In de huidige tijd van digitale transformatie volgen nieuwe innovaties elkaar razendsnel op. Jarenlang zagen we verbetering op verbetering in computers en componenten en moest alles sneller en beter. Nu zie je dat er veel meer gekeken wordt naar welke technische componenten kunnen bijdragen aan een betere totaaloplossing om de digitale weerbaarheid te verhogen. Authenticatie speelt daarbij een cruciale rol. Maar wat betekent het concept authenticatie en op welke manier kan dit veilig geïmplementeerd worden in een organisatie?
Authenticatie is de manier waarmee een systeem bepaalt wie een gebruiker is en vaststelt of een juiste gebruiker inlogt voor dat gedeelte van de omgeving. Iedereen kent dit wel wanneer hij of zij inlogt met een gebruikersnaam en wachtwoord. Maar zoals ook iedereen weet is dat niet zonder risico’s. Een kwaadwillende kan gemakkelijk doormiddel van phishing, over de schouder meekijken of door een fysieke inbraak toegang krijgen tot deze gegevens. En breekt daarmee dus het authenthicatiemechanisme. Nog steeds niks nieuws onder de zon. Ook kan je meerdere factoren met elkaar combineren in een authenticatiemechanisme:
– Iets dat je kent (gebruikers/ wachtwoord);
– Iets wat je hebt (smartcard, token);
– Iets wat je bent (biometrisch kenmerk, zoals vingerprint, irisscan of aderpatroon) met elkaar combineren.
Hoe wordt digitale authenticatie toegepast in organisaties en binnen de EU?
Bij het uitdenken van het authenticatiemechanisme voor een organisatie, in lijn met de digitale strategie van het bedrijf, ontstaat de moeilijkheid. Want door de jaren heen zien veel organisaties veel verschillende methodes in de markt langskomen. Ook hebben afdelingen lang niet altijd dezelfde methodes in gebruik vanwege een verschil in beveiligingsniveaus. Ook werk je met verschillende mogelijk gevoelige informatiebronnen, waardoor je ook een mate van classificatie wilt toevoegen aan informatiebronnen.
Al met al dus een complex spel tussen mens, proces, techniek en omgeving (sociaal, fysiek, digitaal). In de praktijk zien we dat gebruikersnaam en wachtwoord wordt verzwaard met iets wat je hebt om zo te zorgen voor ‘Two Factor Authenticatie (2FA)’. Iets wat je bent zie je bij digitale authenticatie minder voorbijkomen als tweede factor. Dit omdat naast de mindere betrouwbaarheid van de methodes, ook het gebruik van biometrisch materiaal als complex wordt gezien. Bij de inzet van 2FA kunnen er verschillende niveau’s van veiligheid behaald worden. Zo ook bij de inzet voor digitale transacties binnen de EU. Hiervoor worden verschillende methodes onderscheiden in relatie tot de EU Electronic Identification and Trust Services (eIDAS) wetgeving en in het specifiek de Levels of Assurance (LoA):
– Minimale eisen (LoA1): zwakkere authenticatie: wachtwoord/pin;
– Lage eisen (LoA2): beveiligde authenticatie: token/ One time password (OTP);
– Substantiële eisen (LoA 3): sterke authenticatie: token/ OTP plus wachtwoord;
– Substantiële eisen (LoA 3+): sterke authenticatie met een beveiligd apparaat: gecertifieerde token met secure element met geïntegreerde pin invoer;
– Hoge eisen (LoA 4): sterke authenticatie met beveiligd apparaat die temper proof is: token uitgegevens volgens Public Key Infrastructure eID standaarden met secure element en beveiligde keten van actoren en identificatie van gebruiker.
Wat voegt de nieuwe FIDO2 authenticatie methode toe aan het bestaande?
FIDO2 is een Internationale standaard voor wachtwoordloze authenthicatie. Het juist niet gebruik maken van wachtwoorden maakt het interessant. Hoe vaak zien we niet dat wachtwoorden kwijt of gelekt zijn en in bulk worden aangeboden op het darkweb. Dat is verleden tijd met FIDO2 tokens. Met een druk op de knop jezelf via deze token authentiseren kan dan zeer welkom zijn. Helemaal met de vele FIDO2 integraties met de bekende browsers, doormiddel van WebAuthn, zoals Windows 10- en Android-platforms, en Google Chrome, Mozilla Firefox, Microsoft Edge en Apple Safari-webbrowsers. Ook deze FIDO2 tokens hebben een LoA3+ en LoA4 volgens de laatste eIDas regelgeving. ‘’Uiteindelijk is de sterkte van een wachtwoord slechts beperkt van invloed op de beveiliging. De meeste wachtwoorden worden gestolen via phishingaanvallen, en ieder wachtwoord is daar weerloos tegen. Tweefactorauthenticatie biedt meer bescherming tegen phishingaanvallen, en als u de WebAuthn-standaard gebruikt is phishing op dit moment nagenoeg onmogelijk’’- Nationaal Cyber Security Centrum.
Hoe kan ik mijn organisatie verbeteren op het gebied van digitaal authenticatie?
Nu we zowel binnen de organisatie met een zeer veilig middel kunnen authentiseren zonder wachtwoorden via PKI, maar ook via WebAuthn en FIDO, ontstaat er de mogelijkheid om als organisatie je digitale strategie verder uit te breiden, een hoog beveiligingsniveau te realiseren en gebruikers van een organisatie een nog makkelijkere authenticatie ervaring mee te geven. Om dit goed te implementeren dien je als organisatie goed op de hoogte te zijn van je eigen IT-landschap en met een risicomanagement bril te kijken naar het eigen authenticatiemechanisme. Gebruik ik de juiste factoren voor de juiste IT-systemen? Waar heb ik hoog betrouwbare middelen nodig? Waar kan ik FIDO2 gebruiken voor minder gevoelige data? En waar zijn PKI gebaseerde oplossingen noodzakelijk? Een digitale strategie moet het authenticatiemechanisme beschrijven, waarbij een organisatie tot een logische kwalificatie komt tot IT-systemen en dataclassificatie in relatie tot de gekozen factoren en authenticatieoplossingen. Het kan toch anno 2021 niet meer zo zijn, dat dit nog steeds te complex en te hak op de tak besloten gaat worden? En dat we daarmee onze organisaties nog ingewikkelder organiseren, dan de status quo?
Jordan van den Akker, Business Security Consultant bij AET Europe
Voor reacties: jordan.vandenakker@aeteurope.com;
Lees ook:
– Thuiswerken? Zo communiceer je veilig digitaal met elkaar
– Met mensen alleen los je digitale fraude niet op
– Is jouw wachtwoord nog geheim?
– Medewerkers zijn je sterkste poortwachters
– Voorbereiden op digitale ontwrichting vraagt om coördinatie overheid
Volg Security Management op LinkedIn