Bij een Indiase bank kun je contant geld uit de geldmachine halen door jouw mobiele telefoon ervoor te houden. Geen pincode meer intoetsen, dus ook geen risico van key logging of het over de schouder meekijken. De mobiele telefoon is volgens Peter Griffiths, een topman bij CA Technologies, hét veiligste authenticatiemiddel.
Griffiths is executive vice president en group executive enterprise solutions & technology group bij CA. Hij sprak onlangs op CA Expo ’12 in Maarssen. Bij toenemend internet- en cloudverkeer is beveiliging een heikel onderwerp. Uit onderzoek blijkt keer op keer dat vermeende veiligheidsrisico’s voor bedrijven een reden zijn om (voorlopig) af te zien van cloud computing. Volgens Griffiths is het daarom hard nodig aan ‘access management’ te doen.
Hij laakt de gangbare methoden om met wachtwoorden, biometrische toegangscontroles, encryptie en andere securitytechnieken, informatie te beveiligen. ‘Wat je daarmee bereikt, is dat het voor mensen alleen maar moeilijker wordt om hun werk te doen of om een dienst af te nemen. Bovendien neemt de wachttijd toe, waardoor het risico bestaat dat mensen afhaken. We moeten een andere methode toepassen.’
Identiteit speelt hoofdrol
Daarbij speelt volgens hem identiteit de hoofdrol. ‘Natuurlijk moet je de systemen goed afschermen, maar zodra je de identiteit van iemand weet, en dus weet of iemand toegang mag hebben tot de systemen, moet je het hem zo gemakkelijk mogelijk maken.’
Die identiteit zit in de slimme telefoon van mensen. ‘Wachtwoorden, biometrische gegevens, noem maar op, dat zit allemaal in de smartphone. Als iemand zich aanbiedt via zijn mobieltje gaat dit naar een clouddienst waar wordt gecontroleerd of iemand toegang mag krijgen. Dit is een vorm van federatieve, sterke authenticatie. Ook kunnen we nagaan of er afwijkend gedrag is. Iemand die normaal gesproken nooit in Istanbul geld wil opnemen of toegang zoekt tot het bedrijfsnetwerk en dat toch doet, zal een aantal vragen moeten beantwoorden alvorens te worden toegelaten.’
Daarmee is het mobieltje een aantrekkelijk voorwerp voor dieven. Toch denkt Griffiths dat het niet zo’n vaart zal lopenpt. ‘Alle smartphones, zeker de zakelijke, zijn beveiligd met een pin. Wie hem steelt, zal er niets mee kunnen doen.’
Natuurlijk zal niemend de smartphone van een bellend persoon uit zijn handen grissen. Het filmen en skimmen van een pas was ook te veel moeite om te verwachten…
Een reader voor alle passen met pin lijkt mij een veiligere oplossing.
Als het echt hét veiligste middel zou zijn, dan hadden we geen andere middelen meer nodig. Maar een smartphone is wel een veilig middel, omdat het iets is wat we niet alleen bijna altijd bij ons hebben, en ook snel zullen missen bij verlies of diefstal – cruciaal: zorg voor makkelijke en snelle melding hiervan. Voeg daar aan toe dat het onafhankelijk kan werken als invoerapparaat en op vele manieren kan communiceren en dus ook gemonitord kan worden.
Maar hier zit ook echt wel een keerzijde aan, monitoren en privacy moet in balans staan – en juist om authenticatie goed te laten werken is veel controle nodig. Malware wordt een steeds reëler risico… En je bent als dienstverlener ineens afhankelijk van de telecomproviders die er tussen zitten.
Dus het kan goed werken als het goed geïmplementeerd wordt.
Dhr Griffiths komt behoorlijk naïef over. Immers zijn er bijna dagelijks wel berichten over beveiligings-gaten van telefoons te lezen of het zoveelste geval van malware die persoonlijk gegevens steelt.
Je zou eerder kunnen stellen dat CA er belang bij heeft dat betaling via smartphone meer gemeengoed gaat worden.
