NL EN
  • Home»
  • Weblog »
  • Blogserie: het probleem van authenticatie (I)

Blogserie: het probleem van authenticatie (I)

Hoe bepaal je online of iemand is, wie hij zegt te zijn? Een van de grootste voordelen van de online wereld biedt tegelijkertijd een enorme uitdaging voor internetondernemers. De relatieve anonimiteit die je online kunt ervaren, is volgens velen een groot goed. Het zorgt er bijvoorbeeld voor dat de vrijheid van meningsuiting ook online kan floreren, want “on the internet nobody knows you’re a dog”.  

 

Aan de andere kant is identificeerbaarheid in sommige gevallen noodzakelijk. Je bank moet immers weten dat jij degene bent die een transactie wil uitvoeren en Google moet weten dat jij bent wie je zegt te zijn, voordat ze je toegang geven tot je e-mail. Dit proces wordt in IT-jargon authenticatie genoemd: het proces om te verifiëren dat je bent wie je zegt te zijn. Kortweg zijn er drie factoren die kunnen dienen ter authenticatie: iets wat alleen jij weet, iets wat alleen jij hebt of iets wat alleen jij bent. In deze blogserie besteed ik aandacht aan deze verschillende vormen van authenticatie, te beginnen met “iets wat je weet”.

 

Iets wat je weet

In de praktijk wordt voor authenticatie online meestal gebruik gemaakt van de eerste van de drie vormen van authenticatie: een wachtwoord. Alleen jij weet het wachtwoord van je Twitteraccount, daarom is dat wachtwoord geschikt om jou te identificeren. Wachtwoorden zijn echter, zonder uitzondering, altijd te kraken. Hoe ingewikkelder het wachtwoord, hoe langer het duurt om een wachtwoord te kraken, vandaar dat veel bedrijven eisen stellen aan de complexiteit van een gekozen wachtwoord: “Je wachtwoord moet ten minste een letter, een cijfer en een leesteken bevatten, en ten minste 8 tekens lang zijn.”

 

Wachtwoord vergeten

Deze eigenschap die wachtwoorden betrouwbaarder maakt – de complexiteit ervan – zorgt er ook voor dat ze moeilijker te onthouden zijn. Dat heeft tot gevolg dat bedrijven procedures moeten inrichten voor het geval een gebruiker zijn wachtwoord is vergeten. Ben je je DigiD vergeten, dan krijg je een brief thuisgestuurd met daarin een code waarmee je een nieuw wachtwoord kunt instellen. Een andere methode is het gebruik van beveiligingsvragen, zoals: “wat is de meisjesnaam van je moeder?”, “wat is je lievelingseten?”, etc. Geef je het juiste antwoord, dan krijg je een nieuw wachtwoord in je inbox. De antwoorden op die vragen zijn echter vaak door middel van social engineering te achterhalen, zoals Mat Honan van Wired vorig jaar aan den lijve ondervond. In een tijdsbestek van een uur, werd zijn hele online leven ontrafeld.

 

Het is al met al een duivels dilemma voor bedrijven. Stel te hoge eisen aan de complexiteit van wachtwoorden en gebruikers zullen om de haverklap een nieuw wachtwoord moeten instellen. Dat komt het gebruiksgemak van je dienst niet ten goede, en heeft zoals hierboven beschreven zijn eigen beveiligingsrisico’s. Te makkelijke wachtwoorden toestaan is echter ook geen optie. Mensen zijn daarnaast feilbaar en zullen wachtwoorden altijd blijven vergeten. Wachtwoorden zijn daarom niet voor elke dienst een geschikt middel voor authenticatie. Volgende week kijk ik naar de tweede authenticatiefactor: iets wat je hebt.



PAGINA DOORSTUREN

DEZE PAGINA IS SUCCESVOL DOORGESTUURD!

REACTIES (2)

Madeleine Boerma vrijdag 9 augustus 2013 00:43

Wat een verhaal over Mat Honan! Meteen gedeeld op Twitter en facebook. Goed om te lezen. Dankjewel!

Martin van Geest woensdag 14 augustus 2013 11:42

Uitstekend verhaal, hier hebben we iets aan!

EEN REACTIE PLAATSEN

UW E-MAIL ADRES WORDT NIET GETOOND AAN ANDERE BEZOEKERS.

  1. NAAM
  2. E-MAILADRES
  3. BERICHT
  4. WANNEER U DEZE REGEL KUNT LEZEN, VUL HET VOLGENDE VELD DAN NIET IN!
  5.