Sterke authenticatie op smartphones en tablets
Wie gebruik maakt van online diensten, moet zich veilig aanmelden. Meer en meer toepassingen vragen daarbij een sterke authenticatie. Dat betekent dat we meer dan één factor gebruiken om onze identiteit te bewijzen, doorgaans iets wat je bezit en iets wat je weet. De eID komt hier perfect aan tegemoet. We bezitten de eID-kaart en we kennen onze PIN-code.
Maar wat als we online diensten willen gebruiken op mobiele toestellen zoals smartphones en tablets? Op dergelijke mobiele toestellen kunnen we de klassieke eID-lezer met USB-connectie niet gebruiken.
Hoe kunnen we ons dan op een sterke manier authenticeren? Dit zijn een aantal pistes:
- Er komen eID readers op de markt die compatibel zijn met toestellen op iOS en Android. Zie bijvoorbeeld de oplossing van i-Dentity. Momenteel gebruik je hiervoor niet de standaard-browser, maar is er een specifieke browser nodig. Daarnaast is er wel een library die toelaat om de eID-authenticatie in te bouwen in zelf-ontwikkelde apps.
-
Hardware OTP-tokens genereren een tijdelijk paswoord (One Time Password, vandaar OTP) op een fysiek apparaatje. Vaak ziet het eruit als een soort sleutelhanger. Het is een veilige oplossing, onafhankelijk van het hardware-platform. Er zijn verschillende varianten, afhankelijk van hoe het OTP bekomen wordt: gewoon aflezen van een display, aflezen na het indrukken van een knop of na het ingeven van een PIN-code.
Er zijn ook draadloze tokens op de markt waarbij het OTP gegenereerd en rechtstreeks via NFC (nearfield communications) doorgestuurd wordt naar een ontvanger. Zie bijvoorbeeld de Yubikey Neo van Yubico. -
Software OTP-tokens leveren OTP’s via een applicatie (token app). Optioneel kan er in die app een paswoord gevraagd worden om een OTP te bekomen. Die OTP moet je dan ingeven in de doeltoepassing, eventueel aangevuld met een paswoord.
Opgelet, het veiligheidsniveau is lager wanneer u de doeltoepassing en de token app op hetzelfde toestel gebruikt. Iemand die het toestel in handen krijgt heeft immers genoeg aan het paswoord van de token app en/of de doeltoepassing om toegang te krijgen. Ook is de gebruikerservaring niet zo goed omdat je op eenzelfde scherm moet wisselen tussen de token app en de doeltoepassing waar je de OTP moet invullen.
- OTP’s kun je ook laten versturen via SMS. Na authenticatie met gebruikersnaam en wachtwoord vertrekt er een SMS met het OTP. Het ingeven van dit OTP vervolledigt de authenticatie. Net zoals bij software tokens is er een verminderd veiligheidsniveau als de OTP afgeleverd wordt op hetzelfde toestel waar de eigenlijke doeltoepassing op draait.
- OTP’s kun je ook genereren op basis van de eID. Zo is er een eID-compatibele Digipass waarmee je een OTP kan bekomen na het ingeven van je eID-PIN.
- Tot slot kun je ook een koppeling maken tussen je identiteit als gebruiker en je toestel. Zo kan een toestel gekoppeld worden aan het rijksregisternummer van een gebruiker op basis van de eID. Bij het aanmelden vul je als gebruiker je paswoord in en wordt er in de achtergrond geverifieerd of de toepassing gebruikt wordt op een toestel dat vooraf gekoppeld werd aan de gebruiker. Enkel native apps kunnen die controle uitvoeren, dit systeem is daarom niet bruikbaar bij webtoepassingen. Ook hier is het nadeel dat een derde die het toestel in handen krijgt genoeg heeft aan het paswoord om toegang te krijgen tot de toepassing. Dit systeem wordt onder andere toegepast bij apps voor mobiel bankieren. Omwille van het verminderd veiligheidsniveau wordt de functionaliteit daar beperkt (bijvoorbeeld lagere daglimiet bij overschrijvingen).
De keuze voor een oplossing hangt onder andere af van het vereiste veiligheidsniveau, de kost en de beoogde doelgroep. Bij een gesloten doelgroep – interne medewerkers, bijvoorbeeld – hebben we meer controle over de nodige hardware en software en kunnen we dus een specifieke oplossing opleggen. Bij een open doelgroep – bijvoorbeeld alle burgers of werkgevers – kunnen we moeilijk één oplossing opleggen en kiezen we beter voor een oplossing die compatibel is met alle types toestellen.
Geen enkele van de voorgestelde oplossingen biedt tegelijkertijd maximale veiligheid en maximaal gebruiksgemak. Ofwel moet een mobiele gebruiker naast zijn smartphone of tablet ook een fysiek apparaat bijhebben (hardware token of eID-kaartlezer), ofwel is er een verlaagd veiligheidsniveau (software/SMS token, koppeling identiteit-device).
Een alternatief dat vaak genoemd wordt is biometrie: het gebruik van lichamelijke kenmerken (vingerafdruk, iris, stem, etc.) om onze identiteit te bewijzen. Hoewel biometrische authenticatie praktischer kan zijn dan andere vormen van authenticatie is een concrete implementatie op mobiele toestellen vaak niet zo evident en kunnen er bezwaren zijn op vlak van privacy (zie advies Privacycommissie). Daarom zal men in de praktijk dus moeten kiezen voor één van de bovenvermelde oplossingen.
Bert Vanhalst | Smals
Bert Vanhalst is research consultant bij Smals, de gemeenschappelijke ICT-organisatie van de publieke instellingen in de Belgische sociale zekerheid en gezondheidszorg. Sinds 2001 specialiseert hij zich als onderzoeker onder meer in Service Oriented Architecture en web services, ODF, OpenXML en OpenOffice, portaaltools, desktop-integratie en mobiele toepassingen.