Woordenlijst Keeper IAM

Een lijst met machtigingen met daarop vermeld welke gebruikers of systemen toegang hebben of niet tot een bepaalde systeembron, plus welke bewerkingen zij kunnen uitvoeren op die bronnen.

Het proces waardoor IT-beheerders gebruikerstoegang verlenen en beperken voor bepaalde systemen en gegevens. Over het algemeen wordt dit gedaan door groepen voor rollen, afdelingen en.of projectteams in te stellen, en vervolgens gebruikers toe te wijzen aan de betreffende groepen. Werkt samen met identiteitsbeheer.

Active Directory (AD) is een directoryservice die is ontwikkeld door Microsoft voor Windows-domeinnetwerken. Oorspronkelijk werd AD alleen gebruikt voor gecentraliseerd domeinbeheer, maar het is nu een overkoepelende term die verwijst naar een brede reeks directorygebaseerde identiteitsservices. Organisaties kunnen er meerdere infrastructuurcomponenten en systemen op locatie mee beheren, via een enkele identiteit per gebruiker. Niet te verwarren met Azure Active Directory, wat een tool is die samen met AD wordt gebruikt.

Omdat de Active Directory van een organisatie alle systeemtoegang controleert, is effectieve Active Directory-beveiliging essentieel om de complete gegevensomgeving te beveiligen.

Een aanvullende tool voor Active Directory (AD) die identiteiten op locatie uitbreidt naar cloud-apps; vergelijkbaar met een webapp-SSO-tool, maar wordt gebruikt op locatie in plaats van in de cloud. Net als Azure AD is AD FS geen vervanging voor Active Directory, maar een tool die er in combinatie mee wordt gebruikt.

Staat ook bekend als adaptieve authenticatie of risicogebaseerde authenticatie. Een methode waarbij aanmeldingsparameters dynamisch worden aangepast op basis van het risico dat een bepaald toegangsverzoek vormt. Bijvoorbeeld: een gebruiker die zich aanmeldt bij een service op een apparaat dat vaak wordt gebruikt, hoeft mogelijk alleen een wachtwoord op te geven, maar als deze gebruiker zich probeert aan te melden vanaf een nieuw apparaat, of zelfs vanuit een nieuwe browser, moet de gebruiker mogelijk ook beveiligingsvragen beantwoorden of een eenmalige toegangscode verstrekken.

Een set met definities en protocollen waardoor verschillende software-apps met elkaar kunnen communiceren. Bijvoorbeeld weer-apps gebruiken API's van overheidsweerbureaus om weergegevens weer te geven. De meeste moderne websites en apps maken in ieder geval gebruik van een paar API's van derden.

Er zijn vier verschillende soorten API's:

Openbare API's kunnen door iedereen worden gebruikt, hoewel bepaalde openbare API's autorisatie vooraf vereisten en/of gebruikmaken van toeslagen.

Privé-API's zijn precies dat: privé. Ze werken intern bij een organisatie en worden alleen binnen het bedrijf gebruikt.

Partner-API's zijn vergelijkbaar met privé-API's. Ze kunnen alleen worden gebruikt door bevoegde externe zakelijke partners om business-to-business-apps en transacties te faciliteren.

Samengestelde API's zijn een combinatie van twee of meer soorten API.

Een unieke identificatie die wordt gebruikt om een gebruiker, ontwikkelaar of app te authenticeren bij een API. Bevat over het algemeen een set met toegangsrechten tot de API.

Controleren dat een gebruiker is wie hij zegt dat hij is. Zie Identiteitsbeheer.

Controleren of een gebruiker is geautoriseerd voor toegang tot specifieke systemen en gegevens. Zie Toegangsbeheer.

De middelen en methodes om veilig infrastructuurgeheimen op te slaan, toegankelijk te maken en te beheren in een IT-omgeving, zoals API-sleutels, digitale certificaten en geprivilegieerde aanmeldingsgegevens. Ook bekend als AAPM.

Een Identity as a Service (IDaaS)-oplossing die organisaties kunnen gebruiken voor al hun apps in hun gegevensomgeving, zowel de cloud als op locatie. Azure Active Directory (Azure AD) is geen vervanging voor Active Directory; in plaats daarvan wordt het samen met AD gebruikt.

De unieke fysieke kenmerken van een persoon, zoals vingerafdrukken, irisscans en gezichtsherkenning, die worden gebruikt voor gebruikersauthenticatie en toegangscontrole.

Een geautomatiseerde aanval waarbij een bedreiger een script gebruikt om een groot aantal wachtwoorden of zinnen in te sturen, waarbij systematisch alle mogelijke combinaties worden gecontroleerd tot een werkende set met aanmeldingsgegevens wordt gevonden.

Bedrijfsprocesautomatisering (BPA) verwijst naar software die repetitieve of handmatige taken automatiseert om organisatorische efficiëntie te verbeteren. Voorbeelden van BPA zijn geautomatiseerde antwoorden op klantenacties, zoals bestelbevestigingen en zelfbedieningswachtwoordreset (SSPR, Self-Service Password Reset).

Een oud IAM-kader waarin alle gebruikers binnen een bepaalde netwerkperimeter impliciet worden vertrouwd, en gebruikers daarbuiten niet. Cloudcomputing, mobiliteit en wijdverspreide externe toegang hebben 'kasteel en gracht' overbodig gemaakt en hiervoor in de plaats is zero-trust gekomen.

Een client-authenticatieprotocol (CTAP, Client to Authenticator Protocol) is een belangrijk onderdeel van de FIDO2-set met specificaties. Het protocol zorgt ervoor dat een externe authenticator, zoals een smartphone of beveiligingssleutel, werkt met browsers die WebAuthn ondersteunen en functioneren als authenticator voor webservices en desktop-apps.

Wordt ook wel cloudbeveiliging genoemd. Een overkoepelende term voor beleidsregels, procedures, besturingselementen en tools om gegevens, apps en services te beschermen die worden opgeslagen en gebruikt in de cloud, samen met de onderliggende cloudinfrastructuur.

Over het algemeen werken openbare cloudservices volgens een gedeeld verantwoordelijkheidsmodel, waarbij de provider van de cloudservices verantwoordelijk is voor de beveiliging *van* de cloud, terwijl de organisatie die de services koopt verantwoordelijk is voor de beveiliging *in* de cloud. Dit betekent dat de provider van de cloudservices de onderliggende infrastructuur beveiligt, inclusief fysieke datacenters en alle servers en apparatuur daarin, terwijl de organisatie de gegevens en werklast beveiligt die in de cloud worden gestopt.

