Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom...
Transcript of Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom...
![Page 1: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/1.jpg)
Strong Mobile Authentication
Bert Vanhalst Smals Research
www.smalsresearch.be Maart 2015
![Page 2: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/2.jpg)
2/92
Agenda
1. Inleiding
2. CSAM
3. Concept
4. Marktevoluties
5. Conclusies
PAUZE
![Page 3: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/3.jpg)
Inleiding
![Page 4: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/4.jpg)
• Goedkoper
• Gebruiksvriendelijker
• Sneller (4g)
• Overal beschikbaar
• Apps apps apps
Waarom mobile
4/92
![Page 5: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/5.jpg)
Mobiel dataverkeer
Bron: www.howwebrowse.be
5/92
![Page 6: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/6.jpg)
Tablets versus smartphones
Bron: www.howwebrowse.be
6/92
![Page 7: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/7.jpg)
Marktaandeel OS'en
Bron: www.howwebrowse.be
7/92
![Page 8: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/8.jpg)
Mobiel wint aan belang
Bron: http://www.tijd.be/dossier/nieuwetijden/De_Block_maakt_geneeskunde_op_afstand_mogelijk.9610533-7973.art
Email, surfen
Gisteren
Mobile banking en tal van
andere apps
Vandaag
Boom verwacht in mhealth apps
(telemonitoring, …)
Morgen
8/92
![Page 9: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/9.jpg)
Authenticatie-factoren
Bezit
Iets wat je hebt
Kennis
Iets wat je weet
Biometrie
Iets wat je bent
9/92
![Page 10: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/10.jpg)
Yubikey – demo
10/92
![Page 11: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/11.jpg)
Yubikey – demo
11/92
![Page 12: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/12.jpg)
Yubikey – demo
12/92
![Page 13: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/13.jpg)
Sterke authenticatie = combinatie van minstens 2 factoren
Sterke authenticatie
Kennis
Bezit Biometrie
+
+
+
13/92
![Page 14: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/14.jpg)
• Vandaag: per toepassing wordt beslist welke authenticatiemiddelen toegelaten worden
• In de toekomst: mapping tussen categorie van de verwerkte gegevens en het authenticatieniveau?
Authenticatie policy
eID + PIN = geprefereerd authenticatiemiddel
14/92
![Page 15: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/15.jpg)
• Huidige authenticatiemiddelen onvoldoende aangepast aan mobiele context
• eID slechts beperkt compatibel met mobiele toestellen
• Afweging veiligheidsniveau vs. gebruiksgemak
Ofwel inboeten op gebruiksgemak (bvb. eID met externe kaartlezer)
Ofwel inboeten op veiligheidsniveau (bvb. wachtwoord)
Probleemstelling
15/92
![Page 16: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/16.jpg)
Security vs usability
Security
Usability +
+
-
-
16/92
![Page 17: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/17.jpg)
Gebruiksvriendelijke én veilige authenticatie
op mobiele toestellen?
17/92
![Page 18: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/18.jpg)
18/92
![Page 19: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/19.jpg)
CSAM
![Page 20: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/20.jpg)
• CSAM is een geheel van afspraken om het identiteits- en toegangsbeheer binnen het e-government te organiseren
• CSAM diensten
Federal Authentication Service (FAS): identificatie en authenticatie van personen
Beheer van Toegangsbeheerders (BTB): structureren van toegangsbeheer binnen een onderneming
https://www.csam.be/ 20/92
![Page 21: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/21.jpg)
Huidige authenticatiemogelijkheden
Sterk
Zwak 21/92
![Page 22: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/22.jpg)
• eID-bootstrap principe: aanvragen van authenticatiemiddel op basis van eID (in connected mode)
• Beheer aanmeldmogelijkheden via de self-management application van Mijn e-Gov Profiel
www.csam.be/myprofile
eID bootstrap
22/92
![Page 23: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/23.jpg)
eID bootstrap
23/92
![Page 24: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/24.jpg)
Bruikbaarheid huidige authenticatiemiddelen bij webtoepassingen*
op mobiele toestellen?