Maar uiteindelijk zal blijken dat ook dit niet 100% waterdicht zal zijn. De bendes die in het verleden geld hebben verdiend aan het stelen van en frauderen met bankpassen zullen hier ook wel raad mee weten en binnen no time uit weten te zoeken hoe zij een gestolen smartphone kunnen misbruiken. Want in essentie is een smartphone ook maar een computer en die zijn per definitie onveilig als een kwaadwillende er fysiek toegang toe heeft.
Ik sluit me volledig bij Jan aan. Mijn moeder vond nog laatst een smart phone ergens los liggen. Dat is het fysieke probleem. Ook kan je gewoon de telefoon uit de hand pakken van een ontachtende.
Het digitale aspect heb je ook nog. De telefoon met rootkits nabootsen, kopieren, malware installeren op de telefoon, als je in de buurt van een geldautomaat loopt, komt er spontaan geld uit.
Uit het artikel: Alle smartphones, zeker de zakelijke, zijn beveiligd met een pin. Wie hem steelt, zal er niets mee kunnen doen.’
Hoe naief…. pin is juist zo’n zacht middel, en draadloos daarna vrijwel ongrijpbaar.
@Technicus “Mijn moeder vond nog laatst een smart phone ergens los liggen. Dat is het fysieke probleem. Ook kan je gewoon de telefoon uit de hand pakken van een ontachtende.”
Vervang in de schets ‘smartphone’ door ‘sleutelbos’. Wat zou je dan doen? Geen probleem, de sloten vervangen… Dit zijn normale aspecten waarvan we als samenleving allang weten hoe we die moeten aanpakken.
An sich prima idee om iets persoonlijks als een telefoon -dan wel de prive versie- te gebruiken voor beveiligingsdoeleinden. Wie gaat er nog zonder van huis en mist hem vervolgens niet? Alleen zijn we nog lang niet zover. Ik vraag me af wat voor een beveiliging Peter Griffith momenteel zelf hanteert op zijn mobiele telefoon. Allicht heeft hij er al twee. Prive en zakelijk. En dan maar hopen dat het geen Android is.. (…vanuit standaard beveiligingsoptiek)Daarnaast is het vragen stellen als risk-based authenticatie middel wellicht populair in US maar niet bijzonder sterk.
Peter Griffiths geeft aan dat de telefoon als authenticatie middel een zeer belangrijke rol gaat spelen. Het is immers een fysiek device dat we niet of nauwelijks uit het oog verliezen en mocht dit toch gebeuren, dan merken we dit in elk geval snel op, en wordt de mogelijkheid tot schade beperkt.
Hij beweert niet dat het een 100% veilige middel is maar dat het het veiligste middel is wat nu beschikbaar is voor dagelijks gebruik. Er zullen zich situaties voordoen waar andere middelen gewenst of zelfs noodzakelijk zijn, maar door de penetratie graad, integratie in ons dagelijks leven, is de authenticatie met een mobieltje veiliger dan de middelen die we nu gebruiken zoals wachtwoorden, SMS codes, gridcards, fysieke tokens, etc.
Steeds vaker zien we ook implentaties van biometrische authenticatie op mobieltjes, of het nu vingerafdruk readers zijn of voice en face recognition. Uiteindelijk hangt alles samen met hoe het een en ander geimplementeerd wordt, maar wie denkt dat het mobieltje geen hoofdrol gaat spelen zal snel door de werkelijheid worden ingehaald.
Tenslotte, laten we inplaats van innovatie de kop in te drukken, ons sterk maken om te zorgen dat we zo snel mogelijk van de minst veilige manier van beveiligen af komen met name het gebruikersnaam/wachtwoord principe. Helaas heeft dit nog steeds een marktaandeel van 98%.
Een smartphone is een gadget dat tegenwoordig standaard bij iedereen in zijn of haar broekzak zit. Het is daarom niet alleen veiliger, het is ook een stuk eenvoudiger voor gebruikers. Het is niet meer nodig om een losse token / reader op zak te hebben om in te loggen bij de bank.
Een smartphone als extra authenticatie-laag wordt niet alleen gebruikt voor het inloggen bij de bank. Ook op het gebied van beveiligd inloggen middels SSL VPN vanuit huis kan een smartphone als token dienen.
Ik ben benieuwd wat er de komende jaren gaat gebeuren. De telefoon zal ongetwijfeld breder worden ingezet bij het inloggen. In de toekomst kunnen we er zelfs mee betalen…