AUTENTICAÇÃO
A. Ato ou processo de verificação da veracidade de uma alegação de identidade feita por uma entidade (usuário, processo ou dispositivo) num sistema computacional. Consiste em estabelecer uma correspondência unívoca e confiável entre um sujeito (aquele que solicita o acesso) e uma identidade (o registo digital desse sujeito no sistema).
B. Operacionalmente, define-se pela apresentação de provas ou "credenciais" que se enquadram em três categorias fundamentais de fatores (factors): 1. Fator de Conhecimento (o que o sujeito sabe): Senhas, PINs, respostas a perguntas de segurança. 2. Fator de Posse (o que o sujeito tem): Cartões inteligentes (smart cards), tokens geradores de códigos, telefones celulares, chaves físicas de segurança (U2F/FIDO). 3. Fator de Inerência (o que o sujeito é): Características biométricas ou comportamentais de alguma forma permanentes, como impressões digitais, reconhecimento de íris, reconhecimento facial ou padrão de digitação.
A combinação de dois ou mais destes fatores constitui a Autenticação Multifator (MFA), considerada o padrão de segurança robusta.
C. No contexto da segurança de redes e criptografia, a autenticação refere-se também à garantia da origem e da integridade de uma mensagem. Diz-se que uma mensagem é autenticada quando o receptor pode confirmar que ela provém efetivamente do emissor alegado e que não foi alterada durante o trânsito (ver Assinatura Digital e MAC - Message Authentication Code).
D. Protocolarmente (ex: Kerberos, OAuth, OpenID Connect), é o processo de troca de desafios e respostas (challenge-response) criptográficos que resulta na emissão de um token de sessão. Este token serve como um salvo-conduto temporário, dispensando o sujeito de repetir a prova de identidade a cada nova requisição.
Crítica
A confusão mais frequente, tanto na linguagem comum quanto em implementações técnicas deficientes, é a falta de distinção entre Identificação, Autenticação e Autorização:
1º A Identificação é a simples declaração de quem se é (ex: digitar o nome de usuário). É um ato público ou semi-público que não requer prova.
2º A Autenticação é a prova dessa declaração (ex: digitar a senha). É o processo de validação.
3º A Autorização é a determinação do que o sujeito autenticado pode fazer (ex: permissão de leitura ou escrita). É a atribuição de privilégios.
Pode-se estar perfeitamente identificado e autenticado, mas não ter autorização para realizar nenhuma ação. O acrônimo AAA (Authentication, Authorization, Accounting) resume esta tríade, onde o terceiro termo refere-se ao registro (auditoria) do que foi feito.
Ademais, a autenticação digital nunca verifica o indivíduo em si, mas apenas a posse dos fatores de autenticação. Se um indivíduo rouba a senha e o token de outro, o sistema "autentica" o ladrão como sendo a vítima. Há, portanto, um hiato intransponível entre a identidade biológica/civil e a identidade digital, que só se estreita (mas não se fecha) com a biometria.
Observações
A evolução da Web trouxe o conceito de Autenticação Federada ou Delegada (SSO - Single Sign-On). Neste modelo, a responsabilidade de autenticar o usuário é transferida de cada aplicação individual para um Provedor de Identidade (IdP) centralizado e confiável (como Google, Facebook ou um servidor corporativo). A aplicação confia na "palavra" do IdP, recebendo um token assinado digitalmente que atesta que "este usuário é quem diz ser".