*Native apps: zie verder
24/92
![Page 25: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/25.jpg)
• Zonder meer bruikbaar op mobiele toestellen
• Vb: aanmelden bij Student at Work
• Gebruiksvriendelijk…
… maar niet zo veilig …
Paswoord
25/92
![Page 26: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/26.jpg)
• We kiezen te eenvoudige paswoorden
• We schrijven ze gewoon neer
• We veranderen ze te weinig
Het probleem met paswoorden
26/92
![Page 27: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/27.jpg)
• Paswoorden worden gestolen
Shoulder surfing
Trojans
Phishing
Dictionary attacks
Key loggers
• Veel paswoorden onthouden is moeilijk, dus hergebruiken we ze voor verschillende diensten grotere impact bij diefstal
Het probleem met paswoorden
27/92
![Page 28: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/28.jpg)
Paswoord + token
28/92
![Page 29: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/29.jpg)
• Aanmelden:
Geef gebruikersnaam en wachtwoord in
Er wordt één van de 24 codes gevraagd
Geef de gevraagde code in in het aanmeldscherm
• Perfect bruikbaar op mobiele toestellen
• Iets minder gebruiksvriendelijk dan paswoord
Paswoord + token
29/92
![Page 30: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/30.jpg)
• OTP = One Time Password
• Registreren van GSM-nummer in eGov profiel
• Aanmelden:
Vul gebruikersnaam en wachtwoord in
Eénmalige wachtwoord wordt verzonden naar geregistreerd GSM-nummer
Vul het éénmalig wachtwoord in in het aanmeldscherm
Paswoord + SMS OTP
30/92
![Page 31: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/31.jpg)
• OTP kan je slechts één keer gebruiken en is tijdelijk geldig
• Perfect bruikbaar op mobiele toestellen
• Ietwat onhandig om OTP over te typen
• Kost verbonden aan versturen SMS'en
Paswoord + SMS OTP
31/92
![Page 32: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/32.jpg)
• Vooraf:
Koppelen van commercieel certificaat aan eGov profiel
Installeren van certificaat op mobiel toestel: private sleutel doorsturen via mail (= onveilig)
• Aanmelden:
Ingeven gebruikersnaam en wachtwoord
Paswoord + Digitaal Certificaat
32/92
![Page 33: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/33.jpg)
• Mydigipass.com partner account
Koppeling tussen Mydigipass en CSAM
• Aanmelden
OTP op basis van eID en kaartlezer
OTP overtypen in aanmeldscherm
• Digipass 870
Verdeeld door Belfius of via online shop Vasco
Fungeert ook als connected eID-lezer
Unconnected eID Nog niet
beschikbaar
33/92
![Page 34: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/34.jpg)
1. Kies in CSAM om aan te melden met Mydigipass partner account doorverwijzing naar mydigipass.com
2. Geef email-adres in en éénmalig wachtwoord (gegeneerd met Digipass + eID + PIN)
3. Doorverwijzing naar toepassing na geslaagde aanmelding
Aanmelden met eID (draadloos)
34/92
![Page 35: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/35.jpg)
35/92
![Page 36: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/36.jpg)
Aanmelden bij MDP.COM
36/92
![Page 37: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/37.jpg)
Aanmelden bij MDP.COM
37/92
![Page 38: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/38.jpg)
Eénmalig wachtwoord op basis van eID
38/92
![Page 39: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/39.jpg)
39/92
![Page 40: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/40.jpg)
1. Kies "registreer je"
2. Hou klaar: eID, kaartlezer en USB-kabel
3. Installeer de Mydigipass card reader plugin
4. Steek de eID in de lezer en geef PIN in
5. Ga akkoord met de voorwaarden van MDP
6. Vul in: email, wachtwoord en gsm-nummer
7. Meld aan in Mijn eGov Profiel om de koppeling met je MDP account te voltooien
Registreren bij Mydigipass.com
40/92
![Page 41: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/41.jpg)
41/92
![Page 42: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/42.jpg)
42/92
![Page 43: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/43.jpg)
43/92
![Page 44: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/44.jpg)
44/92
![Page 45: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/45.jpg)
45/92
![Page 46: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/46.jpg)
46/92
![Page 47: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/47.jpg)
47/92
![Page 48: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/48.jpg)
48/92
![Page 49: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/49.jpg)
49/92
![Page 50: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/50.jpg)
50/92
![Page 51: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/51.jpg)
• Bruikbaar op mobiele toestellen
• Gebruiksgemak: niet evident in mobiele context
3 dingen vasthouden
OTP overtypen
• Digipass 870 bekomen:
Via Belfius
Vasco online shop (€24,95) http://shop.vasco.com/digipass_870_detail.aspx
Unconnected eID
51/92
![Page 52: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/52.jpg)
• Beperkt compatibel met mobiele toestellen
• Tablets met ingebouwde kaartlezer
Beperkt aantal modellen
Dell en Fujitsu Windows tablets
Voor professioneel gebruik
Connected eID
52/92
![Page 53: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/53.jpg)
• Mobiele "add-on" kaartlezers Zetes - Sipiro M
eID-BrowZer: enkel iOS
http://www.belgeid.be/
Freedelity Secure Browser: Android, iOS
http://mobile.freedelity.be/
Connected eID
53/92
![Page 54: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/54.jpg)
Zetes Sipiro M
Voor iPhone en iPad
Kostprijs: €40 à €75
Gratis eID-BrowZer app
iPad casing
Product Review op http://www.smalsresearch.be/
Connected eID
54/92
![Page 55: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/55.jpg)
Samenvatting
Veiligheids- niveau
Mobiel gebruiksgemak
Gemak registratie
Beschikbaar in CSAM?