Een cloudgebaseerde service die IAM-oplossingen biedt voor andere cloudgebaseerde services.

Een proces waarbij een systeem gebruikersgedrag monitort tijdens een sessie, dat vergelijkt tegen een basislijn en zoekt naar afwijkingen. De gebruiker moet zich opnieuw identificeren als afwijkend gedrag wordt gedetecteerd.

Een aanval die profiteert van het feit dat veel mensen dezelfde aanmeldingsgegevens gebruiken voor verschillende accounts. Bij een credential stuffing-aanval proberen de bedreigers zodra ze met succes een set met werkende aanmeldingsgegevens hebben verkregen, die op zo veel mogelijk sites te gebruiken.

Het proces waarbij organisaties klantidentiteiten en toegangsniveaus beheren. In feit een subtype IAM dat alleen betrekking heeft op klanten, in tegenstelling tot interne gebruikers of zakelijke partners.

Defense-in-Depth (DiD) is een meerlaagse benadering van cyberbeveiliging, waarbij elke laag zich richt op een ander soort beveiliging, om een uitgebreide en robuuste verdediging op te bouwen tegen cyberdreigingen. Het idee is dat wanneer één laag niet werkt, de volgende nog steeds een obstakel vormt voor een bedreiging. Tot de vaak voorkomende onderdelen van een DiD-strategie behoren antivirussoftware, netwerkbeveiligingstools en -besturing, IAM-oplossingen en oplossingen om gegevensverlies te voorkomen.

Het proces van het verwijderen van gebruikerstoegang tot complete systemen of losse apps. Een werknemer die een bedrijf verlaat, wordt uitgesloten van het hele systeem; een werknemer die verhuist naar een andere locatie of afdeling, wordt uitgesloten van de oorspronkelijke/vorige locatie of afdelingssystemen.

DevOps-beveiliging, ook wel DevSecOps, is een appbeveiligingspraktijk die 'beveiliging naar links wil verplaatsen', wat betekent dat het zo snel mogelijk moet worden geïntroduceerd in de sofrwareontwikkelingscyclus (SDLC, Software Development Life Cycle), met als doel het bouwen van veilige apps. Daarnaast, breekt DevSecOps, net als DevOps, organisatorische silo's af, verbetert de communicatie en samenwerking tussen ontwikkeling, uitvoering en beveiligingsteams in heel de SDLC.

Wordt soms ook eindpuntdreigingsdetectie en respons (ETDR, Endpoint Threat Detection and Response) genoemd. Een EDR-oplossing is een geïntegreerde eindpuntbeveiligingstool die realtime doorlopende monitoring en eindpuntgegevensverzameling combineert met op regels gebaseerde geautomatiseerde respons en analyse. Een EDR-oplossing monitort alle eindpuntactiviteiten, analyseert die om dreigingspatronen te identificeren, reageert automatisch om geïdentificeerde dreigingen te verwijderen of onder controle te houden, en zorgt voor meldingen bij beveiligingspersoneel. De doelen van een EDR-systeem zijn om dreigingen in realtime te identificeren, deze automatisch onder controle te houden indien mogelijk en om snelle respons door personeel te faciliteren.

Eindpuntprivilegebeheer combineert appcontrole met minst geprivilegieerde toegang om ervoor te zorgen dat gebruikers alleen vertrouwde apps gebruiken met het laagst mogelijke privilege.

Historisch gezien werd netwerktoegang binnen een organisatie opgesplitst in twee brede categorieën: standaardgebruikers en beheerders. Dit is bij lange na niet toereikend om te beschermen tegen aanmeldingsgegevensgerelateerde cyberaanvallen in de zeer complexe, gedistribueerde gegevensomgevingen van vandaag de dag. Eindpuntprivilegebeheer omvat gebruikerstoegangsniveaus, zodat administratieve privileges aan zo min mogelijk gebruikers worden verleend. Daarnaast, om te beschermen tegen dreigingen van binnenuit, beperkt eindpuntprivilegebeheer de mogelijkheid van externe bedreigers om lateraal binnen het netwerk te bewegen als zij erin slagen om een set met werkende aanmeldingsgegevens van gebruikers te compromitteren.

Een eindpuntbeschermingsplatform (EPP) is een geïntegreerde oplossing die kwaadwillende activiteiten detecteert op eindpuntapparaten en deze beschermt tegen onbevoegde toegang, phishing en op bestanden gebaseerde malware-aanvallen. Moderne EPP's zijn over het algemeen cloudgebaseerd en sommige bevatten een persoonlijke firewall, gegevensbescherming en opties om gegevensverlies te voorkomen, apparaatcontrole en integratie met kwetsbaarheids-, patch- en configuratiebeheeroplossingen.

Een wachtwoordbeheerder voor grote ondernemingen (EPM) is een wachtwoordbeheerplatform dat speciaal is ontworpen voor commercieel gebruik. Een EPM is een fundamenteel onderdeel van de beveiligings- en IAM-parken van een organisatie.

EPM's doen hetzelfde wat wachtwoordbeheerders voor consumenten doen, zoals automatisch sterke wachtwoorden genereren en gebruikers een veilige digitale kluis bieden die ze kunnen gebruiken om hun wachtwoorden van verschillende apparaten op te slaan en te laden. Ze bevatten daarnaast een keur aan opties die specifiek voor bedrijven zijn bestemd, zoals een beheerderspaneel dat IT- en beveiligingspersoneel kan gebruiken om gebruikersaccounts toe te voegen en af te sluiten; wachtwoordgebruik te monitoren en controleren in heel de organisatie; op rollen gebaseerde toegangscontroles (RBAC) in te stellen en toegang via minste privileges; auditrapporten uit te voeren en gedeelde wachtwoorden te beheren.

Daarnaast bieden sommige EPM's oplossingen die speciaal zijn afgestemd op de behoeften van beheerde serviceproviders (zoals KeeperMSP) en Amerikaanse overheidsinstanties (zoals Keeper Security Government Cloud, ook KSGC genoemd).

Federaal identiteitsbeheer (FIM) is een authenticatiemethode waarmee meerdere softwaresystemen identiteitsgegevens delen vanaf een groter gecentraliseerd systeem. Zo kunnen gebruikers meerdere apps en systemen gebruiken met een enkele set aanmeldingsgegevens. Hoewel federaal identiteitsbeheer vaak synoniem wordt gebruikt aan SSO, maakt FIM toegang mogelijk tot systemen en apps binnen domeinen (bekend als 'gefedereerde organisaties'), terwijl SSO toegang binnen een enkel domein mogelijk maakt.

