Inloggen met je lichaam: een paar jaar geleden was dit slechts in grote Hollywoodfilms te zien, maar op termijn wordt dit dankzij biometrie ook voor bedrijven realiteit. Inloggen met je vingerafdruk, iris of hartslag, waarschijnlijk via een apparaat dat je bij je hebt (smartphone, smartwatch et cetera), zal in de toekomst niet meer dan normaal zijn.
Ook andere manieren van wachtwoordloos inloggen doen in de nabije toekomst hun intrede, waardoor inloggen veiliger én eenvoudiger wordt. De discussie over elektronische toegang gaat vaak over hoe het inloggen moet worden verbeterd, want de wachtwoorden die we nu nog gebruiken kunnen worden geraden, afgeluisterd, gestolen en gekraakt. De nadruk ligt vrijwel altijd op het middel waarmee wordt ingelogd. Maar om elektronische toegang écht veilig te maken, zijn ook andere zaken van belang, waaronder gebruiksgemak, toegang op basis van rollen en risico gedreven toegangsbeheer.
Gebruiksgemak en beveiliging
‘Gebruiksgemak en veiligheid staan op gespannen voet’, is een veelgehoorde uitspraak als het gaat om it-beveiliging. Toegang die niet gemakkelijk te gebruiken is, wordt vaak vermeden of omzeild. Als de voorzieningen van organisaties te ingewikkeld zijn, gaan medewerkers automatisch op zoek naar publieke diensten op het internet die wel eenvoudig te gebruiken zijn. Zo ontstaat shadow-it; oplossingen die naast de voorzieningen van een organisatie worden gebruikt en waarop geen grip of controle mogelijk is. Dit is echter de praktijk van alledag. Een arts die via zijn smartphone een patiënt foto naar een collega wil sturen, heeft vaak als enige oplossing een dienst zoals Whatsapp of Dropbox. En van de laatstgenoemde lagen een tijdje geleden alle wachtwoorden op straat, niet erg veilig dus.
Het gebruik van shadow-it toont aan dat gebruiksgemak essentieel is voor een goede beveiliging. Ik ben van mening dat een matige beveiliging die makkelijk in gebruik is, meer effect heeft dan een extreem sterke, maar lastig te gebruiken beveiliging. Steeds meer security professionals zijn inmiddels aanhanger van het principe dat beveiliging het gebruiksgemak niet in de weg mag staan.
Toegang op basis van rollen
Inloggen bepaalt wie je bent en of je een dienst wel of niet mag gebruiken. Het is handig om dat op basis van ‘rollen’ te bepalen. Dit blijft voor veel organisaties een heikel punt, want in de praktijk wordt deze vraag veelal vanuit it-perspectief met strikt beveiligingsperspectief benaderd. Dit leidt bij werknemers vaak tot frustratie, waarna zij vervolgens opzoek gaan naar alternatieve diensten of hun werk niet kunnen uitvoeren.
Als de it-afdeling bepaalt wie wat mag, gebeurt dit vaak volgens het ‘need-to-know’-principe. In veel gevallen leidt dit principe tot een ingewikkeld model voor rollen dat te veel beperkingen oplegt. De trajecten waarin een model moet worden geïmplementeerd duren dan vaak lang en tegen de tijd dat deze klaar zijn, staan er nieuwe ontwikkelingen of reorganisaties voor de deur, waardoor alles weer anders moet. Creëer daarom een simpel model voor rollen, waarin alleen als zeer vertrouwelijk bestempelde informatie grote beperkingen kent ten aanzien van toegang. Sta enkele afwijkingen toe, maar giet ze wel in lichte processen, waardoor controle achteraf eenvoudiger is.
Risico’s automatisch afdekken
Met risico gebaseerde toegang kunnen bepaalde risico’s al bij het inloggen worden afgedekt. Hierbij draait het om de context bij het inloggen: wat is de locatie van een gebruiker, met welk ip-adres komt de gebruiker binnen, welk device wordt er gebruikt en wijkt het inloggedrag af van voorheen? Bij het inloggen kan worden bepaald wat wel en niet wordt toegestaan. Logt iemand vanuit India in? Dan worden de mogelijkheden beperkt of wordt een extra verificatie van de gebruiker gevraagd.