Paswoord
Burgertoken
SMS OTP Commercieel certificaat
Unconnected eID
Connected eID
55/92
![Page 56: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/56.jpg)
• Authenticatie: communicatie nodig vanuit native app met CSAM
OpenID Connect
• Authenticatie kan centraal afgehandeld worden door "authenticator app"
Eenvoudigere updates (security + functioneel)
Native apps
56/92
![Page 57: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/57.jpg)
PAUZE
![Page 58: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/58.jpg)
Agenda
1. Inleiding
2. CSAM
3. Concept
4. Marktevoluties
5. Conclusies
PAUZE
58/92
![Page 59: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/59.jpg)
Concept
![Page 60: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/60.jpg)
• Gedeeltelijke mismatch tussen beschikbare authenticatiemiddelen en mobiele context
• Zoektocht naar gebruiksvriendelijke én sterke mobiele authenticatie
• Samenwerking en overleg met Fedict en dienst Informatieveiligheid Smals
• Concept uitgewerkt
• Prototype
Concept
60/92
![Page 61: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/61.jpg)
Hoog veiligheidsniveau Toegang tot vertrouwelijke informatie
Maximale gebruiksvriendelijkheid Geen kaartlezers, tokens, liefst geen OTP overtypen
Multi-platform Android, iOS, Windows Phone
Compatibiliteit Met zowel native apps als webapps
In te pluggen in CSAM eID bootstrap
Uitgangspunten
61/92
![Page 62: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/62.jpg)
Concept
62/92
![Page 63: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/63.jpg)
Vergelijking met mobile banking apps
Mobile banking apps
Concept
Authenticatie zit ingebakken in één app
Ondersteuning voor meerdere apps authenticatie centraal
afgehandeld door "authenticator app"
Specifieke oplossing voor native app
Ondersteuning voor zowel webapps als native apps
Risicobeheer: beperkte limiet; enkel overschrijving naar vooraf geregistreerde begunstigden. Maar compensatie mogelijk bij geldverlies.
Geen compensatie mogelijk bij gegevensdiefstal hoger veiligheidsniveau nodig
(bvb. hardware security) of beperking tot bepaalde categorie van gegevens
63/92
![Page 64: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/64.jpg)
Registratie-flow
Certificate
Authority
1. Aanmelden eID
3. Aanmaken activatiecode
4. Ingeven
activatiecode 2. Installeren authenticator app
6. Generatie
keypair
5. Wachtwoord
kiezen
7. CSR + activatiecode versturen
8. Certificaat terugsturen
CSR = Certificate Signing Request CA = Certificate Authority
64/92
![Page 65: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/65.jpg)
Registratie-flow
Demo prototype
65/92
![Page 66: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/66.jpg)
Registratie-flow (prototype)
66/92
![Page 67: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/67.jpg)
Registratie-flow (prototype)
67/92
![Page 68: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/68.jpg)
Authenticatie-flow
3. Login request
4. Login response
1. Login request
5. Login response
Mobile device
2. PIN ingeven
68/92
![Page 69: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/69.jpg)
Authenticatie-flow
Demo prototype
69/92
![Page 70: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/70.jpg)
Authenticatie-flow (prototype)
70/92
![Page 71: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/71.jpg)
Technische opties voor de beveiliging van de sleutelinformatie:
Technische opties
1. Software keystores van mobile OS'en
2. SIM-kaart
3. Trusted Platform Module (TPM)
4. Secure SD
5. Trusted Execution Environment (TEE)
Secure Elements
71/92
![Page 72: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/72.jpg)
SIM-kaart
• Portable tussen verschillende toestellen
• Vereist samenwerking met operatoren
• Reeds in gebruik in bepaalde landen (vb. Estland)
• Quid wifi-only toestellen?
