In deze derde en laatste blogpost onderzoeken we het begrip 'authenticatie'. Deze keer wordt AP-technoloog Jonathan Ellen bijgestaan door Jasper van Hilten, senior inspecteur bij de afdeling Eerstelijns Onderzoek van de AP.

Wat is authenticatie?

Voordat we het gaan hebben over zaken als meerfactorauthenticatie (MFA), tokens en biometrie, moeten we het eerst hebben over wat 'authenticatie' inhoudt. Onder authenticatie verstaan we het proces waarmee de 'echtheid' van iets wordt vastgesteld. In het algemeen is het controleren van uw identiteit hier onderdeel van. Met andere woorden: er is controle nodig of u inderdaad bent wie u zegt dat u bent. 

De software doet dit door iets wat u uniek maakt, te vergelijken met informatie die al bekend is bij die software. Vaak is dat uw wachtwoord, omdat u – als het goed is – de enige bent die dat kent. Als u een sterk wachtwoord gebruikt, is de identificatie ook sterk. Er is dan weinig kans dat iemand anders dan uzelf probeert in te loggen met dat wachtwoord. 

Eisen aan authenticatie

De vraag aan welke eisen een authenticatieproces moet voldoen, hangt ook af van wat er beschermd moet worden. Oftewel: hoe belangrijk het is dat u inderdaad bent wie u zegt dat u bent. Krijgt u bijvoorbeeld toegang tot uw bankgegevens of zorgdossier? Of wordt er een financiële transactie goedgekeurd? Dan wilt u dat uw identiteit beter wordt gecontroleerd dan wanneer u bijvoorbeeld inlogt bij een gameaccount. Daarom moet u zich voor ieder account afvragen of wat u wilt afschermen achter één of achter meerdere veilige deuren moet staan.

Factoren: weten, hebben, zijn

Een van de manieren om uw identiteit te bewijzen is, zoals gezegd, door een uniek kenmerk van u te vergelijken met iets wat de software al van u weet. Een dergelijke unieke eigenschap noemen we een 'factor'. Een wachtwoord is een factor omdat u de enige bent die het weet en niemand anders. 2 andere veelgebruikte factoren zijn:

• Iets wat alleen u heeft. Bijvoorbeeld een toegangspasje of uw telefoon waarop u een sms ontvangt als onderdeel van de authenticatie.
• Iets wat alleen u bent. Bijvoorbeeld uw vingerafdruk of gezichtsscan. Deze factor wordt ook wel de 'biometrische factor' genoemd.

Daarnaast zijn er nog andere opties, zoals tijdstip en locatie. 

Meerfactorauthenticatie

Als u meerdere factoren gebruikt, zoals een wachtwoord gecombineerd met een code per sms, wordt deze vorm van authenticatie ook wel 'meerfactorauthenticatie' (MFA) genoemd. Deze manier van inloggen is veel veiliger dan toegang verkrijgen door het gebruik van slechts een wachtwoord. Om onterecht toegang te krijgen, zou iemand alle factoren moeten omzeilen. Een computercrimineel zou dan niet alleen uw wachtwoord moeten kraken, maar bijvoorbeeld ook uw telefoon te pakken moeten krijgen.

Laten we de factoren 'zijn' en 'hebben' in iets meer detail bekijken.

Authenticatie met biometrische persoonsgegevens, de factor 'zijn'

Kenmerken van uw lichaam kunnen worden omgezet in biometrische persoonsgegevens. Hieronder valt uw haar- en oogkleur, maar ook uw vingerafdruk. Omdat lichamen uniek zijn, zijn biometrische gegevens ook identificerend en al snel uniek. Dit maakt biometrische gegevens op papier heel bruikbaar om iemand mee te identificeren in een authenticatieproces. Daar komt nog eens bij dat u uw lichaam altijd bij zich heeft en dat uw lichaam moeilijk gestolen kan worden.

Authenticatie met biometrische gegevens gebeurt door de kenmerken van uw lichaam om te zetten in een lange reeks van getallen. Deze getallen worden dan vergeleken met de waarde die al bekend is in het systeem. Zo kan bijvoorbeeld worden bewezen dat het uw vinger is die op de scanner ligt.

Biometrische gegevens krijgen extra bescherming in de privacywet. Als uw wachtwoord wordt gelekt, kunt u dat nog veranderen. Dat geldt natuurlijk niet voor uw gezicht. Het verwerken van biometrische gegevens moet daarom aan strengere beveiligingseisen voldoen. En het is ook niet zonder meer toegestaan om iemand te authentiseren met bijvoorbeeld een vingerafdruk of gezichtsscan. Meer weten? Kijk bij het onderwerp Biometrie. 

