet vill ge användaren en anpassad vy så att användaren förstår tjänsten och/eller använder tjänsten mer. T.ex. kan en e-handel ge förslag på produkter baserat på användarens köphistorik, i syfte att få kunden att handla mer.

Autentisering är alltså en del av en inloggning, men inte vice versa.

Och med det avslutar jag min förklaring av dessa fyra centrala begrepp. Hoppas att min beskrivning underlättar åtminstone för någon att bättre förstå världen av digitala identiteter 😊.