• Mobile Connect initiatief (GSMA)
MC1: single factor (enkel SIM)
MC2: two-factor (SIM + PIN)
http://www.gsma.com/personaldata/mobile-connect
Technische opties
72/92
![Page 73: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/73.jpg)
Trusted Platform Module (TPM)
• "Ingebouwde smartcard"
• Fysieke tamper resistance
• Vooral beschikbaar in pc's en laptops, beperkt beschikbaar in tablets en smartphones
Technische opties
73/92
![Page 74: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/74.jpg)
Secure SD
• Portable tussen verschillende toestellen
• Maar niet elk toestel heeft een SD-kaartslot
• Relatief hoge kost
Technische opties
74/92
![Page 75: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/75.jpg)
Trusted Execution Environment (TEE)
• Afzonderlijke beveiligde zone op de main processor
Technische opties
Hardware: Trustzone System-on-chip
Android OS TEE
Apps
Trusted Apps
Secure zone Normal zone
75/92
![Page 76: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/76.jpg)
Trusted Execution Environment (TEE)
• Veilige opslag van sleutelinformatie
• Beveiligde uitvoering van cryptografische bewerkingen
• Malware resistant
• Trusted User Interface: vermijden dat malware pincodes onderschept of zelf ingeeft
Technische opties
76/92
![Page 77: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/77.jpg)
Technisch overzicht
Bron: Kevin Gillick, GlobalPlatform, RSA Conference 2014 http://www.rsaconference.com/events/us14/agenda/sessions/1018/integrating-any-
smartphone-into-your-mobile-id 77/92
![Page 78: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/78.jpg)
Samenwerkingsverband tussen ARM, Gemalto en Giesecke&Devrient
Product: t-base TEE
Beschikbaar op recente Android toestellen (Samsung, HTC, Alcatel, ZTE)
Software Development Kit (SDK)
Prototype op basis van TEE
78/92
![Page 79: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/79.jpg)
• Hardware Unique Key: laat toe om cryptografische sleutels hardware-matig te linken met een toestel.
• Bevindingen met SDK:
Beveiligde generatie sleutelpaar geïmplementeerd
Beveiligde opslag van sleutelinformatie geïmplementeerd
Trusted Execution Environment (TEE)
79/92
![Page 80: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/80.jpg)
• Concept uitgewerkt
• Prototype uitgevoerd
• Concept gevalideerd door dienst Informatieveiligheid (Smals) en Fedict
• Project "Mobile ID" geïnitieerd bij Fedict
• Aanpak: gebruikmaken van partner-oplossingen mits eID bootstrap
Status concept
80/92
![Page 81: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/81.jpg)
Marktevoluties
![Page 82: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/82.jpg)
• Opkomst vingerafdrukscanners
Apple Touch ID
Samsung fingerprint scanner
• Toepassingen:
Toestel ontgrendelen
Betalen
Aanmelden
Biometrie
82/92
![Page 83: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/83.jpg)
Gezichtsherkenning
Biometrie
Irisscan
Stemherkenning
En binnenkort online bankieren met hartslagmeter?
83/92
![Page 84: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/84.jpg)
• Globaal initiatief
• Doel: open, op standaarden gebaseerde sterke authenticatie; verminderen van de afhankelijk van paswoorden
• Focus op gebruiksgemak en interoperabiliteit van authenticatiemiddelen
• Indien in overheidscontext: elk authenticatie-middel koppelen aan identiteit door middel van eID bootstrap
Blog: http://www.smalsresearch.be/de-fido-alliance-geen-vertrouwen-meer-in-het-paswoord/
FIDO Alliance
84/92
![Page 85: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/85.jpg)
85/92
![Page 86: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/86.jpg)
Conclusies
![Page 87: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/87.jpg)
Conclusies Veiligheids-
niveau Mobiel
gebruiksgemak Gemak
registratie Beschikbaar in
CSAM?
Paswoord
Burgertoken
SMS OTP Commercieel certificaat
Unconnected eID
Connected eID
Toekomst?? ?? 87/92
![Page 88: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/88.jpg)
Conclusies
Paswoord Burgertoken (SMS OTP)
Comm. certificaat Connected eID
Nu Nabije toekomst
+
+
Langere termijn
? 88/92
![Page 89: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/89.jpg)
Conclusies
89/92
![Page 90: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/90.jpg)
Bert Vanhalst 02 787 48 02 [email protected]
Smals
www.smals.be
@Smals_ICT
www.smalsresearch.be
@SmalsResearch
![Page 91: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/91.jpg)
Product Review Zetes Sipiro M (mobiele kaartlezer) http://www.smalsresearch.be/publications/document/?docid=132
Blog "De FIDO Alliance: geen vertrouwen meer in het paswoord" http://www.smalsresearch.be/de-fido-alliance-geen-vertrouwen-meer-in-het-paswoord/
Product Review Yubikey Neo (OTP token) http://www.smalsresearch.be/publications/document/?docid=3
Lectuur
91/92
![Page 92: Strong Mobile Authentication - Smals ResearchMobile banking en tal van andere apps Vandaag Boom verwacht in mhealth apps (telemonitoring, …) Morgen 8/92. Authenticatie-factoren Bezit](https://reader033.fdocuments.nl/reader033/viewer/2022060211/5f04e24a7e708231d41030a8/html5/thumbnails/92.jpg)
• CSAM – https://www.csam.be/
• FIDO Alliance – https://fidoalliance.org/
• Freedelity – http://mobile.freedelity.be/
• Howwebrowse – http://howwebrowse.be/
• Mydigipass – https://www.mydigipass.com/
• Trustonic – https://www.trustonic.com/
• Yubikey – https://www.yubico.com/
• Zetes – http://www.belgeid.be/
Links
92/92