Kan ik met CSAM mobiel authenticeren?

Inleiding

Bepaalde statistieken geven aan dat bijna een derde van het internetverkeer in België vandaag afkomstig is van mobiele toestellen. We zien het rondom ons of we ervaren het zelf: we gebruiken meer en meer toepassingen op smartphone en tablet ten koste van PC en laptop. Zo kennen apps voor mobiel bankieren een sterke opmars. De eenvoud van dergelijke apps is uiteraard doorslaggevend.

Ook in overheidscontext zijn de eerste stappen gezet om toepassingen mobiel toegankelijk te maken. Zo is er de Student@work app waarmee het saldo kan geraadpleegd worden van het aantal dagen waarvoor een jobstudent geniet van verminderde sociale bijdragen.

Om echt bruikbaar te zijn in een mobiele context is eenvoud en gebruiksgemak cruciaal. Dat betekent eerst en vooral dat de gebruikersinterface aangepast moet zijn aan kleinere schermen en aanraakschermen (touch). Maar daarnaast moet ook het aanmeldproces aangepast zijn aan een mobiele context. Aanmelden mag geen struikelblok zijn, maar moet toch voldoende garanties bieden over de identiteit van de gebruiker.

Hieronder stellen we ons de vraag in hoeverre we ons vandaag reeds op een veilige (sterke) manier kunnen aanmelden in mobiele e-government toepassingen. De hoofdrol is hierbij weggelegd voor CSAM.

CSAM

CSAM is een geheel van afspraken om het identiteits- en toegangsbeheer binnen het Belgische e-government te organiseren. Naast afspraken en regels worden vanuit CSAM ook een aantal diensten aangeboden. Hier focussen we vooral op de Federal Authentication Service (FAS) die instaat voor de identificatie en authenticatie van personen.

In de context van FAS worden een aantal authenticatiemiddelen aangeboden waarmee personen zich kunnen aanmelden in e-government toepassingen. Daarbij wordt maximaal ingezet op de elektronische identiteitskaart (eID) waarover elke burger reeds beschikt. Daarnaast kunnen bijkomende authenticatiemiddelen aangevraagd worden via de online toepassing Mijn e-gov profiel, mits aanmelden met eID (= eID bootstrap). Deze middelen zijn: wachtwoord, token, digitaal certificaat en éénmalig wachtwoord via SMS.

CSAM authenticatiemiddelen

CSAM authenticatiemiddelen

Kan ik met CSAM mobiel authenticeren?

Vraag is in hoeverre de bovenvermelde authenticatiemiddelen bruikbaar zijn om toegang te krijgen tot toepassingen vanop smartphones en tablets. We beperken ons hierbij in eerste instantie tot mobiele web-toepassingen; apps vereisen een specifieke benadering. Hieronder een korte evaluatie van elk van de mogelijkheden.

  • Het wachtwoord is zonder meer mobiel bruikbaar. Het is eenvoudig in gebruik, maar niet zo veilig (zie ondere andere deze blogpost).
  • Bij het token wordt, naast het wachtwoord, één van de 24 codes gevraagd die zich op een kaartje bevinden. Dit authenticatiemiddel is eveneens mobiel bruikbaar en biedt al een hoger veiligheidsniveau dan een wachtwoord alleen, maar is tegelijkertijd iets minder gebruiksvriendelijk omwille van het bijkomend ingeven van een code.
  • Een derde mogelijkheid is een éénmalig wachtwoord via SMS. Hier kan men aanmelden met een tijdelijk wachtwoord dat verstuurd wordt via SMS en slechts één maal bruikbaar is. Om hiervan gebruik te kunnen maken moet het GSM-nummer vooraf geregistreerd worden. Hier gelden dezelfde opmerkingen als bij het token: het middel is mobiel bruikbaar; in vergelijking met een wachtwoord is het veiliger, maar minder gebruiksvriendelijk. Het overtypen of copiëren van het éénmalig wachtwoord is ietwat onhandig.
  • Vervolgens is er ook de mogelijkheid om aan te melden met een digitaal certificaat (type x.509). Om hiervan gebruik te kunnen maken moet een digitaal certificaat gekoppeld worden aan het eGov profiel en moet het certificaat geïnstalleerd worden op een (mobiel) toestel waarop men de toepassingen wil gebruiken. Om het certificaat te kunnen gebruiken is er ook de gekoppelde gebruikersnaam en wachtwoord nodig. Hoewel dit middel mobiel bruikbaar is, is de registratieprocedure relatief complex en zijn er mogelijk kosten verbonden aan het bekomen van een certificaat. Dit middel is dan ook eerder gericht op professionals.
  • Voor overheidstoepassingen is de eID met USB-geconnecteerde kaartlezer al een hele tijd het geprefereerde authenticatiemiddel. Het is veilig en wijdverspreid. Helaas is het slechts beperkt compatibel met smartphones en tablets. Er bestaan eID-compatibele kaartlezers, zoals de Sipiro M van Zetes, en er zijn enkele tablets op de markt met ingebouwde kaartlezer. Maar dergelijke oplossingen zijn niet zo gebruiksvriendelijk en er is een kost aan verbonden. Ze lijken dan ook vooral nuttig in een bedrijfscontext voor medewerkers die frequent willen aanmelden in eID-toepassingen op een mobiel toestel. Voor burgers die slechts sporadisch gebruik maken van de eID is de kost wellicht te hoog.
Digipass 870

Digipass 870

Hiernaast willen we ook vermelden dat Vasco onlangs door Fedict erkend werd als aanbieder van authenticatie voor online overheidstoepassingen. Vasco biedt hiertoe het Mydigipass platform en de Digipass 870 kaartlezer aan. Die kaartlezer kan zowel draadloos gebruikt worden als verbonden met de PC. De draadloze modus laat toe om op eender welk mobiel toestel aan te melden op basis van de eID. Een nadeel is evenwel dat de gebruiker telkens eID en kaartlezer bij zich moet hebben, wat minder praktisch is in een mobiele context.

Conclusie

Het loont de moeite om verder te zoeken naar oplossingen met een hoog veiligheidsniveau (niveau eID) die tegelijkertijd het nodige gebruiksgemak bieden in een mobiele context. Geen enkel van de huidige authenticatiemiddelen komt hieraan tegemoet.

In het kader van het in 2014 opgestarte onderzoeksproject rond mobiele sterke authenticatie, werd er een concept voorgesteld dat gebaseerd is op het gebruik van een specifiek, vooraf geregistreerd toestel als één van de authenticatiefactoren. Dit concept zal het onderwerp zijn van een volgende blogpost.

In maart werd een infosessie georganiseerd rond deze problematiek van sterke mobiele authenticatie. De slides hiervan zijn online beschikbaar.

This entry was posted in E-gov, Mobile, Security and tagged , by Bert Vanhalst. Bookmark the permalink.
avatar

About Bert Vanhalst

Bert is sinds 2001 research consultant bij Onderzoek Smals. Na het introduceren van Service Oriented Architecture en web services, verlegde hij de focus op mobile development en security. Tegenwoordig spitst hij zich toe op sterke (mobiele) authenticatie en conversationele interfaces.

One thought on “Kan ik met CSAM mobiel authenticeren?

  1. Pingback: Een concept voor sterke mobiele authenticatie | Smals Research

Leave a Reply

Your email address will not be published. Required fields are marked *