NL EN
  • Home»
  • Weblog »
  • Blogserie: het probleem van authenticatie (II)

Blogserie: het probleem van authenticatie (II)

Vorige week schreef ik op deze weblog over hoe je online kunt verifiëren dat iemand is wie hij zegt te zijn. Een wachtwoord (iets wat je weet) wordt daar over het algemeen veel voor gebruikt. Maar ieder wachtwoord is te kraken, dus een wachtwoord is niet voor alle diensten een geschikt authenticatiemiddel. Vandaag kijken we naar de tweede factor van authenticatie: iets wat je hebt.

 

Eerst even een uitstapje naar de ‘echte’ wereld: een door de overheid uitgegeven paspoort is een goed voorbeeld van iets wat je hebt, dat dient ter authenticatie. Het paspoort bevat enkele kenmerken die ervoor zorgen dat iedereen kan controleren dat het paspoort authentiek is: de echtheidskenmerken. Dit zijn in het Nederlandse paspoort onder andere het schaduwwatermerk, een voelbaar reliëf en het kinegram. Door middel van de pasfoto kan vervolgens gecontroleerd worden dat de bezitter van het paspoort ook daadwerkelijk degene is aan wie de Staat het paspoort heeft uitgegeven. Is aan deze checks voldaan, dan biedt het paspoort de gegevens die nodig zijn om te controleren dat iemand is wie hij zegt te zijn. Helaas gaat dit in de praktijk regelmatig mis. Journalist Brenno de Winter toonde in 2012 aan dat zelfs de overheid ID-bewijzen heel slecht controleert. Met een niet-bestaand ID-bewijs verkreeg hij toegang tot onder andere het Koninklijk Paleis, verschillende ministeries, het Nationaal Cyber Security Centrum en een stembureau.

 

Dat een paspoort geen waterdichte methode is voor authenticatie, ligt aan het feit dat de controle van paspoorten over het algemeen mensenwerk is. Hou de zwakste schakel, de controleur voor de gek (door een goede imitatie of door je net zoals Brenno met een nep-ID naar binnen te bluffen), en de methode werkt niet meer.

 

De menselijke factor kun je vervangen door een computer die op basis van geprogrammeerde algoritmes controleert of een code die gegenereerd wordt door ‘iets wat je hebt’ geldig is of niet. Banken gebruiken bijvoorbeeld een TAN-code die naar de mobiele telefoon wordt verzonden, of een apparaatje dat op basis van je bankpas en PIN-code een unieke eenmalige code genereert. Daarnaast bestaan er USB-sticks die deze functie vervullen. Het idee hierachter is dat alleen jij beschikt over je mobiele telefoon, je bankpas of die USB-stick, zodat alleen jij met gebruik daarvan kunt inloggen.

 

Ook deze methode van authenticatie is op zich niet waterdicht. Wanneer alleen gebruik wordt gemaakt van iets wat je hebt, moet je wel heel goed zorgen dat niemand anders toegang heeft tot dat apparaat of voorwerp. Een combinatie van iets wat je weet en iets wat je hebt is een veel sterkere manier van authenticatie. Die wordt two-factor-authentication genoemd. De manier waarop ING de iPhoneapplicatie voor internetbankieren heeft beveiligd, kan wat mij betreft beter. Strikt genomen wordt er gebruik gemaakt van iets wat je hebt (je telefoon) en iets wat je weet (je 5-cijferige toegangscode). Hier is echter sprake van een single point of failure, namelijk de telefoon. Verkrijg toegang tot de telefoon, bij voorkeur op afstand, en je kunt key-logger software installeren die de ingetypte code registreert. Diezelfde code kan vervolgens ook worden gebruikt om transacties te verzenden. Niet echt waterdicht dus.

 

Volgende week het derde deel in deze blogserie. Mijn collega Anke Verhoeven schrijft dan over de derde authenticatiefactor: iets wat je bent.



PAGINA DOORSTUREN

DEZE PAGINA IS SUCCESVOL DOORGESTUURD!

REACTIES (4)

Marius van Voorden woensdag 14 augustus 2013 17:24

De ING probeert me inderdaad steeds aan de Android App te helpen, en ik blijf maar tegen ze zeggen dat ik dat niet veilig vind…

Maar er zijn nog wel andere dingen die mij raar overkomen. Zo moet je je burgerservicenummer geheim houden omdat die dient ter identificatie, maar vervolgens wordt die wel direct 1-op-1 in het BTW-nummer van je bedrijf gezet.

Ook het kopietjes maken van ID-kaarten voor allerhande identificatie vind ik eigenlijk maar raar. Als we nou landelijk iets zouden kunnen regelen met public/private key identificatie… dat zou het digitaal versturen van ondertekende documenten ook ineens mogelijk maken.

ING Webcare donderdag 15 augustus 2013 11:31

Beste Marius,

We willen het probleem met de Mobiel Bankieren app voor Android graag persoonlijk met jou bespreken.

Kun je via één van onze social media kanalen contact opnemen? Dan kunnen we gegevens uitwisselen en gaan we dit voor je uitzoeken. Zie voor meer informatie: http://www.ing.nl/particulier/klantenservice/de-ing-in-social-media/index.aspx

We horen graag van je!


Groet,

Melin
ING Webcare

EEN REACTIE PLAATSEN

UW E-MAIL ADRES WORDT NIET GETOOND AAN ANDERE BEZOEKERS.

  1. NAAM
  2. E-MAILADRES
  3. BERICHT
  4. WANNEER U DEZE REGEL KUNT LEZEN, VUL HET VOLGENDE VELD DAN NIET IN!
  5.