Smartphone straks single point of failure in authenticatie?
Roep om sterke(re) authenticatie
De behoefte aan sterke authenticatie groeit. Hierin speelt ook biometrie een rol. Sterke authenticatie is overigens geen eenduidige term. De smartphone lijkt de ultieme oplossing voor sterke authenticatie in zich te hebben. Ik wil hierin meegaan, maar toch knaagt er dan iets bij mij van binnen.
Ontelbare informatievoorzieningen moeten veilig zijn. De identiteit van de gebruiker (of een apparaat) dient gevalideerd te worden. Van oudsher is een wachtwoord vereist. Tegenwoordig hebben wij te veel wachtwoorden om nog te kunnen onthouden. Bovendien zijn computersystemen zo krachtig, dat veel wachtwoorden snel te kraken zijn. Hoe vinden wij een duurzame oplossing?
Smartphone lost alles op
De smartphone is een veelzijdig handzaam apparaat dat niet voor niets enorm populair is. Niet iedereen heeft al een smartphone en van standaardisatie is (nog?) geen sprake. Deze minpunten lijken verdere ontwikkeling binnen authenticatie toch niet in de weg te staan.
Er zijn talloze manieren om je identiteit via je smartphone te valideren. Inloggen met je wachtwoord kan vanzelfsprekend. De smartphone kan gevalideerd worden aan de aanwezige (hardware)kenmerken al dan niet uitgebreid met PKI-technologie. Via SMS komt een controlecode aan. Met de biometrische sensor ontgrendel je een app. Met de camera kun je gelaatsherkenning uitvoeren of vingerafdrukken scannen. Sensoren voor locatie, beweging(en), schermdruk, etc. kunnen ook ingezet worden.
Met je smartphone kun je “alles” doen wat nodig is voor sterke authenticatie. Maakt deze prominente, centrale positie de smartphone mogelijk tot single point of failure? Ik weet het niet, maar vrees van wel.
Situationele aanpak vraagt denkwerk
Laten wij niet blind varen op de (toenemende) technische mogelijkheden van onze smartphones. Authenticatie gebeurt altijd in een bepaalde context. De situatie bepaalt wat van meer of minder belang is. Draait het om de digitale identiteit van een persoon (en dus niet om die van de smartphone)? Gaat het naast veiligheid ook om productiviteit, schaalbaarheid, betrouwbaarheid, gemak, etc.? Zijn de gekozen factoren (uit wat je weet, hebt en bent) onafhankelijk? Het is aan te bevelen om dit soort zaken gedegen te bekijken.
De eventuele inzet van biometrische technieken heeft meestal een dusdanige impact, dat volgens mij ook goed over de context nagedacht moet worden. Het gaat dan niet alleen over investeringskosten en privacy maar juist ook om veiligheid, betrouwbaarheid en gemak. En helaas voor velen: er is niet één universele (biometrische) oplossing.
Ruud Huijts
Ruud is mede-oprichter en voorzitter van de Vereniging Voor Biometrie & Identiteit (VVBI). Hij is als zelfstandig onafhankelijk adviseur werkzaam vanuit SAMENZICHT Consultancy. Ruud heeft zich met (de organisatie van) biometrie en identiteit beziggehouden bij o.a. Regiopolitie Amsterdam-Amstelland, Dienst Justitiële Inrichtingen en Ministerie van Veiligheid en Justitie. Hij is van mening, dat biometrie juist in het digitale tijdperk noodzakelijk is om personen betrouwbaar te herkennen zonder afbreuk aan privacy te doen.