Authentication je proces ověření deklarované identity. Cílem je zajistit, aby osoba nebo systém přistupující ke zdroji byl skutečně oprávněným subjektem.

V IT terminologii je zásadní neplést si tento pojem s Autorizací:

• Autentizace: „Kdo jsi?“ (Ověření identity).
• Autorizace: „Co smíš dělat?“ (Ověření přístupových práv).

Tradičně se metody autentizace dělí do tří základních kategorií (faktorů) podle toho, na čem jsou založeny:

To, co uživatel nosí v hlavě. Nejpoužívanější, ale také nejzranitelnější metoda.

• Příklady: Heslo, PIN, kontrolní otázka, gesto na displeji.

Fyzický předmět, který má uživatel u sebe.

• Příklady: Hardwarový token (YubiKey), chytrá karta, mobilní telefon (příjem SMS kódu), certifikát na USB disku.

Biometrické údaje, které jsou neoddělitelnou součástí těla uživatele.

• Příklady: Otisk prstu, sken oční duhovky, rozpoznání obličeje, analýza hlasu.

Znamená kombinaci alespoň dvou různých faktorů (např. heslo + kód z mobilu). Pokud útočník ukradne heslo, stále nemá přístup k fyzickému zařízení, což dramaticky zvyšuje bezpečnost.

Umožňuje uživateli přihlásit se jednou do centrálního systému a získat přístup ke všem propojeným aplikacím bez nutnosti znovu zadávat heslo (např. přihlášení do firemního e-mailu, intranetu a HR systému jedním účtem).

Moderní směr, který eliminuje hesla úplně. Využívá kryptografii veřejného klíče (např. standard FIDO2 / Passkeys). Uživatel se ověří lokálně na svém zařízení (otiskem prstu) a zařízení pak bezpečně potvrdí identitu serveru.

V systémech se autentizační údaje (hesla) nikdy nesmí ukládat v čitelné podobě (plain text). Používají se kryptografické funkce:

• Hashing: Heslo se převede na unikátní řetězec (hash). Při přihlášení se porovnávají hashe, nikoliv hesla.
• Salt (Sůl): Náhodná data přidaná k heslu před zahashováním, která brání útokům pomocí duplicitních tabulek (Rainbow tables).

• LDAP: Často používán v rámci Active Directory pro správu uživatelů v sítích.
• OAuth 2.0 / OpenID Connect (OIDC): Standardy pro moderní webové a mobilní aplikace (umožňují např. „Přihlásit se přes Google“).
• Kerberos: Síťový protokol používaný pro bezpečné ověřování v rámci doménových struktur (Windows).
• SAML: Používán zejména pro výměnu autentizačních dat mezi různými doménami (časté u SSO).

• Brute Force: Hádání hesla zkoušením všech kombinací.
• Phishing: Podvodné vylákání přihlašovacích údajů od uživatele.
• Credential Stuffing: Útočník zkouší uniklá hesla z jedné služby v jiných službách.
• Man-in-the-Middle (MitM): Útočník zachytí autentizační data během přenosu.

Související pojmy: Authorization, MFA, Password, Biometrics, OAuth, Hashing, Passkey.