Organisaties maken vaak gebruik van zowel SSO als FIM.

Een open industrieverband met als missie de promotie van 'authenticatienormen om het leunen van de hele wereld op wachtwoorden te helpen verlagen'.

Een gezamenlijke inspanning van de FIDO Alliance en het World Wide Web Consortium (W3C) om gebruikers gewone apparaten, zoals smartphones en hardwarematige beveiligingstokens, te laten gebruiken voor aanmelding bij online services op zowel desktop- als mobiele omgevingen. FIDO is grotendeels gebaseerd op de U2F-authenticatienorm en bestaat uit de WebAuthn-set met normen en het FIDO Client to Authenticator Protocol (CTAP).

Identiteits- en toegangsbeheer (IAM) is een overkoepelende term voor de beleidsregels, procedures, controles en technische tools die organisaties gebruiken om digitale identiteiten van eindgebruikers te beheren en de toegang tot organisatorische netwerken, apps en data te controleren. IAM is een fundamenteel onderdeel van Defense-in-Depth (DiD).

Privileged Access Management (PAM), Privileged Session Management (PSM), identiteitsbeheer en administratie (IGA, Identity Governance and Administration), en klantenidentiteits- en toegangsbeheer (CIAM, Customer Identity and Access Management) zijn allemaal subcategorieën van IAM.

Identity as a Service (IDaaS) is een cloudgebaseerde authenticatieoplossing. Wordt ook wel SaaS-geleverd IAM (Gartner) of IAM-as-a-Service (IaaS) genoemd. IDaaS is een overkoepelende term die verwijst naar een breed aantal SaaS-oplossingen voor IAM, van SSO-platforms tot wachtwoordbeheerders.

Identiteitsbeheer en administratie (IGA, Identity Governance and Administration) is een subcategorie van IAM en verwijst naar de beleidsregels en technologische tools waarmee organisaties ervoor kunnen zorgen dat hun IAM-beleidsregels consistent en universeel worden afgedwongen in de hele data-omgeving. Met IG-tools kunnen organisaties effectiever digitale identiteiten beheren en identiteitgerelateerde toegangsrisico's beperken door het maken, beheren en certificeren van gebruikersaccounts, rollen en toegangsrechten te automatiseren.

Hoewel IGA en IAM soms inwisselbaar worden gebruikt, is IGA anders dan IAM. Het zorgt ervoor, zoals Gartner het stelt, dat 'organisaties niet alleen een IAM-beleid kunnen vaststellen en afdwingen, maar ook IAM-functies verbinden om te voldoen aan audit- en nalevingsvereisten.

Identiteitslevensduurbeheer (ILM, Identity Lifecycle Management) is een subcategorie van IAM die verwijst naar beleidsregels, procedures en technologische tools om digitale identiteiten en de bijbehorende machtigingen te maken, en deze te beheren en bijwerken tijdens hun levenscyclus, om ze te verwijderen wanneer ze niet meer nodig zijn. De digitale identiteit kan toebehoren aan een menselijke gebruiker, inclusief een werknemer, een contractant, een leverancier, een zakelijke partner of een app.

Gebruikersprivileges ontwikkelen zich in de loop der tijd. Als een werknemer wordt gepromoveerd of aanvullende taken op zich neemt, kan het nodig zijn dat de privileges voor het netwerk worden bijgesteld. Wanneer werknemers de organisatie verlaten, moet hun toegang direct worden ingetrokken. In dit soort situaties moet ILM worden ingezet.

Het proces waarbij systemen vaststellen dat gebruikers zijn die ze beweren te zijn. Voorbeelden zijn gebruikersnamen en wachtwoorden, plus multi-factor-authenticatie. Werkt samen met toegangsbeheer.

Een identiteitsprovider (IdP) is een service die gebruikersidentiteiten opslaat en beheert. Een IdP controleert gebruikers mogelijk tegen een opgeslagen lijst met gebruikersnamen en wachtwoordcombinaties, of kan een lijst met gebruikersidentiteiten verstrekken die wordt gecontroleerd door een andere provider. SSO-providers zijn IdP's.

JSON-webtoken (JWT) is een open standaard die wordt gebruikt om beveiligingsgegevens te delen tussen clients en servers. JTW's worden ondertekend met een individuele geheime of een openbare/privé sleutel, zodat claims niet kunnen worden aangepast nadat het token is uitgegeven.

Just-in-Time-toegang, ook bekend als JIT-toegang, is Privileged Access Management (PAM) waarbij menselijke en niet-menselijke gebruikersprivileges in realtime worden verhoogd en de sessielengte beperkt wordt tot een bepaalde tijd. Dit zorgt ervoor dat de menselijke gebruiker of de app alleen toegang heeft tot een geprivilegieerde app of systeem als dat nodig is, en dan ook nog voor een bepaalde tijd.

Een open-source netwerkauthenticatieprotocol dat gebruikmaakt van cryptografie met symmetrische sleutels om verzoeken tussen vertrouwde hosts te authenticeren die communiceren op een niet-vertrouwd netwerk, zoals internet. Kerberos is het standaard autorisatieprotocol in Microsoft Windows en een kerncomponent van Windows Active Directory. Ondersteuning voor Kerberos is in alle grote besturingssystemen ingebouwd. Het wordt uitgebreid gebruikt bij grote SSO-implementaties, waarbij het meerdere authenticatiemethoden ondersteunt.

Een beveiligingspraktijk waarbij menselijke gebruikers en apps het absoluut laagste toegangsniveau hebben tot systemen, nodig om hun taken uit te voeren maar niets meer.

Lightweight Directory Access Protocol (LDAP) is een open app-protocolstandaard voor het laden en onderhouden van gedistribueerde informatieservices via een IP-netwerk. LDAP wordt vaak gebruikt als een enkele waarheidsbron voor gebruikersnaam of wachtwoorden; apps kunnen worden verbonden met de LDAP-server en voegen automatisch gebruikers toe en verwijderen ze wanneer werknemers komen werken bij een organisatie of die verlaten. LDAP wordt gebruikt als de basis voor Microsoft Active Directory.

Zie ook SCIM, een alternatieve LDAP die snel in populariteit toeneemt.

Machine Identity Management (MIM) overziet de digitale identiteiten van niet-menselijke gebruikers, dat wil zeggen de digitale certificaten en de sleutels die worden gebruikt door hardwarematige apparaten (waaronder IoT-apparaten), werkbelasting, apps, containers, etc. MIM is een subset van zowel IAM- als geheimenbeheer.

