Beheer

IT beheer

Smartphones brengen beveiliging in stroomversnelling

1 november 2013
In deze tijd van mobiele apparaten, zegt Rob van der Staaij, ishet van het grootste belang het authenticatie- en autorisatieproces goed dicht te timmeren, want de risico’s zijn groot. Checks op traditionele aspecten als user ID en wachtwoord zijn niet meer voldoende. Veel nieuwe 
technieken dienen zich aan.

Authenticatie en autorisatie (zie onder) vormen grote uitdagingen in een wereld die geregeerd wordt door een enorme diversiteit aan apparaten, digitale diensten en gebruikerstypen. In de hedendaagse IT-architecturen bestaan variabelen die voorheen hoegenaamd geen of een volstrekt ondergeschikte rol speelden, zoals de context waarin de gebruiker zich bevindt, het apparaat dat wordt benut om toegang te verkrijgen en het eigenaarschap van dat apparaat. In deze constellatie is het meer dan ooit van belang dat iemand zich op veilige en ondubbelzinnige wijze kan authenticeren en dat toegangsrechten zo nauwkeurig mogelijk worden vastgesteld. Tegelijkertijd is het van belang dat de privacy zo veel mogelijk gewaarborgd blijft en gevoelige identiteitsinformatie niet te grabbel wordt gegooid.

Het zijn vooral de mobiele apparaten, zoals smartphone en tablet, waarbij het van belang is om het authenticatie- en autorisatieproces goed dicht te timmeren, want hier zijn de risico’s groot. Smartphones en tablets zijn namelijk vaak slecht of zelfs helemaal niet beveiligd. Ook zijn de gegevens die ermee worden benaderd dikwijls verspreid: op het apparaat zelf, in de cloud, in een database. Daarnaast kunnen gegevens, al dan niet ongemerkt, weglekken door sharing, synchronisatie of het afdanken van het apparaat. Ten slotte vormt het simpele feit dat het apparaat meestal particulier eigendom is een groot risico, want de organisatie heeft er dan niet of in ieder geval minder controle over. Mobiele apparaten vereisen daarom meer controlemechanismen rondom het authenticatieproces. Checks op traditionele aspecten als user ID en wachtwoord zijn niet meer voldoende. Locatie, configuratie en device ID zijn voorbeelden van aanvullende eigenschappen waarop controle uitgeoefend moet worden.

Technieken

Kijken we naar de technieken voor smartphone-authenticatie, dan zien we dat er op dit moment een enorme diversiteit aan methoden wordt ontwikkeld, vooral op het gebied van biometrie. Meer traditionele methoden die bezig zijn hun weg naar de smartphone te vinden zijn gezichtsherkenning, stemherkenning en vingerafdruktechnologie. De nieuwste iPhone van Apple met zijn vingerafdruksensor werd met enige bombarie als een innovatie gepresenteerd, maar is slechts een van de vele voorbeelden. Swipe-herkenning, waarbij de druk, de hoek en het ritme van het swipen van een gebruiker worden gemeten, en bewegingsherkenning, waarbij het bewegen en het lopen van de gebruiker (bijvoorbeeld wanneer de smartphone in de broekzak wordt vervoerd) worden geregistreerd en in een profiel worden opgeslagen, behoren tot de meer tot de verbeelding sprekende biometrische methoden. Andere methoden maken gebruik van aanvullende kenmerken als device ID en GPS om meer contextuele informatie bij de authenticatie te kunnen betrekken. Ook bestaan er technieken om apps te groeperen in softwarecontainers en per container een geëigende authenticatiemethode en andere beveiligingsmaatregelen toe te passen. Op deze wijze kunnen – op een en hetzelfde mobiele apparaat – apps waaraan een hoog risico is verbonden, worden gekoppeld aan een veilige authenticatiemethode, terwijl apps met een laag risicoprofiel met een eenvoudige vorm van authenticatie kunnen worden uitgerust. Als laatste moet NFC (Near Field Communication) worden genoemd als veel belovende techniek waarmee contactloze authenticatie kan worden gerealiseerd.

Hoe geavanceerd en fantasierijk de technische methoden voor authenticatie ook mogen zijn, het zijn in de eerste plaats de use cases die leidend moeten zijn bij de keuze voor een bepaalde technologie. Daarbij moeten organisaties de diverse gebruikerstypen met hun behoeften identificeren en de verschillende apps en de informatie die ermee wordt benaderd, classificeren en van een risicoweging voorzien, zodat op basis daarvan een passende authenticatiemethode kan worden vastgesteld. Los daarvan kan het zijn dat, afhankelijk van de aard van de informatie, rekening moet worden gehouden met wet- en regelgeving. Bovendien moet het beleid van de organisatie voorzien in uitspraken waar de informatie wordt opgeslagen en welke informatie met het eigen apparaat van de gebruiker mag worden benaderd.

Kinderschoenen

Voor het faciliteren van autorisatieprocessen in mobiele internetomgevingen zijn verschillende specificaties beschikbaar, maar geen daarvan is nog optimaal. XACML (eXtended Access Control Markup Language) voorziet weliswaar in fijnmazige en op attributen en regels gebaseerde toegangscontrole, maar de implementatie ervan is complex: applicatie-infrastructuren vereisen aanzienlijke aanpassingen om van XACML gebruik te kunnen maken. OAuth (Open Authorization) is flexibel en relatief eenvoudig te implementeren. Deze specificatie, die overigens meer als een mengvorm van authenticatie en autorisatie moet worden beschouwd, neemt op dit moment een hoge vlucht in internetomgevingen waarin social media en mobile devices een hoofdrol spelen, maar voorziet niet in de mate van detail die nodig is om alle use cases rondom mobiliteit te kunnen invullen. Zo is het met OAuth – anders dan bij XACML – niet mogelijk om gedetailleerde regels ofwel policies op te stellen om het autorisatieproces heen (bijvoorbeeld een bepaalde gebruiker heeft alleen toegang tot informatie abc vanuit locatie xyz, met een smartphone met device ID 123). Er lopen initiatieven om beide specificaties te integreren en het beste uit beide werelden te combineren, maar die staan nog in de kinderschoenen. Daarnaast zijn er initiatieven gaande om XACML meer geschikt te maken voor grootschalige en heterogene internetomgevingen.

