Authenticatie

Hoe en Waarmee

-1 Ik ben Johan van Barend

-2Kunt U datbewijzen?

-3Hier is mijidentiteitsbewijs

-4Mag ik uw pasfoto zien ?

Authenticatie proces in face-to-face situatie (bijvoorbeeld in de winkel) Identificeren-zeggen wie je bent

Authenticeren-bewijzen wie je bent

1 Iets wat men weet• Wachtwoord• PIN/TIN• Antwoord op geheime vraag of

controle vragen *)

Iets wat men heeft•Identiteitsbewijs•Sleutel, smartcard•Tokenizer•GSM, persoonlijk telefoonnummer

Iets wat men is•Gezichtskenmerken•Lichaamskenmerken•Stemkenmerken

2 3

Twee factoren zijn gecheckt(twee-factor authenticatie)

Op basis van drie factoren kan de authenticiteit worden gecheckt

*) Controle vragen is op dit moment het meest gebruikte authenticatiemiddel in een klant contact centrum

Risico’s en maatregelen 

Iets wat men weet• Wachtwoord• PIN/TIN• Antwoord op geheime vraag of

controle vragen

Iets wat men heeft•Identiteitsbewijs•Sleutel, smartcard•Tokenizer•GSM, persoonlijk telefoonnummer

Iets wat men is•Gezichtskenmerken•Lichaamskenmerken•Stemkenmerken

Achterhaalbaar•Voorspellen, raden•Onderscheppen

Diefstal en namaken Imitatie

• Moeilijk te voorspellen • Pogingen inperken• Onderschepping bemoeilijken• Combineren met andere authenticatie

factoren

• Diefstal bemoeilijken• Namaken bemoeilijken

• Combineren met andere authenticatie factoren

• Unieke details gebruiken

• Combineren met andere authenticatie factoren

• Kwalitatief goede bewijsmiddelen zijn kostbaar.

• Distributie van middelen en ondersteuning is kostbaar

• Diensten voor verlies en blokkadegevallen met ruime openingstijden is kostbaar

• Registratie- en toetsingsapparatuur is kostbaar

• Kenmerken verzamelen en administreren is kostbaar

• False positives of false negatieves zijn niet volledig uit te sluiten

Maatregelen

• Zwakke wijze van authententicatie

• Diensten voor verlies- en blokkadegevallen met ruime openingstijden is kostbaar

Nadelen voor aanbieder

Nadelen voor de gebruiker

Risico’s

• Wordt als belastend ervaren• Confrontatie met false negatives

• Middelen moeten fysiek aanwezig zijn• Meedragen van middelen is belastend

• Lage beveiliging• Onthouden van codes, wachtwoorden

1 2 3

-2

-1

Authenticatie over een communicatiekanaal (bijvoorbeeld over internet, telefoon,…)

Iets wat men heeft•Hoe bewijzen?

Iets wat men is•Hoe overbrengen ?

Afluisteren•Hoe voorkomen?

•Eenmalig wachtwoorden via een geheim patroon•Terugcommuniceren naar een uniek (apparaat) in bezit Bijvoorbeeld: terug bellen naar een persoonlijk telefoonnummer

• Versleutelen van de communicatie• Afzonderlijke berichten communiceren over gescheiden kanalen (out-of-band)

Bijvoorbeeld: wachtwoord voor website via SMS versturen

• Apparatuur gebruiken die biometrics vertaald naar automatisch te verwerken dataBijvoorbeeld vingerafdruklezer, stemherkenning

Man-in-het-midden-aanval(communicatie manipuleren)•Hoe voorkomen?

• Versleutelen van de communicatie• Afzonderlijke berichten communiceren over gescheiden kanalen (out-of-band)

Bijvoorbeeld: wachtwoord voor website via SMS versturen

2

3

Authenticeren? Risico’s?

Gartner: Twee-factor authenticatie banken verslagen17-12-2009,13:02, www.security.nl

De door banken gebruikte twee-factor authenticatie is niet meer voldoende voor het beschermen van online bankrekeningen, aldus onderzoeksbureau Gartner. Ruim twee jaar geleden gaf Roel Schouwenberg van Kaspersky Lab dezelfde waarschuwing, dat Trojaanse paarden via man-in-the-browser aanvallen twee-factor authenticatie weten te omzeilen. Ook andere sterke authenticatie factoren, zoals chipkaarten en biometrische technologie, die van de browser afhankelijk zijn, zijn volgens de marktvorser op soortgelijke wijze te verslaan. 

Verder biedt twee-factor authenticatie via de telefoon ook geen oplossing. Aanvallers zouden door gesprekken door te verbinden zich kunnen laten authenticeren in plaats van de legitieme gebruiker. "Deze aanvallen zijn het afgelopen jaar wereldwijd met succes tegen banken en hun klanten uitgevoerd", zegt vice president Avivah Litan. Ze verwacht soortgelijke aanvallen op andere applicaties en diensten met waardevolle gegevens. 

Monitoring De oplossing volgens Gartner is een "gelaagde aanpak", met server-gebaseerde fraude detectie en "out-of-band transactie verificatie". Hierbij wordt een ander communicatiekanaal dan het primaire communicatiekanaal, bijvoorbeeld de PC, gebruikt voor het verifiëren van een transactie. Voor de ideale aanpak moeten banken daarnaast meerdere maatregelen nemen. Zoals het monitoren van het gedrag van de gebruikers en verdachte transacties. "Aanvallers hebben gedemonstreerd dat sterke twee-factor authenticatie processen zijn te verslaan. Bedrijven moeten hun gebruikers en accounts via een drie-laagse aanpak beschermen die sterkere authenticatie, fraude detectie en transactie verificatie gebruikt.“

Risico’s nemen toe | complexere en kostbare maatregelen zijn noodzakelijk 

-1 Afluisteren -2 Man-in-het-midden-aanval•Hoe voorkomen?

Enkelvoudige versus gelaagde beveiligingsaanpak

Toegangscontrole-1

Intrusie detectie

Intrusie preventie

Toegangscontrole-2

Toegangscontrole-3

Toegangscontrole-1

Barrière-1

Barrière-2

Barrière-1

Enkelvoudig Gelaagd

Goedkoop Kostbaar

Gemakkelijk te kraken of omzeilen Moeilijk te kraken of omzeilen

Eenvoudig ontwerp Complex ontwerp

Vereist eenvoudige organisatie Vereist complexe organisatie