Kwaadwillende software, beter bekend als malware, is precies wat de naam al zegt - een vorm van kwaadwillende software die apparaten infecteert via verschillende technieken, zoals via slachtoffers die op phishing-mails klikken of kwaadwillende bestanden downloaden waaronder games, films of software.

Een hoofdwachtwoord is het wachtwoord dat eindgebruikers samenstellen tijdens de installatie en het instellen van een wachtwoordbeheerder zoals Keeper. Het hoofdwachtwoord van een gebruiker is het enige wachtwoord wat deze moet onthouden. Omdat het de sleutel is tot de digitale wachtwoordkluis, is het uitermate belangrijk dat het sterk is en uniek, en dat de gebruiker het nooit kwijtraakt of vergeet. Om deze reden is een wachtwoordzinnetje een goede manier om een hoofdwachtwoord te maken.

Multi-factor-authenticatie (MFA) en twee-factor-authenticatie (2FA) zijn authenticatiemethoden waarbij gebruikers twee of meer authenticatiefactoren moeten verstrekken om toegang te krijgen tot een bron, zoals een app, een map of een systeem. Om 'in aanmerking te komen' als 2FA/MFA, moet elke verificatiefactor van een andere verificatiecategorie afkomstig zijn, als volgt:

Iets dat u kent - Zoals een wachtwoord of een pincode.

Iets dat u hebt - Zoals een beveiligingssleutel of een pasje.

Iets dat u bent - Biometrische gegevens, zoals een vingerafdruk of een irisscan.

Iets dat u bent - Uw IP-adres en geolocatie. Wordt niet zo vaak gebruikt.

Een geldautomaat is een voorbeeld van MFA omdat gebruikers een pasje (of iets wat ze hebben) moeten invoeren en een pincode moeten invoeren (iets dat ze kennen).

2FA en MFA zijn in feite synoniemen, waarbij het enige verschil is dat er voor 2FA maar 2 authenticatiefactoren nodig zijn, zoals de geldautomaat in het voorbeeld, terwijl MFA theoretisch 3 of meer factoren kan eisen (zoals een smartcard, een pincode en een vingerafdruk).

Een open standaard voor het delegeren van toegang tot gebruikersinformatie in webapps en op websites. Wordt gebruikt door bedrijven zoals Amazon, Google, Facebook, Microsoft en Twitter om gebruikers toestemming te geven om informatie over hun accounts te delen met apps of websites van derden zonder die derden hun wachtwoorden te geven.

Een eenmalig wachtwoord (OTP) of een tijdgebaseerd eenmalig wachtwoord (TOTP) is een automatisch gegenereerde reeks met tekens die een gebruiker authenticeert voor een enkele transactie of aanmeldingssessie. OTP's kunnen worden geleverd via e-mail, sms of via een authenticatie-app. Wordt vaak gebruikt als authenticatie voor 2FA/MFA.

Een TOTP is vergelijkbaar met een OTP, met als verschil dat het maar korte tijd geldig is, over het algemeen tussen de 30-60 seconden.

OpenID Connect (OIDC) is een RESTful-authenticatiesysteem dat is gebouwd boven op het OAuth 2.0-kader dat gebruikmaakt van JSO-webtokens. Zorgt ervoor dat apps van derde partijen gebruikersidentiteiten kunnen verifiëren en standaard gebruikersprofielinformatie kunnen verkrijgen, waardoor Single Sign-On mogelijk wordt voor meerdere apps.

Bij een Pass-the-Hash (PtH)-aanval steelt een bedreiger een hash-wachtwoord en probeert het zonder het te kraken te gebruiken om een systeem ertoe te verleiden een nieuwe geauthenticeerde gebruikerssessie te starten. Pass-the-Hash wordt voor gebruikt om zch lateraal binnen een netwerk te bewegen dat al is gecompromitteerd. Window-machines zijn bijzonder vatbaar voor Pass-the-Hash vanwege een kwetsbaarheid in New Technology Local Area Network Manager (NTLM)-hashes waardoor bedreigers gebruik kunnen maken van gecompromitteerde domeinaccounts met alleen de wachtwoordhash, zonder ooit het daadwerkelijke wachtwoord nodig te hebben.

Een wachtwoordzinnetje is een makkelijke manier voor gebruikers om een sterk, uniek wachtwoord te maken. Om deze reden worden wachtwoordzinnetjes vaak gebruikt om hoofdwachtwoorden te maken.

Om een wachtwoordzinnetje te maken, moet een gebruiker een zinnetje verzinnen met daarin een combinatie van hoofd- en klein letters, getallen en speciale tekens plus interpunctie.

Voorbeeld van een onacceptabel wachtwoordzinnetje: "Mijn eerste appartement stond in Alexandria, Virginia." Dit genereert het wachtwoord MeasiAV - dat is vrij kort (slechts 7 tekens) en bevat geen speciale tekens of getallen. Een bedreiger met een geautomatiseerde wachtwoordkraker kan dit wachtwoord vrij snel achterhalen.

Voorbeeld van een acceptabel wachtwoordzinnetje: "Mijn eerste appartement was op 2630 Hegal Place #42 Alexandria, Virginia 23242." Dit genereert het wachtwoord Meawo2630HP#42AV23242." Dit wachtwoord is 21 tekens lang en bevat zowel hoofd- als kleine letters, nummers en een speciaal teken. Zelfs een geautomatiseerde wachtwoordkraker zou tientallen jaren nodig hebben om dit wachtwoord te kraken!

Een brute force-aanval die profiteert van het feit dat veel wachtwoorden behoorlijk 'populair' zijn onder gebruikers. Bijvoorbeeld, veel mensen gebruiken het toetsenbordpatroon 'qwerty' of gewoon het woord 'wachtwoord'. Een password spray-aanval pakt een lijst met 'populaire' wachtwoorden en probeert die in combinatie met elke gebruikersnaam in het systeem.

Een methode om een gebruikersidentiteit te verifiëren zonder een wachtwoord te gebruiken, via methoden zoals biometrische gegevens, beveiligingssleutels of eenmalige wachtwoorden (OTP's, One-Time Passwords).

Wordt ook wel Super User Privilege Management (SUPM) genoemd. Privilege Elevation and Delegation Management (PEDM) is een subset van PAM dat niet-administratieve gebruikers tijdelijke toegang biedt tot geprivilegieerde systemen op basis van bepaalde beperkingen. Bijvoorbeeld: een gebruiker kan voor bepaalde tijd toegang krijgen tot een bepaalde app. Nadat de sessielimiet is verstreken, worden de toegangsrechten van de gebruiker automatisch ingetrokken.