Razendsnel

De technologische ontwikkelingen rondom authenticatie en autorisatie in de mobiele wereld verlopen razendsnel en zijn nog niet voldoende uitgekristalliseerd, maar alles overziend is het meer dan waarschijnlijk dat de smartphone binnen niet al te lange tijd het belangrijkste identificatie- en authenticatiemiddel zal worden. Smartcards, hardware tokens, elektronische identiteitskaarten en andere hulpmiddelen voor identificatie en authenticatie zullen hierdoor steeds meer naar het tweede plan worden verwezen. De vraag is zelfs gerechtvaardigd of investeringen in deze laatst genoemde authenticatiemiddelen in de nabije toekomst nog wel zinvol zijn.

Use cases

Er zijn talrijke use cases denkbaar voor het op gedoseerde wijze afhandelen van authenticatie en autorisatie.

Een use case voor authenticatie die vanwege de opkomst van geavanceerde ­cybercrime steeds belangrijker wordt, is die waarbij het authenticatieproces wordt aangepast aan de risico’s. Bij een bescheiden banktransactie kan volstaan worden met user ID en pincode, gecombineerd met een eenmalig wachtwoord. Maar zodra het over te schrijven bedrag groter en de transactie dus risicovoller wordt, kunnen extra factoren bij de authenticatie worden betrokken zoals een biometrisch kenmerk en de GPS-locatie.

Een veel geciteerde use case voor autorisatie is die waarbij iemand een game voor achttien jaar en ouder wil kopen. Hij authenticeert zich eerst op ondubbelzinnige wijze bij de webshop (in deze situatie de serviceprovider) en wordt door deze doorverwezen naar een instantie (de identity provider of attribute provider) waar de betreffende gebruiker zich op voorhand heeft geïdentificeerd en geregistreerd. De identity provider verschaft vervolgens slechts dat ene gegeven, en geen enkel ander, aan de webshop dat nodig is om het spel te mogen bestellen: wettelijke leeftijd bereikt. Op deze wijze blijft de privacy van de gebruiker optimaal gewaarborgd.

Leveranciers en producten

Het zal niet verbazen dat de leveranciers en producten voor mobiele authenticatie en beveiliging als paddenstoelen uit de grond schieten. Voorbeelden van veelbelovende producten zijn AuthenWare, IdentityX en Mocana. Verrassend genoeg is er eveneens een nieuwe Nederlandse leverancier die een van de meer aantrekkelijke oplossingen biedt. Sesam is een productsuite die niet alleen op een slimme manier voorziet in – anonieme – biometrische authenticatie, maar ook voorziet in een infrastructuur voor het afhandelen van op attributen gebaseerde autorisatie.

Identificatie, authenticatie en autorisatie

Het proces dat moet worden doorlopen om toegang te verkrijgen tot een digitale dienst is in essentie steeds hetzelfde: de gebruiker authenticeert zich en verschaft daarbij een set credentials om de identiteit te bewijzen, zoals een loginnaam en wachtwoord, eventueel aangevuld met een extra authenticatiefactor zoals een one-time password of een biometrisch kenmerk. Het authenticatieproces vindt plaats in of via de client of app.

Voor het authenticatieproces is het nodig dat de gebruiker op voorhand een identificatie­proces heeft doorlopen, anders is het niet mogelijk om de identiteit te verifiëren. Dit identificatieproces hoeft in principe maar eenmaal te worden verricht. Is de identiteit eenmaal vastgesteld, dan kunnen op basis hiervan de credentials worden toegekend. Daarbij geldt dat hoe betrouwbaarder de identificatie, hoe betrouwbaarder het authenticatieproces zal zijn. Een face-to-face-controle door een vertrouwde partij (bijvoorbeeld een overheidsinstantie) verschaft meer zekerheid dan een door de gebruiker zelf ingevuld webregistratieformulier.

Het proces van autorisatie ofwel het bepalen welke handelingen mogen worden verricht bij de digitale dienst volgt na de authenticatie. Het autorisatieproces wordt afgehandeld in de infrastructuur die de digitale dienst bevat. Hiervoor is een voorziening nodig die autorisatieaanvragen afhandelt en de uitkomsten daarvan (wel of geen toegang en zo ja, welk type toegang) kenbaar maakt. De hedendaagse zorgen om de privacy vereisen bovendien dat bij het autorisatieproces zo min mogelijk informatie over de identiteit van de gebruiker wordt prijsgegeven. Autorisatiegegevens moeten daarom op maat worden gesneden. Dat kan door gebruik te maken van attributen om die vervolgens selectief beschikbaar te stellen ten behoeve van het autorisatieproces. Deze attributen kunnen worden opgeslagen bij een of meer identity providers, maar het is ook mogelijk hiervoor aparte attribute providers in te schakelen, waarheen door de identity provider in voorkomende gevallen wordt doorverwezen.

Lees meer over
Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.