De evolutie van authenticatiemechanismen

Abonneer je gratis op Techzine!

Tegenwoordig is er altijd en overal behoefte aan toegang tot bedrijfstoepassingen. Dit vereist een verandering in de beveiligingsstrategie om ervoor te zorgen dat bedrijfsmiddelen goed beschermd zijn. Authenticatiemechanismen moeten dus een evolutie doormaken.

De evolutie van authenticatiemechanismen is begonnen met hardware, SMS en applicaties, maar deze methodes voldoen vaak niet meer aan de vereisten van de hedendaagse bedrijfsvoering. Daarom zijn methodes als fast ID online (FIDO) en Continuous Access Evaluation Protocol (CAEP) ontwikkeld. Hierdoor worden gegevens beter beschermd en kunnen gebruikers makkelijk inloggen. Daarom is het handig om de voordelen, nadelen en geboden veiligheid van elk authenticatiemechanisme te weten. In deze blog deel ik de evolutie van authenticatiemechanismen. Wat is vandaag de dag populair? En waar kunnen we in de toekomst nog veel van verwachten? Het wachtwoord, nog altijd de meest gebruikte methode, laat ik achterwege, aangezien dit tegenwoordig eerder een kwetsbaarheid oplevert dan dat het een veilige authenticatiemethode is.

OTP-tokens

Een veiligere methode is de combinatie van een wachtwoord met een one-time password (OTP). Dit houdt in dat je naast het invoeren van je gebruikelijke wachtwoord ook een OTP-code moet invullen. OTP-codes worden gegenereerd op hardware-devices of in apps op bijvoorbeeld een mobieltje. Het token verschijnt op het device en wordt handmatig ingevoerd of weergegeven als pushbericht. Op deze manier kan iemand bewijzen dat hij het bezit en de controle heeft over het device. Wanneer dit wordt gebruikt in combinatie met bijvoorbeeld een pincode, is een OTP-token betrouwbaar. Op dit moment zetten veel organisaties in op een dergelijke methode, denk aan DigiD of Klarna.

FIDO

Een methode die inmiddels aan populariteit wint en de volgende stap is, is Fast ID Online (FIDO). Bij FIDO gaat het, verrassend genoeg, niet om identiteit, maar om authenticatie. Hierbij maakt een device, bijvoorbeeld een mobiele telefoon, onafhankelijk van een server twee sleutels aan: een private en een publieke. De private sleutel blijft, zoals het woord al zegt, in bezit van de eigenaar. De publieke sleutel wordt gedeeld met een relying party (RP), zoals Google. Het nadeel van dergelijke asymmetrische cryptografie is dat de gebruiker bij elke RP de sleutelgeneratie en -registratie moet doen, wat voor bijvoorbeeld bedrijven onhandig is. Bovendien is FIDO vaak geïmplementeerd als een alternatieve factor, in tegenstelling tot twee- of multi-factor. Dit houdt in dat het de authenticatie van een eerste factor volgt, wat bijna altijd een wachtwoord is, en dat accountherstel gewoonlijk op wachtwoordcontroles terugvalt. Kortom hier is nog wat ontwikkeling nodig, toch maken onder andere Apple, Facebook en Google hier al gebruik van.

Out-of-band-verificatie

Ga je weer een stap verder, dan kom je uit bij out-of-band (OOB) authenticatie. Dit is een vorm van twee-factor authenticatie waarbij een fysiek device vereist is. Dit device is uniek adresseerbaar en communiceert veilig met de authenticatieserver via een apart communicatiekanaal, het secundaire kanaal genoemd. Door gebruik te maken van twee kanalen wordt de veiligheid verhoogd. Veel bedrijven hebben de neiging om OOB-authenticatie via sms-berichten te implementeren, maar het National Institute of Standards and Technology (NIST) raadt dit af: “Methoden die niet bewijzen dat u een specifiek device bezit, mogen NIET gebruikt worden voor out-of-band authenticatie.” In plaats daarvan wordt een eenmalige code in een applicatie weergegeven, wat bij pushmeldingen niet het geval is. Door deze eenmalige code kunnen risico’s zoals sim-swapping-aanvallen worden beperkt. Deze methode wordt bijvoorbeeld gebruikt bij online betalingen via iDeal.

Certificaatgebaseerde-authenticatie

De optie met het hoogste niveau van veiligheid is authenticatie gebaseerd op certificaten, ook wel Public Key Infrastructure (PKI)-authenticatie genoemd. Hierbij kan er gebruik worden gemaakt van software- of hardwaretokens. De authenticatie wordt gecontroleerd door te bewijzen dat je het device bezit en de controle over de sleutel hebt. Je hoeft hierbij geen code over te typen, wat het een gebruiksvriendelijke methode maakt. Bij het gebruik van softwaretokens moet het certificaat veilig worden opgeslagen in het beveiligde element van een apparaat. Tevens is het certificaat veelzijdig. Het kan namelijk gebruikt worden voor encryptie en ondertekening van documenten of e-mails. Bovendien kan het gecombineerd worden met fysieke toegang, bijvoorbeeld het openen van deuren of zelfs afrekenen in de bedrijfskantine, waardoor het vaak de basis is van een employee badge.

Hoewel bovenstaande mechanismen een sterk niveau van authenticatie garanderen, voldoen ze niet aan de vereiste om de authenticiteit van online gebruikers continu te kunnen evalueren. Met behulp van de CAEP-standaard is dit wel mogelijk, waardoor deze methode de nabije toekomst voor authenticatiemechanismen is.

Wat is CAEP?

CAEP staat voor Continuous Access Evaluation Protocol en is een nieuwe manier van denken over federatieve identiteiten en biedt een oplossing voor continue authenticatie en toegang. Deze benadering houdt rekening met beleidsschendingen, zoals verouderde anti-malwareversies, of beveiligingskwesties, zoals uitgeschakelde gebruikersaccounts. Daarnaast vereist het continue communicatie tussen een policy service, zoals een identiteitsprovider, en de afhankelijke partij, zoals een SaaS-app. Op deze manier wordt essentiële informatie gebruikt bij het nemen van realtime toegangsbeslissingen. CAEP definieert een standaardprotocol voor het plaatsvinden van een zogenaamde “express interest” handdruk en de uitwisseling van updates. Deze updates vertegenwoordigen contextsignalen over gebruikersactiviteiten op verschillende eindpunten en servers. Samen vertegenwoordigen ze een zeer rijke set gegevens die een enkele entiteit, zoals een bank, niet kan verzamelen.

Dit overzicht toont de verschillende stappen en niveaus van authenticatiemechanismen. Hiermee kun je als organisatie zijnde een goede beslissing nemen over welk authenticatiemechanisme voor jou de beste optie is of in de toekomst zal zijn. Is continue controle van online gebruikers niet noodzakelijk? Ga dan voor OTP-tokens, FIDO, OOB-verificatie of certificaatgebaseerde-authenticatie. Ben je liever continu op de hoogte van wie de persoon online is én wil je klaar zijn voor de toekomst? Ga dan voor CAEP.

Dit is een ingezonden bijdrage van Guido Gerrits, Regional Sales Director Identity & Access Management, Benelux & Nordics bij Thales.