Onderzoeksbureau Gartner voorspelt dat in 2016 30 procent van de organisaties gebruikmaakt van biometrische authenticatie op mobiele apparatuur. Dat is een forse stijging vergeleken met de huidige 5 procent.
De consumerisatie van it en byod-programma’s stellen bedrijven voor grote security-uitdagingen. Eenvoudige gebruikerservaringen winnen het maar al te vaak van gedegen beveiligingsmaatregelen, waardoor data zich die zwaar beschermd op computers bevindt vaak kinderlijk eenvoudig via mobiele devices te raadplegen is. ‘Mobiele gebruikers verzetten zich met hand en tand tegen authenticatiemethodes die op computers al jaren gewoon zijn’, zegt Ant Allan, onderzoeker bij Gartner. ‘Degene die verantwoordelijk is voor beveiliging bij een organisatie, moet de verwachtingen van gebruikers managen en een balans zien te vinden tussen de gebruikerservaring en de juiste mate van beveiliging.’
Zes karakters
Medewerkers hebben in toenemende mate toegang tot bedrijfsdata via verschillende devices. De beveiligingsmaatregelen verschillen nogal per device. Hoewel het voor bijvoorbeeld smartphone-gebruikers lastig kan zijn om complexe wachtwoorden in te geven, is een viercijferige code te licht als beveiliging. Zeker als met de telefoon eenvoudig toegang kan worden verkregen tot het bedrijfsnetwerk. Zo zou een achtcijferige code al beter zijn, betoogt John Girard, analist bij Gartner. ‘Dat kost uren om te ontcijferen en dat ontmoedigt de doorsnee hacker.’ Zelfs zes tekens kost teveel tijd om te ontcijferen. Slechts enkele toestellen en besturingssystemen ondersteunen op dit moment biometrische authenticatie, dus voor nu adviseert Gartner om in ieder geval wachtwoorden te gebruiken van minimaal zes alfanummerieke karakters.
Wissen op afstand
Sommige organisaties proberen het risico van gestolen of verloren toestellen te verkleinen door ze op afstand te wissen of door tools te gebruiken die na een aantal foutieve wachtwoorden automatisch het toestel leeg maken. Toch is deze methode, volgens Gartner, niet waterdicht, aangezien solid state geheugen vrijwel onmogelijk overschreven kan worden. Girard: ‘Het beste kan encryptie gebruikt worden die niet is gekoppeld aan het primaire wachtwoord van het device, wat betekent dat de sleutel niet kan worden teruggehaald van het apparaat nadat het gewist is.’ Hij voegt toe dat er verschillende wachtwoorden moeten worden gebruikt voor het inloggen op de telefoon en het verkrijgen van toegang tot gevoelige data.
Contextuele authenticatie
Bij toegang tot gegevens of programma’s waarbij zwaardere beveiliging noodzakelijk is, kan gebruik worden gemaakt van zogenaamde tokens. Toch zijn die voor mobiele gebruikers niet ideaal. ‘In de ene hand je telefoon, in je andere hand een kop koffie en tussen je lippen de token’, schetst Girard het beeld van het gebrek aan gebruiksvriendelijkheid. Gartner adviseert voor deze situaties dat organisaties zich meer verdiepen in de mogelijkheden van biometrische authenticatie. Goede authenticatie biedt interface interactiviteit, stemherkenning, gezichtsherkenning en irisstructuur. Deze mogelijkheden kunnen worden gebruikt in combinatie met wachtwoorden, zonder dat de gebruiker zijn gedrag of handelingen ingrijpend hoeft aan te passen. Sterker nog, als een mobiel apparaat een rijke verzameling aan data bevat die gerelateerd zijn aan de identiteit van de gebruiker, kan deze informatie ook worden gebruikt als beveiligingsmaatregelen. Zo is het mogelijk dat de combinatie van een passieve biometrische authenticatie en contextuele authenticatie voldoende blijken te zijn voor toegang tot gegevens die een middelhoog risico in zich hebben, zonder dat er wachtwoorden of tokens aan te pas komen.
Gartner voorspelt . . .
Ik voorspel dat in 2016 alle smartphones exploderen.
Als ik denk aan beveiligen, dan is de allereerste stap het beperken van risico. Dat is eenvoudig nadenken en jezelf afvragen wat nou risico vol is. Het inzetten van IT doe je namelijk maar voor één ding: Hogere productiviteit met minder menselijke inzet of minder energie.
Alles wat daar niet consistent aan is, IT wise, moet je eenvoudig terzijde schuiven tot een moment dat de betreffende methode of bedenksel wel aantoonbaar voldoet aan dat principe. Doe je dat namelijk niet, dan krijg je te maken met de tegengestelde kant van dat principe. Hele hoge rekeningen.
Klaarblijkelijk is dat net iets wat veel mensen die in IT werken niet zo op hun netvlies blijken te hebben. Natuurlijk heeft dat consequenties.
Als ik even nadenk, en mezelf afvraag of ik iets zou moeten implementeren wat risico aantoonbaar en aanzienlijk vergroot, om dan nog eens extra te moeten gaan nadenken en investeren in zaken zoals beveiligen, dan kan ik u zeggen, IT wise, dat ik mijn antwoord daarop al klaar heb.
Gewoon niet….. voorlopig.
Kom nog maar een keer op het onderwerp terug.
Na alle berichten over de NSA zou iedereen toch beter moeten weten. Ik ervaar het als een belediging dat paspoorten vingerafdrukken bevatten, daar wordt de burger per definitie als crimineel behandeld.
Er zijn gelukkig oplossingen om de RFID van het paspoort te “blokkeren” voor uitlezen door passanten.
Authentificatie m.b.v. biometrische gegevens is net zo min waterdicht als een goed wachtwoord.