PEDM-oplossingen zorgen ervoor dat organisaties just-in-time toegang kunnen gebruiken om het aantal gebruikers met administratieve privileges te reduceren.

Privileged Access Governance (PAG) past IAM-regels toe op geprivilegieerde gebruikers, en zorgt ervoor dat zelfs geprivilegieerde gebruikerstoegang het principe van minimale privileges volgt. Processen in verband met PAG zijn onder meer geautomatiseerde accounttoevoeging en -verwijdering, een formeel goedkeuringsproces voor het verlenen van nieuwe geprivilegieerde toegang en periodieke controles van geprivilegieerde accounts om ervoor te zorgen dat de toegangsniveaus nog steeds toereikend zijn.

Privileged Access Management (PAM) verwijst naar de tools en technologie die organisaties gebruiken om de toegang tot hun belangrijkste informatie en bronnen, zoals lokale en beheerdersaccounts op een domein, te beveiligen, besturen en controleren.

Wordt soms ook PAM-as-a-Service genoemd. PAMaaS is een cloudgebaseerde Privileged Access Management oplossing.

Een geprivilegieerd toegangswerkstation (PAW), soms ook veilig toegangswerkstation (SAW, Secure Access Workstation) genoemd, is een versterkt werkstation dat speciaal en uitsluitend is ontworpen voor het uitvoeren van sterk geprivilegieerde taken. PAW's worden geconfigureerd met beveiligingscontroles en -beleidsregels die lokale administratieve toegang beperken en e-mail, kantoorproductiviteitstools en online surfen beperken; ze zijn uitgerust met alleen de tools die strikt noodzakelijk zijn om sterk geprivilegieerde taken uit te voeren. Dit blokkeert de meestvoorkomende vectoren voor phishing-aanvallen (e-mail en online surfen), en reduceert daarmee het risico dat de PAW wordt gecompromitteerd enorm.

Een geprivilegieerd account heeft veel hogere netwerktoegangsniveaus dan standaard gebruikersaccounts. Zo kunnen geprivilegieerde accounts gebruikers toevoegen en verwijderen, de toegangsniveaus van gebruikers wijzigen of systeem- of appconfiguraties aanpassen.

Geprivilegieerde accounts worden vaak beheerdersaccounts genoemd, maar niet alle geprivilegieerde accounts worden door mensen gebruikt. Serviceaccounts, die worden gebruikt door apps, zijn geprivilegieerde accounts.

Daarnaast kan de term 'geprivilegieerd account' verwijzen naar een niet-technische gebruiker van een hoog niveau, zoals een CEO of CFO, die toegang heeft tot extreem vertrouwelijke gegevens, zoals vertrouwelijke overheidsbestanden, medische dossiers of de financiële informatie van een organisatie.

Privileged Account en Session management (PASM) maakt deel uit van Privileged Access Management (PAM) en biedt organisaties een manier om gebruikersaccounts te beveiligen, controleren en monitoren. IT-teams krijgen een goed overzicht van kritieke administratieve gebruikerssessies.

Geprivilegieerd identiteitsbeheer (PIM) werkt in samenspraak met PAM. Terwijl PAM verwijst naar de beleidsregels en technische oplossingen om geprivilegieerde accounts te beheren, draait PIM over het beheren van welke bronnen geprivilegieerde gebruikers kunnen gebruiken. PIM staat organisaties toe om de toegangsmachtigingen voor geprivilegieerde gebruikerstoegang voor bepaalde data en systemen te controleren, beheren en monitoren.

Privileged Session Management (PSM) werkt in samenspraak met Privileged Access Management (PAM) om de toegang tot de meest vertrouwelijke en kritieke systemen en data van een organisatie te beveiligen. Terwijl PAM zich richt op het beveiligen van privileged gebruikersgegevens, draait PSM volledig om het controleren, monitoren en opnemen van privileged sessies, oftewel de acties die privileged gebruikers kunnen ondernemen zodra ze zich aanmelden bij het netwerk.

Naast het voorkomen dat geprivilegieerde gebruikers misbruik kunnen maken van hun toegang, stelt PSM organisaties in staat om te voldoen aan nalevingsregels, zoals SOX, HIPAA, PCI DSS, ICS CERT, GLBA, FDCC en FISMA, die eisen dat geprivilegieerde activiteiten worden gelogd en gemonitord.

Privileged User Management (PUM) wordt soms als synoniem gebruikt van Privileged Access Management (PAM) en Privileged Identity Management (PIM). Er zijn echter belangrijke verschillen. Anders dan PAM-accounts worden PUM-accounts over het algemeen gedeeld en ze gebruiken geen 2FA/MFA; gebruikers hebben toegang tot PUM-accounts met alleen een wachtwoord. Hierom moeten PUM-accounts worden vermeden.

Het proces van het vaststellen van gebruikerstoegang tot volledige systemen of individuele apps. Een nieuwe werknemer wordt toegevoegd aan alle systemen en apps die deze persoon nodig heeft om de functie uit te oefenen; een werknemer die aanvullende taken op zich neemt, heeft mogelijk toegang nodig tot extra apps en systemen.

Ook wel bekend als openbare sleutelcodering of asymmetrische versleuteling. Een methode van het versleutelen van gegevens die gebruikmaakt van twee sleutels; een openbare sleutel die iedereen kan gebruiken, en een privésleutel. Gegevens versleuteld met de openbare sleutel kunnen alleen worden ontcijferd met de privésleutel, en omgekeerd.

PWN is hackertaal die ontstond in de online gamingcommunity als een verkeerd gespeld 'owned'. (Daarom wordt PWN uitgesproken als 'own', niet als 'pawn'.) Het betekent 'veroveren' of 'overheersen' - zoals bijvoorbeeld bij het succesvol hacken van een account of netwerk.

Remote Authentication Dial-In User Service (RADIUS) is een client-server-protocol wat gecentraliseerde authenticatie, autorisatie en accountbeheer mogelijk maakt voor externe en draadloze netwerktoegang. RADIUS werkt op de app-laag en stelt organisaties in staat om gebruikersproifielen te onderhouden in een centraal depot dat wordt gedeeld door alle externe servers.

Extern bureaubladprotocol (RDP) is een eigen netwerkcommunicatieprotocol dat is ontwikkeld door Microsoft. RDP schakelt veilige externe toegang tot werkstations en servers in. RDP kan worden gebruikt door niet-technische eindgebruikers om externe toegang te krijgen tot hun werkstations, en door IT-beheerders en DevOps-teams om op afstand systeemonderhoud uit te voeren en problemen te diagnosticeren en repareren. Via een grafische interface kunnen externe gebruikers apps openen en bestanden bewerken op dezelfde manier als dat ze voor de externe machine zouden zitten.