Inloggen zoals in Hollywood films, dat duurt nog even. Toch blijft een simpele handeling als inloggen een veelbesproken onderwerp bij managers. Door de groeiende ontwikkeling van het aantal verschillende devices op de werkvloer, wordt het beschermen en managen van inlog- en autorisatieprocessen een moeilijk thema. Als organisaties kiezen voor een eenvoudige inlogprocedure, gebruik maken van risico gebaseerd inloggen en eenvoudige toegang op basis van rollen, dan wordt de hogere authenticatiekunde voor iedereen eenvoudiger.
De titel “Hogere authenticatiekunde” schept de verwachting dat er echt iets verteld zou worden. Ik zie helaas geen enkele boodschap of stelling. Slechts een open-deur verhaal.
“Inloggen met je lichaam: een paar jaar geleden was dit slechts in grote Hollywoodfilms te zien, maar op termijn wordt dit dankzij biometrie ook voor bedrijven realiteit.”
Hoeveel is een paar jaar? Een hele snelle controle leverde wat films op die we bijna niet meer zo vaak op TV zien.
1966: Batman, retina scanner in the Batmobil
1971: Diamonds Are Forever, fingerprint scanner in apartment Tiffany Case
1982-: Knight rider, fingerprint-scanner in KITT
1982: Star Trek – Wrath of Khan, retina scanner for authentication to access files
1983: James Bond, Never Say Never Again, retina scanner
Etcetera…
Ik zal er vast wel een paar overgeslagen hebben
ja die ingewikkelde problemen moeten gewoon simpel opgelost worden. Ben ik voor, trouwens ik ben ook voor gratis bier op vrijdag en mooi weer.
@Eijkel: 2009, Angels & Deamons, uitgelepeld oog gebruik om irisscan te omzeilen
@Felix: mooi weer is het vrijdag al, en als je in de buurt bent (zo-Brabant) mag je ook nog een biertje komen drinken hoor 😉
Biometrie is per definitie ongeschikt om je mee te willen authenticeren. Je kan het immers niet veranderen als de kenmerken in verkeerde handen zijn gevallen.
Inloggen 2.0 of nachtmerrie 2.0? Zoals Johan ook al aangeeft, is het onmogelijk om deze kenmerken te veranderen. Biometrie is zeer geschikt voor schijnveiligheid maar het houdt criminelen alleen niet tegen.
Minority Report 2002 : Tom Gebruikt zijn “oude” oogballen om binnen te komen.
Johan: Je denkt iets te simplistisch. Er is echt wel een goede toepassing voor biometrie en authenticatie.
@Johan: helemaal gelijk. Je kunt een wachtwoord wijzigen, maar met een vingerafdruk of een iris is dat beperkt mogelijk 😉 Zulke authenticatievormen werken prima voor persoonlijke apparaten, zoals een smartphone en leveren dan een redelijke veiligheid. Verder zijn deze methoden wel bruikbaar als 2e factor en leveren dan ook een redelijke bijdrage aan de toegangsbeveiliging.
In de toekomst verwacht ik eerder dat hartritme profielen en bijvoorbeeld de wijze waarop je een toetsenbord hanteert, gebruikt zullen worden, dan dat vingerafdruk of irisscan worden gebruikt. Die kunnen vooralsnog minder snel worden gecompromitteerd.
Verder zullen tokens in een of andere vorm wachtwoorden aanvullen of gaan vervangen. Die kunnen wel worden vervangen.
Het belang van goede afspraken, incl. toezicht op naleving, zal steeds belangrijker worden. Geen technische maar ‘softe’ authenticatieafspraken dus, die passen bij de constatering dat technisch gezien matige maatregelen in praktijk vaak beter werken dan technische hoogstandjes waar mensen omheen lopen. Het viel me onlangs weer op tijdens een congres over mobility, waar het vooral ging over techniek om devices te kunnen controleren, waarbij de gebruiker met zijn eigen voorkeuren en eigenaardigheden nauwelijks ter sprake kwam. Ik denk echt je het met die benadering niet gaat redden bij de moderne zelfredzame IT-consument.