Sterke authenticatie geniet veel belangstelling. Steeds meer bedrijven zien in dat de gebruikelijke manier van inloggen op Windows onvoldoende is om met zekerheid vast te stellen wie de gebruiker is.
Het was dan ook niet verwonderlijk dat ruim honderd eindgebruikers op kwamen dagen op het door Computable georganiseerde seminar over sterke authenticatie met als titel ‘Bent u wie u bent?’ De wenkbrauwen gaan direct omhoog als dagvoorzitter Paul Overbeek van KPMG Information Risk Manage-ment geen PowerPoint-presentatie opstart, maar een overheadprojector laat aanrukken. Overbeek probeert het publiek te tonen waar de knelpunten zitten bij identity management en authenticatie. Al snel rijst vanuit de goed gevulde zaal in Hotel Figi in Zeist de vraag hoe men om moet gaan met wachtwoorden van gebruikers. “Uit hoeveel tekens moet een wachtwoord dan bestaan om een zekere vorm van veiligheid te garanderen?”, kaatst Overbeek de vraag terug. “Moeten het er tenminste acht zijn, is tien voldoende en hoe vaak moeten ze wisselen?” Al snel wordt duidelijk dat wachtwoorden voor beheerders een groeiend probleem vormen. “Wil je een veilig wachtwoord, dan verplicht je gebruikers al snel om ze ergens op te schrijven”, roept een getergde systeembeheerder terecht. “Veiligheid en gebruiksgemak staan haaks op elkaar!”
Sterke authenticatie
Eric Flikkenschild van het Leids Universitair Medisch Centrum laat zien dat het anders kan. Met sterke authenticatie kan niet alleen gemak voor de gebruiker worden gecreëerd, maar blijkt toegang tot digitale, medische gegevens veiliger dan ooit. “Over een paar jaar krijgen alle mensen in de zorg de zogenaamde UZI-pas. Daarmee krijgen zorgverleners toegang tot het elektronisch patiëntendossier dat in de maak is. Het LUMC loopt vooruit op deze ontwikkeling door met de A-select-middleware van Surfnet bestaande passen en andere vormen van sterke authenticatie toe te passen.
Na de presentatie van Ernst-Jan Zwierenberg van accountantsbureau Ten Kate & Huizinga over hun inzet van Diginotar om de authenticiteit van de communicatie te garanderen, vraagt Overbeek wie een trusted third party gebruikt. Slechts één persoon steekt zijn hand op. “Die lage score geeft wel aan dat we met versleutelde en ondertekende e-mail nog maar aan het begin staan”. Biometrie lijkt bekender. Frédéric Wildbergh van ING vertelt hoe men bij de dealingrooms van de bank vingerafdrukscans inzet als extra authenticatielaag. “Alleen biometrie is geen goede oplossing. Er zijn al fysieke belemmeringen om de dealingroom binnen te komen. Vervolgens logt men met wachtwoord in en is er voor de verschillende applicaties single sign-on via biometrie. Juist die verschillende lagen en het gebruiksgemak maken het veilig.” Het publiek lijkt daar minder van overtuigd en uit de vragen blijkt dat er op dit gebied nog weinig kennis is. Overbeek moet dan ook uitleggen dat de opslag van een template van een vinger iets anders is dan het opslaan van een fotografisch beeld van de vingerafdruk. “Die template bevat een uniek getal. Iedere keer als de vinger opnieuw wordt gescand, wordt dat getal opnieuw berekend en met een foutmarge vergeleken met het opgeslagen nummer. Verder werken de meeste scanners met encryptie en een vorm van life-detectie.”
CSI
Als Jeremy Butcher van Fox IT het podium betreedt, verschijnen posters van de politieserie CSI Miami op het scherm. Butcher legt uit dat sterke authenticatie hun werk als detective sterk zou vereenvoudigen. “Vaak is het niet moeilijk om te achterhalen via welke pc bijvoorbeeld een bedreiging is gedaan. Die persoon kan echter zeggen dat hij op dat moment net even van zijn plaats was. Dan moeten wij aan de hand van de logbestanden aannemelijk maken dat hij wel degelijk achter het scherm zat. Het is de kunst het vermoeden aannemelijk te maken, zodat het in de rechtbank gebruikt kan worden.” Butcher onderstreepte ook het belang van audit trails. “Die zijn door een kwaadaardige gebruiker eigenlijk alleen te wissen. Omdat ze zo moeilijk zijn te vervalsen, bieden ze waardevolle gegevens om de schuldige aan te pakken.”
Meer informatie
Op de website www.computable.nl/security is een webcast van het seminar te zien en zijn de presentaties te vinden.
