L'autenticació electrònica és el procés d'establir confiança en les identitats dels usuaris presentades electrònicament davant un sistema d'informació. L'autenticació electrònica és molt important i és necessària sempre que dues parts privades pactin un acord en el comerç electrònic; no té res a veure amb el xifratge o la confidencialitat de la informació, només identifica el remitent de la informació i verifica que la informació provingui d'aquesta part. L'autenticació ajuda a mantenir la confiança dels usuaris en els sistemes d'informació electrònics al permetre aturar els estafadors[1]
El terme autenticació digital o e-autenticació es pot utilitzar com a sinònim quan es fa referència al procés d'autenticació que confirma o certifica la identitat i les obres d'una persona. Quan s'utilitza conjuntament amb una signatura electrònica, pot proporcionar proves de si les dades rebudes han estat manipulades després de ser signades pel seu remitent original. L'autenticació electrònica pot reduir el risc de frau i robatori d'identitat en verificar que una persona és qui diu que és quan realitza transaccions en línia.[2]
Es poden utilitzar diversos mètodes d'autenticació electrònica per autenticar la identificació d'un usuari, des d'una contrasenya fins a nivells més alts de seguretat que utilitzen l'autenticació multifactor (MFA).[3] En funció del nivell de seguretat utilitzat, és possible que l'usuari hagi de demostrar la seva identitat mitjançant l'ús de fitxes de seguretat, preguntes de desafiament o estar en possessió d'un certificat d'una autoritat de certificació de tercers que acrediti la seva identitat.[4]
A part dels serveis governamentals, l'autenticació electrònica també s'utilitza àmpliament en altres tecnologies i indústries. Aquestes noves aplicacions combinen les característiques d'autorització d'identitats en bases de dades tradicionals i nova tecnologia per proporcionar un ús més segur i divers de l'autenticació electrònica. A continuació es descriuen alguns exemples.
L'autenticació mòbil és la verificació de la identitat d'un usuari mitjançant l'ús d'un dispositiu mòbil. Pot tractar com un camp independent o també es pot aplicar amb altres esquemes d'autenticació multifactor en el camp d'autenticació electrònica.
Per a l'autenticació mòbil, hi ha cinc nivells de sensibilitat de l'aplicació des del Nivell 0 a el Nivell 4. El nivell 0 és per a ús públic en un dispositiu mòbil i no requereix autenticacions d'identitat, mentre que el nivell 4 té la majoria dels procediments múltiples per identificar els usuaris. Per a qualsevol nivell, l'autenticació mòbil és relativament fàcil de processar. En primer lloc, els usuaris envien una contrasenya d'un sol ús (OTP) a través de canals fora de línia. Després, un servidor identifica la informació i realitza ajustos a la base de dades. Atès que només l'usuari té accés a un codi PIN i pot enviar informació a través dels seus dispositius mòbils, hi ha un baix risc d'atacs.
A principis de la dècada de 1980 es van implementar sistemes d'intercanvi electrònic de dades (EDI), que es va considerar com un dels primers representants del comerç electrònic. Però garantir la seva seguretat no és un problema important, ja que tots els sistemes es construeixen al voltant de xarxes tancades. Tanmateix, més recentment, les transaccions d'empresa a consumidor s'han transformat. Les parts de transaccions remotes han forçat la implementació de sistemes d'autenticació de comerç electrònic.[5]
En termes generals, els enfocaments adoptats en l'autenticació de comerç electrònic són bàsicament els mateixos que l'autenticació electrònica. La diferència és que l'autenticació de comerç electrònic és un camp més estret que se centra en les transaccions entre clients i proveïdors. Un exemple senzill d'autenticació de comerç electrònic inclou un client que es comunica amb un servidor de comerciant a través d'Internet. El servidor del comerciant normalment utilitza un servidor web per acceptar les sol·licituds dels clients, un sistema de gestió de bases de dades per gestionar les dades i una passarel·la de pagament per oferir serveis de pagament en línia.[6]