Ingewikkelde wachtwoordcombinaties, gebruikers die buiten de bedrijfsmuren toegang zoeken met het bedrijfsnetwerk, verouderde online identiteiten. De Computable-experts zien verschillende valkuilen bij de inzet van identity en access management (iam) bij mobiele apparaten.
De traditionele oplossing is om het beheer over autorisaties te standaardiseren, centraliseren en automatiseren met een iam-implementatie. Dit maakt het management van autorisaties efficiënter, maar niet per definitie veiliger, zegt algemeen directeur Bram Haasnoot van RealOpen IT.
Valkuil 1: Gefragmenteerde informatie over toegangsrechten
Want informatie over gewijzigde toegangsrechten wordt volgens Haasnoot vaak niet tijdig aangepast. Hierdoor gaat de werkelijkheid op den duur afwijken. Zo blijft iemand die met pensioen gaat bijvoorbeeld actief in de systemen staan omdat hij op de loonlijst staat of kunnen legacy-systemen niet gekoppeld worden aan het centrale systeem.
Ook medewerkers met een nieuwe functie binnen de organisatie krijgen er vaak alleen autorisaties bij. Informatie over toegangsrechten is daardoor volgens directeur Gerco Kanbier van Trust in People steeds meer gefragmenteerd over verschillende ketenorganisaties, afdelingen en systemen, waardoor de informatie soms niet op tijd op de juiste plek is. Omdat niemand vanuit corporate perspectief toezicht houdt op dit medewerker toegangsrechten, is de werkelijkheid bijna nooit actueel.
Valkuil 2: Gebruikers die zich buiten de bedrijfsmuren bevinden
Er wordt ook vaak vergeten onderscheid te maken tussen gebruikers die zich binnen de bedrijfsmuren bevinden en daarbuiten. ‘Wanneer een medewerker zich buiten de bedrijfsgrenzen bevindt en met zijn mobiele device connectie maakt met het bedrijfsnetwerk is extra authenticatie eigenlijk vereist’, zegt identity architect André Zegers van Grabowsky. ‘Want de grootste impact hebben mobiele gebruikers met onterechte toegang tot bedrijfsinformatie en onterechte toegang tot bedrijfsfuncties.’
‘Zorg dus dat de iam-infrastructuur verschil kan maken tussen een medewerker die binnen zit en één die van buitenaf toegang zoekt’, zegt ook zelfstandig principal consultant informatiebeveiliging Lex Borger. ‘Scherm je kroonjuwelen en kritische functies per definitie af. Eis sterke authenticatie als toegang bedrijfsmatig toch nodig is en zorg dat basisdiensten als e-mail en intranet geen bedrijfskritische informatie bevatten of dat de medewerker niet voor die delen geautoriseerd is wanneer hij van buiten komt. Dit is in de meeste gevallen al voldoende toegang voor mobiele werkers.’
Valkuil 3: Complexe wachtwoordvereisten
Ingewikkelde wachtwoorden zijn daarbij niet handig vindt Martijn Bellaard, ict networking & security architect bij Brain Force. ‘Voor gebruikers is het erg lastig om meerdere wachtwoorden voor meerdere systemen te onthouden. Dit heeft ervoor gezorgd dat er regelmatig wordt gekozen voor eenvoudige wachtwoorden voor subsystemen. Door gebruik te maken van een identity en access management-systeem wordt de gebruiker echter verplicht om een complex wachtwoord te kiezen. Maar het invullen van een complex wachtwoord is nogal lastig op een mobile device. Het risico bij de inzet van een iam-systeem is dan ook dat dit complexe wachtwoord ook wordt afgedwongen op mobiele apparaten. Dit betekent dat de gebruiker bij elk telefoongesprek of andere actie zijn wachtwoord moet invullen. Wil je gebruikmaken van een mobile device en maak je gebruik van iam zal dus goed gekeken moeten worden naar het wachtwoordenbeleid. Deze wil je niet één-op-één overzetten naar het mobiele apparaat en moet dus worden aangepast.’
Valkuil 4: Authenticatie op applicatieniveau
Hoofd Kenniscentrum Gert Jan Timmerman van Info Support vindt het grootste probleem bij identity en access management bij mobiele apparaten dat de authenticatie niet op het niveau van het besturingssysteem is geregeld, maar per applicatie. ‘Hiervoor zijn wel standaarden beschikbaar, waaronder OAuth, maar elke applicatie moet dit zelf inbouwen. Voor de gebruiker van het apparaat is het niet duidelijk of dit goed gebeurt of niet. De gebruiker kan dus niet weten of zijn credentials veilig naar de server gestuurd worden of clear text’, legt hij uit.
Valkuil 5: De mens
De grootste valkuil is dan ook het vertrouwen dat mensen hebben in moderne oplossingen, vindt Outpost24-cto Cor Rosielle. ‘Hoewel wachtwoorden verouderd zijn, zijn moderne technieken met biometrie niet beter. Voor mobiele apparaten is eigenlijk alleen een bestaand component of een klein en goedkoop extra component bruikbaar. Stemherkenning, gezichtsherkenning, irispatroonherkenning en dergelijke vallen af, want die blijken eenvoudig met geluidsopnames of foto’s te misleiden’, legt hij uit. Alleen de vingerafdruklezer lijkt Rosielle enigszins geschikt als alternatief, maar nog steeds is de kans dat een ongeautoriseerde gebruiker wordt herkend of dat een geautoriseerde gebruiker niet wordt herkend volgens hem veel te hoog.
Ik ben benieuwd naar de visie van deze heren wanneer in punt 2 en 4 gebruik wordt gemaakt van een SaaS oplossing of een mix van SaaS en interne applicaties.
Valkuil 1:
Autorisaties worden binnen meeste omgevingen middels groepen gegeven waarna de individuele gebruikers er lid van worden. Probleem van toenemende rechten als gevolg van een organisatorische veranderingen heeft dan ook niet zoveel te maken met (mobiele) apparaten maar het Role Based Access Control model.
Valkuil 2:
Ik neem aan dat de interne systemen niet direct aan internet gekoppeld zijn en is er waarschijnlijk al extra authenticatie nodig. Betreffende Intranet wordt mogelijk gewezen op de L2TP verbindingen die niet alleen externe medewerkers verbinden maar ook steeds vaker partners. Wederom heeft dat dus weer niet veel met apparaat te maken.
Valkuil 3:
Er is al veel geschreven over wachtwoorden maar zolang dit de meeste goedkope en makkelijk implementatie is van authenticatie blijven we hier nog wel even gebruik van maken. Maar ook hier heeft het gebruik van sterke wachtwoorden niet zoveel met het apparaat te maken maar meer met geheugen en dikke vingers van gebruikers.
Valkuil 4:
Hier lijken experts voor tegenstrijdigheid te zorgen omdat authenticatie op systeem niveau vaak in combinatie met RBAC komt. Probleem zit ook niet zo zeer in de authenticatie maar meer in de autorisaties. Het in clear text over de lijn sturen van wachtwoorden is natuurlijk wel een probleem als dit geen OTP’s zijn.
Valkuil 5:
Vertrouwen is goed maar controle altijd nog beter. Controle op authenticatie en autorisatie dient dan ook actief te zijn en daar waar nodig aangepast. De toevoeging van nieuwe apparaten zorgt misschien voor andere uitdagingen maar is niet beperkt tot de case van mobiliteit.