In der Praxis werden besonders Authentisierung und Authentifizierung häufig synonym verwendet, da sie Teil desselben Vorgangs zur Benutzung an IT-Systeme sind.
Dabei ist die Unterscheidung besonders bei der Dokumentation von IT-Prozessen wichtig.
Die Authentisierung bezeichnet das Vorlegen eines Nachweises für die Identität des Nutzers gegenüber dem IT-System oder der IT-Ressource, an der er sich anmelden möchte. Dieser Nachweis kann in verschiedenen Formen erfolgen, wie beispielsweise durch eine Information, die nur der Nutzer kennt (Passwort, PIN), etwas, was er ist (Fingerabdruck, Iris-Scanner), etwas, das er besitzt (Smartcard, Token, Badge) oder einer Kombination der Genannten. Die Authentisierung ist also die aktive Handlung des Nutzers bei der Anmeldung, in der er seine Identität mit einem Nachweis behauptet.
Die Authentifizierung bezeichnet das Vorgehen zur Überprüfung der Behauptung der Identität und dessen Ergebnis, indem das IT-System diese mit den hinterlegten Informationen zur behaupteten Identität abgleicht oder eine dritte, autorisierte Stelle befragt. Somit folgt die Authentifizierung auf die Authentisierung.
Auf das positive Ergebnis der Authentifizierung erfolgt die „Autorisierung”, womit die Gewährung bzw. die Beschränkung auf „bestimmte Rechte“ gemeint ist. Eine erfolgreiche Authentifizierung bedeutet nicht automatisch den Zugriff auf Ressourcen im Netzwerk.
Ein klassisches Beispiel hierfür ist das Abheben von Bargeld an einem Bankautomaten.
Der Kunde authentisiert sich mit seiner Kombination aus EC-Karte (etwas, was er besitzt) und seiner PIN (etwas, was er weiß).
Der Bankautomat authentifiziert den Kunden, bei Übereinstimmung der Informationen, als den rechtmäßigen Benutzer des Bankkontos.
Nun ist der Bankkunde autorisiert, einen Betrag von seinem Konto abzuheben. Bei einem Übersteigen des Limits würde der Vorgang aufgrund fehlender Autorisierung abgebrochen werden.
