Weg met wachtwoorden dus, maar wat dan? Hoe kun je bewijzen dat je de rechtmatige gebruiker van een digitale identiteit bent als je geen wachtwoord kunt gebruiken? In de regel hanteren we de volgende sequentie als het gaat om inloggen:
Bij identificeren maak je kenbaar wie je bent. Of eigenlijk zeg je welke identiteit je wilt gebruiken voor een informatiesysteem of website. Je moet eerst zeggen wat je (te gebruiken) identiteit is. Daar komt geen bewijs bij kijken, ik kan bij inloggen wel melden dat ik de Koning ben. Om te voorkomen dat ik de rechten van de Koning krijg, moet ik wel eerst bewijzen dat ik de koning ben. Hoe kan dat? Ik moet iets aan de inlogfunctie vertellen dat alleen de koning kan weten. Een wachtwoord. Of iets wat alleen de koning kan hebben, zoals een ‘token’. Of iets dat alleen de koning kan zijn op grond van niet te kopiëren of niet te vervalsen fysiologische kenmerken. Als de inlogfunctie kan vaststellen dat ik, als inlogger, inderdaad beschik over het bewijs dat ik de koning ben, dan krijg ik de rechten van de koning. Makkelijk.
Ik heb net eigenlijk iets verteld over de verschillende mogelijkheden. In onze branche spreken we over:
De ultieme vorm van bewijs is een combinatie van kennis en bezit, of kennis en biometrie, dus versterkte authenticatie, of twofactor (2FA), multi-factor authenticatie. Dus een token met een pincode. Of een smartphone met een pincode. Of een token met pincode in combinatie met een vingerafdruk. Bedenk het maar…
Ik heb in mijn vorige blogs al iets verteld over de problemen van wachtwoorden. Maar er is hulp: de wachtwoordbeheersystemen. Hulpmiddelen waarin je wachtwoorden voor sites kunt opslaan. Zo’n password manager kan zelf moeilijke wachtwoorden genereren en voor je beheren, zodat je die niet hoeft te onthouden of op te schrijven. Je moet wel die password manager beschermen met een master password. Als je het master password van die tool goed beheert, dan hoef je alleen dat wachtwoord te onthouden, waarna die tool voor jou inlogt op de betreffende site. Als het goed is, dan zijn de wachtwoorden ook vele malen veiliger dan alles wat je zelf nog aankunt.
En daar wordt het nu opeens spannend. De afgelopen weken ontspon zich op internet een discussie over de vraag hoe veilig een password manager is. Is zo’n oplossing veiliger dan zelf wachtwoorden beheren en is er misschien zelfs sprake van multi-factor authenticatie bij gebruik van bijvoorbeeld Google Authenticator (een sms code beveiligingsfunctie)? Op deze blog wordt deze vraag uitgewerkt:
Een discussie voor fijnproevers ontspon op sociale media, die uitmondde in deze blog van Nishant Kaushik. Interessante vraagstelling: wanneer is 2FA nu echt 2FA? Is dat ook het geval als je een wachtwoordmanager ontsluit met een appje?
Even terug naar de basis: Wat zijn nu in essentie de verschillen in niveau van beveiliging van de drie factoren weten, hebben, zijn?
Kopiëren en Delen:
Een wachtwoord, iets dat je weet, kun je kopiëren en delen. Simpel: schrijf het wachtwoord op, vertel het wachtwoord aan iemand anders, wat dan ook, en er is geen enkele garantie dat de persoon die het wachtwoord van een account kent, ook de originele eigenaar van dat account is. Ik spreek niet over de rechtmatige gebruiker, want de originele eigenaar kan natuurlijk altijd zijn eigendom aan anderen beschikbaar stellen. Ook al mag dat misschien niet.
Iets wat je hebt als een bewijsstuk, geeft meer zekerheid over de rechtmatigheid van het gebruik van een identiteit. Niet veel meer zekerheid, maar toch wel iets meer zekerheid. Je kunt iets wat je hebt natuurlijk altijd aan iemand anders geven. Maar het is, als het goed beveiligd is, niet te kopiëren, zodat er maar één persoon tegelijk gebruik kan maken van het bewijsstuk.
Het laatste bewijsstuk is iets dat onlosmakelijk verbonden is met de eigenaar van de identiteit. We hebben het dan over biometrische kenmerken, zoals een vingerafdruk, een irispatroon, stem. Dit bewijsstuk is niet te delen en niet te kopiëren. Tenminste, niet zonder veel schade aan de individu. Als je het boek ‘Ik ben Pelgrim’ van Terry Hayes hebt gelezen, dan weet je wat de gevolgen zijn…
Kort en goed: in mijn optiek is de discussie over 2FA interessant, maar voor de meeste omgevingen minder relevant. Het is in ieder geval een leuke discussie, waar niet veel mensen ooit van hebben gehoord ?
Zolang we met wachtwoorden werken is het niveau van beveiliging matig. Het gebruik van een ‘bepalende factor’ bewijssoort, niet zijnde iets wat je weet, levert al een aanzienlijke verbetering op. En soms kan een appje (met pincode) op een smartphone (die je hebt) voldoen aan die eis. Laten we daar de volgende keer wat voorbeelden van tonen…
PS: Als je die pagina over de 2FA discussie op twitter leest, kom je meteen wel een stel echte identity experts tegen. Ik stel voor om die mensen snel te volgen!