Naast Windows zijn RDP-clients beschikbaar voor Mac OS, Linux/Unix, Google Android en Apple iOS. Open-source-versies van RDP-software zijn beschikbaar.

Representational State Transfer. Een moderne, staatloze, sterk flexibele API die een set functies bepaalt, zoals GET, PUT en DELETE. Clients kunnen die gebruiken voor toegang tot servergegevens. Clients en servers wisselen gegevens uit via HTTP.

Robotische procesautomatisering (RPA) is vergelijkbaar met zakelijke bedrijfsautomatisering (BPA, Business Process Automation) en verwijst naar software die handmatig en zich herhalend werk automatiseert. Echter, anders dan BPA maakt BPA meer gebruik van AI en machine learning, zodat bots menselijke gebruikers kunnen nabootsen en zich kunnen aanpassen aan dynamische omstandigheden. Terwijl BPA bijvoorbeeld wordt gebruikt om een vooraf bepaald antwoord te e-mailen naar een klant (zoals een bestelling over informatie over de verzending), wordt RPA gebruikt om interactieve chatbots te bouwen die vragen van klanten in realtime kunnen analyseren.

Op rollen gebaseerde toegangscontrole, (RBAC), ook bekend als op rollen gebaseerde beveiliging, is een toegangscontrolemodel waarbij de rol van een gebruiker binnen een organisatie bepaalt welke netwerkbronnen toegankelijk zijn. Het doel van RBAC is ervoor zorgen dat gebruikers geen toegang hebben tot systemen en gegevens die niets te maken hebben met hun functies, naleving vergroten, gegevenslekken voorkomen en in het geval dat de aanmeldingsgegevens van een gebruiker worden gecompromitteerd, de mogelijkheid van een bedreiger beperken om zich lateraal binnen het netwerk te bewegen. Werkt samen met toegang met minimale privileges.

Security Assertion Markup Language. Een open standaard voor het uitwisselen van authenticatie- en autorisatiegegevens tussen partijen. Wordt vaak gebruikt door SSO-identiteitsproviders om te communiceren met serviceproviders, waardoor SSO kan worden uitgebreid over beveiligingsdomeinen en zo Single Sign On mogelijk kan worden gemaakt.

In een IT-omgeving is een geheim een compact gegeven dat vertrouwelijk moet blijven. Wordt vaak gebruikt door niet-mensen voor authenticatie tot sterk geprivilegieerde systemen en gegevens. Voorbeelden van IT-geheimen zijn RDP-aanmeldingsgegevens, SSH-sleutels, API-sleutels en geprivilegieerde accountgegevens.

De middelen en methodes om veilig infrastructuurgeheimen op te slaan, toegankelijk te maken en te beheren in een IT-omgeving, zoals API-sleutels, digitale certificaten en geprivilegieerde aanmeldingsgegevens. Ook bekend als AAPM.

Secure Shell Protocol (SSH) is een cryptografisch netwerkprotocol waardoor twee computers veilig kunnen communiceren. SSH is ontwikkeld als een veilig alternatief voor Telnet en onbeveiligde externe shell-protocollen voor Unix, die gegevens overdragen (waaronder wachtwoorden) in platte tekst. SSH maakt gebruik van openbare sleutelcryptografie om de externe computer te authentiseren en die toe te staan om de gebruiker te authentiseren, en versleutelt alle communicatie tussen de twee computers. De vaakst gebruikte onderdelen van SSH zijn externe aanmelding en uitvoering via opdrachtregels.

Beveiliging als een service (SaaS / SecaaS) is een bedrijfsmodel waarbij organisaties cyberbeveiligingsoplossingen en services outsourcen in plaats van in-house bronnen te gebruiken. SecaaS kan zo minimaal zijn als het instellen van een beheerd cloudgebaseerd PAM- of IAM-platform, of ze uitgebreid als het outsourcen van alle beveiligingsfuncties van een organisatie.

Een beveiligingsinformatie- en gebeurtenisbeheersysteem (SIEM) is een softwareplatform dat beveiligingsgegevens aggregeert van een organisatie, die analyseert en menselijk beveiligingspersoneel op de hoogte brengt van potentiële dreigingen. SIEM's verzamelen en analyseren gegevens van zowel hardware als apps, inclusief netwerkapparaten, servers en domeincontrollers.

Een fysiek en logisch apparaat dat wordt gebruikt door een eindgebruiker om de identiteit te bewijzen en toegang te bieden tot een digitale bron. Beveiligingstokens kunnen worden gebruikt naast wachtwoorden, als een 2FA/MFA authenticatiefactor of in plaats van wachtwoorden in een wachtwoordloze authenticatiesetup.

Fysieke beveiligingstokens zijn onder meer keycards of beveiligingssleutels (zoals YubiKey). Digitale beveiligingstokens bevatten OTP's/TOTP's, gegenereerd door authenticatie-apps.

Self-Service Password Reset (SSPR) is een automatiseringsfunctie voor zakelijke processen waarmee gebruikers hun wachtwoorden kunnen resetten zonder contact te hoeven hebben met menselijke IT-medewerkers, waarbij tijd wordt bespaard voor zowel eindgebruikers als helpdeskmedewerkers. SSPR wordt typisch gebruikt om verloren, vergeten of verlopen wachtwoorden te resetten.

Een speciaal soort geprivilegieerd account dat wordt gebruikt door niet-menselijke gebruikers, in het bijzonder apps. Service-accounts worden vaak gebruikt voor werkbelastingen op virtual machine (VM)-instanties, werkbelastingen op werkstations op locatie of datacenters die API's en andere geautomatiseerde processen aanroepen.

Menselijke gebruikers zijn niet direct betrokken bij het maken of gebruiken van service-accounts. Ze worden over het algemeen gemaakt en geconfigureerd door de pakketmanager tijdens de software-installatie, en een app neemt de identiteit van een service-account aan om een API op te roepen of andere processen uit te voeren. Deze automatisering bespaart IT-teams tijd, maar zoals andere geprivilegieerde accounts, vormen service-accounts grote cyberbeveiligingsrisico's en moeten ze strak beheerd en gecontroleerd worden.

Een passkey is en moderne, wachtwoordloze authenticatietechnologie waarmee gebruikers zich kunnen aanmelden bij accounts en apps via een cryptografische sleutel in plaats van een wachtwoord. Een passkey maakt gebruik van biometrische gegevens (vingerafdruk, gezichtsherkenning, enz.) om de identiteit van de gebruiker te bevestigen.

