Authenticatie over open en onbeschermde netwerken, dat betekent nogal wat. Personen (waaronder consumenten, thuisbankiers, burgers en patiënten) moeten erg goed op hun tellen passen voordat ze hun persoons details vrijgeven. Zelfs DigiD ligt onder vuur! Hoe bereiken we, met simpele, betaalbare en beschikbare middelen, dat gebruikers zich uniek en beschermd kunnen identificeren? Het antwoord lijkt simpel: gebruik de smartphone!
Bij een recentelijk seminar over het thema bring your own device (byod) kwamen er wat interessante (toekomst) percepties van dit fenomeen aan de orde. En dan met name gericht op de smartmobiel – vaak synoniem voor byod. Welke werkprocessen profiteren optimaal? En is het gebruik hiervan toebedeeld aan wat we noemen ‘De Mobiele Elite’? Wat zijn de ondersteunende processen die we van byod kunnen leren? Een daarvan is authenticatie, het wanneer, hoe en waarom een gebruiker toegang krijgt tot een bedrijfsproces.
De realiteit is, zo stelde men, dat identificatie en authenticatie altijd werden afgedwongen door vaak te dure, en complexe systemen, niet alleen software gebaseerd maar ook hardware – denk maar aan het gebruik van hardware tokens. In de vorige eeuw, waar authenticatie veelal te maken had met toegang tot computersystemen en faciliteiten, werd het ‘username – password-fenomeen bedacht met alle gevolgen van dien. Om centrale systemen te vergrendelen werden modules aangekocht (die veelal op hetzelfde systeem als de hoofdtoepassing draaiden) onder de noemer ‘identity and access systems’. In de loop der jaren werden deze modules uitgebreid tot single-sign-on toepassingen en zelfs Web-sso werd hiermee mogelijk gemaakt. Dit ging hand en hand met de ontwikkelingen op de werkplek, waar het inloggen op een systeem veilig gemaakt moest worden.
Deze situatie is nogal uit de hand gelopen met als gevolg dat gebruikers nu hele waslijsten van identificaties moeten aanhouden, als ook de afgedwongen wijzigingen daarop. Een kentering kwam in dit denken omdat gebruikers mobiel gingen bankieren. De consument wil geen gedoe met toetsjes op de mobiel – gewoon een unieke code voor de transactie. En banken zijn ze hierin tegemoet gekomen door het ter beschikking stellen van readers. Het werkt, maar nog steeds kostbaar in termen van aanschaf en uitrol.
De volgende stap in deze evolutie dient zich aan. Waarom niet gebruik maken van het instrument (smart)phone zelf? Langzaam begint hier interesse in te komen en de mogelijkheden lijken onbegrensd. Dit komt met name omdat belangrijke authenticatiegegevens door de smartphone zelf kunnen worden toegepast: gezichtsherkenning (eigen camera), stemherkenning (eigen microfoon) en plaatsbepaling (eigen locatiegegevens). Zo kom je al aardig te weten wie (en waar) de persoon is, zonder daartoe de privacy aan te tasten (immers deze modaliteiten zijn ‘niet-forensisch’ van aard en dus vrijelijk te gebruiken).
Daarnaast kunnen modaliteiten zelfs worden gemixed tot een risicoprofiel: grote bedragen, veel controle – kleine bedragen, minder controle. Wat te denken van toepassingen in de gezondheidszorg (e-health), het contact zoeken met de overheid (BSN-authenticatie) of authenticatie van handelspartners, bijvoorbeeld op Marktplaats? Of zelfs fysieke toegang? De mogelijkheden lijken onbegrensd. Het toepassen van een risicoprofilering zal ook het frauderisico van de transacties drastisch verkleinen. Dit kan dus op de meegebrachte smartphone. Eigenlijk authenticeer je jezelf op een doe-het-zelf achtige wijze op je eigen device!
Authenticatie en risicoprofilering zijn twee geheel verschillende zaken. Met risicoprofilering is namelijk geen authenticatie mogelijk, maar omgekeerd ook niet. Inderdaad kan wel het frauderisico daar mee verminderd worden, maar die behoefte is meer het gevolg van een zwakke authenticatie, of een authenticatie waar op “ingegrepen ” is, dus uiteindelijk te classificeren als een zwakke authenticatie.
Compliment – ‘k vind het een interessant artikel.