Bepalende factor
door Strict op wo 11 mrt 2015
Weg met wachtwoorden dus, maar wat dan? Hoe kun je bewijzen dat je de rechtmatige gebruiker van een digitale identiteit bent als je geen wachtwoord kunt gebruiken? In de regel hanteren we de volgende sequentie als het gaat om inloggen:
- Identificeren
- Authenticeren
- Autoriseren
Bij identificeren maak je kenbaar wie je bent. Of eigenlijk zeg je welke identiteit je wilt gebruiken voor een informatiesysteem of website. Je moet eerst zeggen wat je (te gebruiken) identiteit is. Daar komt geen bewijs bij kijken, ik kan bij inloggen wel melden dat ik de Koning ben. Om te voorkomen dat ik de rechten van de Koning krijg, moet ik wel eerst bewijzen dat ik de koning ben. Hoe kan dat? Ik moet iets aan de inlogfunctie vertellen dat alleen de koning kan weten. Een wachtwoord. Of iets wat alleen de koning kan hebben, zoals een ‘token’. Of iets dat alleen de koning kan zijn op grond van niet te kopiëren of niet te vervalsen fysiologische kenmerken. Als de inlogfunctie kan vaststellen dat ik, als inlogger, inderdaad beschik over het bewijs dat ik de koning ben, dan krijg ik de rechten van de koning. Makkelijk.
Ik heb net eigenlijk iets verteld over de verschillende mogelijkheden. In onze branche spreken we over:
- iets dat je weet
- iets dat je hebt
- iets dat je bent
De ultieme vorm van bewijs is een combinatie van kennis en bezit, of kennis en biometrie, dus versterkte authenticatie, of twofactor (2FA), multi-factor authenticatie. Dus een token met een pincode. Of een smartphone met een pincode. Of een token met pincode in combinatie met een vingerafdruk. Bedenk het maar…
Ik heb in mijn vorige blogs al iets verteld over de problemen van wachtwoorden. Maar er is hulp: de wachtwoordbeheersystemen. Hulpmiddelen waarin je wachtwoorden voor sites kunt opslaan. Zo’n password manager kan zelf moeilijke wachtwoorden genereren en voor je beheren, zodat je die niet hoeft te onthouden of op te schrijven. Je moet wel die password manager beschermen met een master password. Als je het master password van die tool goed beheert, dan hoef je alleen dat wachtwoord te onthouden, waarna die tool voor jou inlogt op de betreffende site. Als het goed is, dan zijn de wachtwoorden ook vele malen veiliger dan alles wat je zelf nog aankunt.
En daar wordt het nu opeens spannend. De afgelopen weken ontspon zich op internet een discussie over de vraag hoe veilig een password manager is. Is zo’n oplossing veiliger dan zelf wachtwoorden beheren en is er misschien zelfs sprake van multi-factor authenticatie bij gebruik van bijvoorbeeld Google Authenticator (een sms code beveiligingsfunctie)? Op deze blog wordt deze vraag uitgewerkt:
Een discussie voor fijnproevers ontspon op sociale media, die uitmondde in deze blog van Nishant Kaushik. Interessante vraagstelling: wanneer is 2FA nu echt 2FA? Is dat ook het geval als je een wachtwoordmanager ontsluit met een appje?
Even terug naar de basis: Wat zijn nu in essentie de verschillen in niveau van beveiliging van de drie factoren weten, hebben, zijn?
Kopiëren en Delen:
Een wachtwoord, iets dat je weet, kun je kopiëren en delen. Simpel: schrijf het wachtwoord op, vertel het wachtwoord aan iemand anders, wat dan ook, en er is geen enkele garantie dat de persoon die het wachtwoord van een account kent, ook de originele eigenaar van dat account is. Ik spreek niet over de rechtmatige gebruiker, want de originele eigenaar kan natuurlijk altijd zijn eigendom aan anderen beschikbaar stellen. Ook al mag dat misschien niet.
Iets wat je hebt als een bewijsstuk, geeft meer zekerheid over de rechtmatigheid van het gebruik van een identiteit. Niet veel meer zekerheid, maar toch wel iets meer zekerheid. Je kunt iets wat je hebt natuurlijk altijd aan iemand anders geven. Maar het is, als het goed beveiligd is, niet te kopiëren, zodat er maar één persoon tegelijk gebruik kan maken van het bewijsstuk.