Service Account Governance (SAG) is een subset van geheimenbeheer en verwijst naar beleidsregels, procedures en technologische tools die worden gebruikt om service-accounts te beveiligen en beheren, waaronder toevoegen en verwijderen, wachtwoordbeheer en afhankelijkheidsbeheer.

Gedeeld accountwachtwoordbeheer, (SAPM, Shared Account Password Management) is vergelijkbaar met geprivilegieerd gebruikersbeheer (PUM). Het verwijst naar het beheer van gedeelde geprivilegieerde accounts - iets wat organisaties te allen tijde moeten zien te voorkomen, aangezien geprivilegieerde accounts strak moeten worden beheerd en gemonitord op beveiligings- en nalevingsdoelen

Single Sign-On (SSO) is een authenticatiemethode waarmee gebruikers met een enkele set aanmeldingsgegevens toegang hebben tot meerdere apps en systemen. Hoewel SSO vaak synoniem met Federated Identity Management (FIM) wordt gebruikt, maakt SSO toegang binnen een enkel domein mogelijk, terwijl FIM toegang mogelijk maakt tot systemen en apps binnen meerdere domeinen.

Voorbeeld van SSO: werknemers gebruiken één set aanmeldingsgegevens voor toegang tot hun werkmail, HR-portaal en andere interne bronnen.

Voorbeeld van FIM: werknemers gebruiken één set met aanmeldingsgegevens voor toegang tot apps van derden, zoals videconferencing-apps en ticketingsystemen.

SSO en FIM worden vaak samen gebruikt.

Een oudere API die niet meer wordt gebruikt, ten gunste van meer flexibele opties zoals REST. Gebruikt Simple Object Access Procotol, met clients en servers die berichten uitwisselen met XML.

Gartner definieert softwarematig veranderings- en configuratiebeheer (SCCM, Software Change & Configuration Management) als hulpmiddelen die worden gebruikt om softwareversies en configuraties te beheren en controleren. Gartner beschouwt ook oplossingen voor 'ontwikkelingsveranderingsbeheer, traceren van defecten, automatisering van wijzigingen, ontwikkelingsreleasebeheer, geïntegreerd testbeheer, geïntegreerd buildbeheer en andere gerelateerde processen' als deel van SCCM.

System for Cross-Domain Identity Management (SCIM) is een open standaard voor het automatiseren van het toevoegen en verwijderen van gebruikers. SCIM maakt het uitwisselen van gebruikersidentiteitsgegevens tussen identiteitsdomeinen of IT-systemen mogelijk via een gestandaardiseerde API via REST, met gegevens opgemaakt in JSON of XML. Organisaties gebruiken SCIM om gebruikers automatisch toe te voegen en verwijderen van externe platforms, zoals kantoorproductiviteitssuites, CRM's en ticketingsystemen, wanneer werknemers worden ingehuurd of vertrekken.

Naarmate organisaties steeds meer SaaS-oplossingen implementeren, groeit ook de populariteit van SCIM snel als een alternatief voor LDAP. Grote identiteitsproviders, waaronder Azure Active Directory, ondersteunen SCIM, zoals veel populaire SaaS-platforms, waaronder Microsoft Office en Google Workspace.

Transport Layer Security (TLS) en SSL (Secure Socket Layers) zijn cryptografische protocollen die gegevens versleutelen en verbindingen authenticeren bij het overzetten van gegevens via internet.

TLS is ontwikkeld vanuit SSL; het TLS-protocol zou oorspronkelijk SSL 3.0 gaan heten. De naam werd gewijzigd voor publicatie om de banden met Netscape te verbreken, het inmiddels ter ziele gegane bedrijf dat SSL maakte. Hoewel de termen TLS en SSL vaak inwisselbaar worden gebruikt, wordt SSL niet meer gebruikt, omdat het beveiligingsrisico's had die met de ontwikkeling van TLS werden verholpen

Een methode waarmee gebruikers een app kunnen authenticeren via een ondertekende cookie met sessiestatusinformatie. Op token gebaseerde authenticatie wordt vaak gebruikt samen met andere authenticatiemethoden. In dit scenario wordt er een andere methode gebruikt voor de eerste identiteitsauthenticatie, en op token gebaseerde authenticatie voor hernieuwde authenticatie wanneer een gebruiker terugkeert naar een website of app.

Universal Authentication Framework (UAF) is een open standaard die werd ontwikkeld door de FIDO Alliance met als doel wachtwoordloze authenticatie mogelijk maken, in tegenstelling tot een secundaire authenticatiefactor.

Universal Second Factor (U2F) is een open standaard die hardwarematige beveiligingstokens gebruikt, verbonden via USB of Near-Field Communication (NFC), als extra factoren bij 2FA/MFA. Het werd oorspronkelijk ontwikkeld door Google en Yubico, met een bijdrage van NXP Semiconductors. De U2F-standaard wordt nu gehost door de FIDO Alliance. Het werd opgevolgd door het FIDO2 Project.

Gebruikersaccountcontrole (UAC) is een verplicht toegangscontroleafdwingingsfunctie inbegrepen in Microsoft Windows-systemen. UAC helpt de impact van malware te beperken door te voorkomen dat menselijke gebruikers, apps en malware onbevoegde wijzigingen aanbrengen aan het besturingssysteem. Het werkt door elke app die een beheerderstoegangstoken vereist te dwingen in te stemmen voordat bepaalde processen worden uitgevoerd, bijvoorbeeld het installeren van nieuwe software.

Gebruikers- en entiteitsgedragsanalye (UEBA) maakt gebruik van kunstmatige intelligentie en machine learning-algoritmes om standaarden voor gedrag voor menselijke gebruikers, routers, servers en eindpunten te maken in een organisatorisch netwerk. Vervolgens controleert het op afwijkingen van die standaard. Een voorbeeld van UEBA in actie is wanneer een creditcardbedrijf het account van een klant bevriest omdat het algoritme een dramatische wijziging in gebruikersgedrag heeft opgemerkt, zoals een klant die plotseling meerdere, hele grote orders plaatst.

Geprivilegieerde leverancierstoegangbeheer (VPAM) is een subset van PAM en houdt zich bezig met leveranciers die toegang nodig hebben tot vertrouwelijke systemen; bijvoorbeeld een externe ontwikkelaar, beveiligingsleverancier of salarisadministratiebedrijf. VPAM-oplossingen zorgen ervoor dat geprivilegieerde leverancierstoegang dezelfde beperkingen volgt als de PAM-accounts van de organisatie, zoals toegang met minimale privileges, just-in-time toegang en sessie-opnames/controle.