Authenticatie met tokens, de factor 'hebben'

U kunt uw identiteit ook aantonen met iets wat alleen u heeft. Zo’n voorwerp dat alleen u heeft, wordt ook wel een 'token' genoemd. Een paspoort is hiervan het bekendste voorbeeld, hoewel een paspoort niet digitaal is. 

Een digitaal token werkt in principe hetzelfde als een biometrisch gegeven in het authenticatieproces. De unieke reeks getallen wordt alleen niet vanuit uw kenmerken gegenereerd, maar staat op een chip in bijvoorbeeld uw toegangspas. Via een uitwisseling wordt de code op de chip gekoppeld aan een andere code die al bekend is in het systeem.

Een token werkt alleen als die strikt persoonsgebonden is en blijft. Het feit dat u het voorwerp in uw bezit heeft, is immers de factor die bepaalt dat u bent wie u zegt. Bij verlies of diefstal van een toegangspas kan een onbevoegde bijvoorbeeld toegang verkrijgen tot een kantoorpand. Ook in dit geval is MFA dus aan te bevelen.

Bij sommige tokens verandert de cijferreeks na verloop van tijd. Bijvoorbeeld als u een tijdelijke sms-code ontvangt. Dit heeft als voordeel dat de code slechts tijdelijk misbruikt kan worden als deze wordt onderschept door kwaadwillenden. Het onderscheppen van de code is echter niet onmogelijk. Dit betekent dat een token niet 100% beschermt tegen phishing, in tegenstelling tot wat vaak wordt aangenomen. 

Phishing

Phishing is een van de redenen dat inloggen met een enkele factor, bijvoorbeeld alleen een wachtwoord, risicovol is. Phishing is een vorm van computercriminaliteit waarbij iemand wordt verleid om op een onechte inlogpagina gegevens in te voeren. Door het zeer nauwkeurig namaken van de inlogpagina en het inzetten van psychologische trucs, is het voor veel mensen moeilijk echte en onechte pagina’s van elkaar te onderscheiden. De computercrimineel gebruikt de verzamelde inloggegevens vervolgens om via de echte inlogpagina toegang te krijgen.

Vaak wordt aangenomen dat het toevoegen van een tweede factor aan een inlogproces beschermt tegen phishing. Dit klopt helaas niet helemaal, omdat op de nagemaakte inlogpagina ook om de extra factor gevraagd kan worden. Bijvoorbeeld de code uit een authenticatieapp. Dan kan de computercrimineel ook die code buitmaken.

Om phishing tegen te gaan, moet de echtheid van de inlogpagina worden gecontroleerd. Er is dan sprake van 2 authenticatieprocessen: 1 proces om de echtheid van de inlogpagina te controleren en 1 proces voor uw toegang. Er bestaan protocollen die gebruikers hierin ontlasten door het controleren van de echtheid van de inlogpagina te automatiseren. Dit wordt ook wel 'phishing-resistente authenticatie' genoemd. 

Wilt u meer weten? Bekijk dan Authenticatie op de website van het Nationaal Cyber Security Centrum (NCSC).

Conclusie

Inloggen met een wachtwoord is nog steeds een van de laagdrempeligste en meest gebruikte vormen van authenticatie. Afhankelijk van wat u te beschermen heeft, kan dit ook genoeg zijn. Denk hier goed over na en maak een onderbouwde keuze. Om een goede afweging te maken, is het belangrijk om te weten wanneer een wachtwoord sterk is, hoe u een sterk wachtwoord maakt en welke aanvullende factoren u kunt inzetten.

In deze blogpostserie hebben we gezien dat sterke wachtwoorden lang en willekeurig zijn. Helaas zijn ze juist daardoor voor een gemiddelde gebruiker moeilijk te onthouden. Mogelijke oplossingen daarvoor zijn de diceware-methode of wachtwoordzinnen. Het is ook een goede optie om het onthouden van uw wachtwoorden uit te besteden aan een wachtwoordkluis.

Toch blijft inloggen met een enkele factor in algemene zin onveilig. Beter is het om meerdere factoren te gebruiken. Zo moeten criminelen alle factoren bemachtigen voordat zij toegang kunnen krijgen tot uw informatie. 

Volledige garantie bestaat helaas niet. Met phishing of malware op uw apparaat kan een computercrimineel alsnog toegang krijgen, ook als u MFA gebruikt. Voor een sluitende informatiebeveiliging zijn altijd meer maatregelen nodig. Een goed ingericht authenticatieproces, waarin u op meerdere manieren moet bewijzen dat u echt bent wie u zegt, is daar een puzzelstukje van. 

Het doel van deze serie blogposts is dat u handvatten heeft gekregen om uw eigen informatiebeveiliging te verbeteren. Wij wensen u veel succes met het toepassen in de praktijk.