Het laatste bewijsstuk is iets dat onlosmakelijk verbonden is met de eigenaar van de identiteit. We hebben het dan over biometrische kenmerken, zoals een vingerafdruk, een irispatroon, stem. Dit bewijsstuk is niet te delen en niet te kopiëren. Tenminste, niet zonder veel schade aan de individu. Als je het boek ‘Ik ben Pelgrim’ van Terry Hayes hebt gelezen, dan weet je wat de gevolgen zijn…
Kort en goed: in mijn optiek is de discussie over 2FA interessant, maar voor de meeste omgevingen minder relevant. Het is in ieder geval een leuke discussie, waar niet veel mensen ooit van hebben gehoord ?
Zolang we met wachtwoorden werken is het niveau van beveiliging matig. Het gebruik van een ‘bepalende factor’ bewijssoort, niet zijnde iets wat je weet, levert al een aanzienlijke verbetering op. En soms kan een appje (met pincode) op een smartphone (die je hebt) voldoen aan die eis. Laten we daar de volgende keer wat voorbeelden van tonen…
PS: Als je die pagina over de 2FA discussie op twitter leest, kom je meteen wel een stel echte identity experts tegen. Ik stel voor om die mensen snel te volgen!
- Technologie (135)
- Nieuws (70)
- 5G (67)
- Continuïteit (64)
- Security & Privacy (57)
- Agility (35)
- Podcast (34)
- Wendbaarheid (31)
- Klantcase (18)
- Webinar (18)
- Blog (16)
- Innovatie (14)
- Mission Critical (13)
- AI (12)
- Healthcare (12)
- Overheid (12)
- Cloud (9)
- Medewerker interview (8)
- Smart City (7)
- Video (7)
- OOV (5)
- Vervoer (5)
- Projectmanagement (3)
- Duurzaamheid (2)
- december 2024 (5)
- november 2024 (9)
- oktober 2024 (9)
- september 2024 (10)
- augustus 2024 (6)
- juli 2024 (9)
- juni 2024 (6)
- mei 2024 (3)
- april 2024 (9)
- maart 2024 (11)
- februari 2024 (4)
- december 2023 (2)
- november 2023 (4)
- oktober 2023 (3)
- september 2023 (3)
- juli 2023 (4)
- juni 2023 (3)
- mei 2023 (6)
- april 2023 (2)
- maart 2023 (5)
- februari 2023 (1)
- januari 2023 (1)
- december 2022 (1)
- november 2022 (2)
- oktober 2022 (3)
- september 2022 (3)
- augustus 2022 (3)
- juli 2022 (8)
- juni 2022 (6)
- mei 2022 (4)
- april 2022 (5)
- maart 2022 (4)
- februari 2022 (5)
- januari 2022 (2)
- november 2021 (2)
- oktober 2021 (1)
- september 2021 (3)
- augustus 2021 (2)
- juli 2021 (1)
- juni 2021 (1)
- mei 2021 (1)
- april 2021 (3)
- maart 2021 (1)
- februari 2021 (1)
- november 2020 (1)
- augustus 2020 (1)
- juli 2020 (2)
- mei 2020 (2)
- april 2020 (4)
- maart 2020 (5)
- februari 2020 (3)
- januari 2020 (5)
- december 2019 (2)
- november 2019 (3)
- oktober 2019 (5)
- september 2019 (1)
- augustus 2019 (3)
- juli 2019 (2)
- juni 2019 (3)
- mei 2019 (2)
- april 2019 (4)
- maart 2019 (8)
- februari 2019 (6)
- januari 2019 (3)
- december 2018 (4)
- november 2018 (2)
- oktober 2018 (10)
- september 2018 (6)
- augustus 2018 (8)
- juli 2018 (2)
- juni 2018 (7)
- mei 2018 (3)
- maart 2018 (3)
- februari 2018 (3)
- januari 2018 (3)
- december 2017 (6)
- november 2017 (5)
- oktober 2017 (5)
- september 2017 (5)
- juli 2017 (1)
- juni 2017 (4)
- mei 2017 (1)
- maart 2017 (9)
- februari 2017 (1)
- januari 2017 (1)
- december 2016 (1)
- oktober 2016 (2)
- september 2016 (2)
- augustus 2016 (6)
- juli 2016 (1)
- juni 2016 (3)
- mei 2016 (2)
- april 2016 (3)
- maart 2016 (3)
- januari 2016 (1)
- december 2015 (1)
- november 2015 (2)
- oktober 2015 (1)
- september 2015 (2)
- augustus 2015 (1)
- juli 2015 (1)
- juni 2015 (2)
- mei 2015 (2)
- maart 2015 (2)
- februari 2015 (2)
- juni 2014 (1)