Managed hosting door True
Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het redactionele gedachtegoed van de redactie.

Doe het zelf authenticatie

Authenticatie over open en onbeschermde netwerken, dat betekent nogal wat. Personen (waaronder consumenten, thuisbankiers, burgers en patiënten) moeten erg goed op hun tellen passen voordat ze hun persoons details vrijgeven. Zelfs DigiD ligt onder vuur! Hoe bereiken we, met simpele, betaalbare en beschikbare middelen, dat gebruikers zich uniek en beschermd kunnen identificeren? Het antwoord lijkt simpel: gebruik de smartphone!

Bij een recentelijk seminar over het thema bring your own device (byod) kwamen er wat interessante (toekomst) percepties van dit fenomeen aan de orde. En dan met name gericht op de smartmobiel - vaak synoniem voor byod. Welke werkprocessen profiteren optimaal? En is het gebruik hiervan toebedeeld aan wat we noemen 'De Mobiele Elite'? Wat zijn de ondersteunende processen die we van byod kunnen leren? Een daarvan is authenticatie, het wanneer, hoe en waarom een gebruiker toegang krijgt tot een bedrijfsproces.

De realiteit is, zo stelde men, dat identificatie en authenticatie altijd werden afgedwongen door vaak te dure, en complexe systemen, niet alleen software gebaseerd maar ook hardware -  denk maar aan het gebruik van hardware tokens. In de vorige eeuw, waar authenticatie veelal te maken had met toegang tot computersystemen en faciliteiten, werd het 'username - password-fenomeen bedacht met alle gevolgen van dien. Om centrale systemen te vergrendelen werden modules aangekocht (die veelal op hetzelfde systeem als de hoofdtoepassing draaiden) onder de noemer 'identity and access systems'. In de loop der jaren werden deze modules uitgebreid tot single-sign-on toepassingen en zelfs Web-sso werd hiermee mogelijk gemaakt. Dit ging hand en hand met de ontwikkelingen op de werkplek, waar het inloggen op een systeem veilig gemaakt moest worden.

Deze situatie is nogal uit de hand gelopen met als gevolg dat gebruikers nu hele waslijsten van identificaties moeten aanhouden, als ook de afgedwongen wijzigingen daarop. Een kentering kwam in dit denken omdat gebruikers mobiel gingen bankieren. De consument wil geen gedoe met toetsjes op de mobiel - gewoon een unieke code voor de transactie. En banken zijn ze hierin tegemoet gekomen door het ter beschikking stellen van readers. Het werkt, maar nog steeds kostbaar in termen van aanschaf en uitrol.

De volgende stap in deze evolutie dient zich aan. Waarom niet gebruik maken van het instrument (smart)phone zelf? Langzaam begint hier interesse in te komen en de mogelijkheden lijken onbegrensd. Dit komt met name omdat belangrijke authenticatiegegevens door de smartphone zelf kunnen worden toegepast: gezichtsherkenning (eigen camera), stemherkenning (eigen microfoon) en plaatsbepaling (eigen locatiegegevens). Zo kom je al aardig te weten wie (en waar) de persoon is, zonder daartoe de privacy aan te tasten (immers deze modaliteiten zijn 'niet-forensisch' van aard en dus vrijelijk te gebruiken).

Daarnaast kunnen modaliteiten zelfs worden gemixed tot een risicoprofiel: grote bedragen, veel controle - kleine bedragen, minder controle. Wat te denken van toepassingen in de gezondheidszorg (e-health), het contact zoeken met de overheid (BSN-authenticatie) of authenticatie van handelspartners, bijvoorbeeld op Marktplaats? Of zelfs fysieke toegang? De mogelijkheden lijken onbegrensd. Het toepassen van een risicoprofilering zal ook het frauderisico van de transacties drastisch verkleinen. Dit kan dus op de meegebrachte smartphone. Eigenlijk authenticeer je jezelf op een doe-het-zelf achtige wijze op je eigen device!

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/4636402). © Jaarbeurs IT Media.
?

 

Reacties

Authenticatie en risicoprofilering zijn twee geheel verschillende zaken. Met risicoprofilering is namelijk geen authenticatie mogelijk, maar omgekeerd ook niet. Inderdaad kan wel het frauderisico daar mee verminderd worden, maar die behoefte is meer het gevolg van een zwakke authenticatie, of een authenticatie waar op "ingegrepen " is, dus uiteindelijk te classificeren als een zwakke authenticatie.

Compliment - 'k vind het een interessant artikel.

Computable Expert
Jan van der Sluis

Jan van der Sluis
Senior Manager Security Solutions, Unisys, Unisys Nederland N.V.. Expert van Computable voor het topic Security.
Hele profiel

Kennispartner
Sponsored content 

Heeft u al een datalek?

De hoeveelheid cyberattacks op organisaties neemt sterk toe. Kan het zo zijn dat u een data breach heeft en het zelf niet weet?

Kom erachter in de whitepaper:

Have I been compromised?

Vacatures Security

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×