Virtual Network Computing (VNC) is een cross-platform systeem voor schermdeling en wordt gebruikt om externe bureaubladen te besturen vanaf een andere computer. Met VNC kan een externe gebruiker een computerscherm, toetsenbord en muis gebruiken alsof deze gebruiker er zelf voor zit.

VNC werkt volgens een client/server-model, waarvoor u een servercomponent moet installeren op de externe machine die wordt gebruikt, en een VNC-viewer, of client, op het apparaat waarvandaan u toegang hebt tot de externe machine. VNC maakt gebruik van het Remote Framebuffer (RFB)-protocol om de indeling van de gegevens tussen de client en de server te bewaken.

VNC lijkt op RDP, maar VNC werkt op meerdere besturingssystemen en maakt direct verbinding met de externe computer in plaats van via een server.

Webtoegangsbeheer (WAM) was een voorganger van IAM, dat veel werd gebruikt in de jaren 1990 en de vroege jaren 2000. WAM-oplossingen boden controle en toezicht op gebruikerstoegang tot webbronnen die werden gehost op locatie in datacenters. Aangezien WAM-tools zich niet aanpasten toen cloudcomputing, mobiliteit, API's en externe toegang in opkomst kwamen, werden ze vervangen door meer robuuste IAM-oplossingen.

WebAuthn (Web Authentication) is een webgebaseerde API die is gepubliceerd door het World Wide Web Consortium (W3C) en een belangrijk onderdeel van de FIDO2-set met specificaties. Met WebAuthn kunnen websites hun aanmeldingspagina's bijwerken met FIDO-gebaseerde authenticatie op ondersteunde browsers en platforms.

XACML staat voor eXtensible Access Control Markup Language. Een gestructureerde taal die gebruikmaakt van IAM-oplossingen die op attributen gebaseerde toegangscontrole (ABAC) ondersteunen, op beleidsregels gebaseerde toegangscontrole (PBAC) en andere zeer complexe autorisatiemechanismen die toegang bieden tot een set met verfijnde gebruikersattributen die samenwerken.

Zero-knowledge is een beveiligingsmodel dat een uniek versleutelings- en gegevenssegregatiekader gebruikt dat beschermt tegen externe gegevenslekken door ervoor te zorgen dat de IT-serviceproviders geen kennis hebben van de klantgegevens die op hun servers zijn opgeslagen.

In een zero-trust omgeving worden gegevens versleuteld en ontcijferd op apparaatniveau, niet op de server. De server ontvangt gegevens nooit in platte tekst, en de IT-serviceprovider heeft geen toegang tot coderingssleutels van de klant. Als gevolg heeft niemand behalve de klant toegang tot onversleutelde gegevens - zelfs de eigen werknemers van de IT-serviceprovider niet.

Keeper Security is a zero-knowledge beveiligingsprovider. Gegevens worden versleuteld op het apparaat van de gebruiker voordat ze worden verstuurd en opgeslagen in de digitale kluis van Keeper. Wanneer gegevens worden gesynchroniseerd met een ander apparaat, blijven de gegevens versleuteld tot ze worden ontcijferd op het andere apparaat. Keeper heeft geen toegang tot de hoofdwachtwoorden van onze klanten, en wij hebben ook geen toegang tot de ontcijferingscodes om de gegevens te ontcijferen.

Een modern IAM-kader dat ervan uitgaat dat alle gebruikers en apparaten potentieel kunnen worden gecompromitteerd, en dat iedereen, mens of machine, moet worden geverifieerd voordat er toegang tot het netwerk kan worden verleend. Iedereen moet toegang met minimale privileges hebben tot netwerkbronnen.

Zero Trust Network Access (ZTNA) is een netwerkbeveiligingskader dat zich richt op het hanteren van strenge toegangscontroles en authenticatiemechanismen, ongeacht of een gebruiker of apparaat zich binnen of buiten de netwerkperimeter bevindt.

Discoverable Credentials, ook wel Resident Keys genoemd, stellen de WebAuthn-API in staat om hoogwaardige MFA aan te bieden met een wachtwoordloze aanmeldingservaring.

In een 'traditionele' authenticatie-opstelling worden de aanmeldingsgegevens van de gebruiker opgeslagen op de server van de afhankelijke partij. Daardoor is het nodig dat de server de aanmeldingsgegevens terugstuurt naar de authenticator voordat de authenticator deze kan ontcijferen en gebruiken. Daarnaast moet de gebruiker een gebruikersnaam, en vaak ook een wachtwoord, invoeren om de identiteit te verifiëren.

In een opstelling met Discoverable Credentials, worden de privésleutel van de gebruiker en gekoppelde metadata opgeslagen op de authenticator in plaats van op de server van de afhankelijke partij. Tijdens het eerste registratieproces genereert de server van de afhankelijke partij een gebruikershandle met een unieke identificatie. Deze gebruikershandle, samen met de privésleutel, wordt opgeslagen op de authenticator.

Vervolgens, tijdens het authenticatieproce, retourneert de authenticator de gebruikershandle, waardoor de server de betreffende gebruiker kan opzoeken, in plaats van dat de gebruiker zijn of haar gebruikersnaam moet invullen om zich aan te melden. Als de authenticator ook pincodes of biometrische verificatie ondersteunt, krijgt de afhankelijke partij hoogwaardige MFA met enkele aanmeldingsstap, zonder dat er wachtwoorden hoeven te worden verstuurd.

Bekrachtiging verwijst naar bewijs van iets. De FIDO 2.0-set van beveiligingsspecificaties maakt gebruik van bekrachtiging om cryptografisch bewijs van het authenticatormodel aan de afhankelijke partij te verstrekken. De afhankelijke partij kan vervolgens daaruit de beveiligingskarakteristieken van de authenticator afleiden.

In FIDO 2.0 zijn bekrachtigingen gekoppeld aan contextuele gegevens. De gegevens worden geobserveerd en toegevoegd terwijl een ondertekeningsverzoek van de server naar de authenticator wordt gestuurd. Om een ondertekening te verifiëren, controleert de server de gegevens die worden ontvangen tegen verwachte waarden.

In de context van FIDO 2.0 is een afhankelijke partij een website of een andere entiteit die het FIDO-protocol gebruikt om gebruikers rechtstreeks te authenticeren.

In gevallen waarbij FIDO wordt gecombineerd met FIM-beheerprotocollen, zoals SAML en OpenID Connect, is de identiteitsprovider ook een afhankelijke FIDO-partij.