Sterke authenticatie op smartphones en tablets

mobile-securityAls we gebruik willen maken van online diensten, moeten we ons steevast aanmelden. Meer en meer wordt een sterke authenticatie gevraagd. Dat betekent dat we meer dan één factor gebruiken om onze identiteit te bewijzen, doorgaans iets wat we bezitten en iets wat we kennen. De eID komt hier perfect aan tegemoet: we bezitten de eID-kaart en we kennen onze PIN-code.

Maar wat als we online diensten willen gebruiken op mobiele toestellen zoals smartphones en tablets? Op dergelijke mobiele toestellen kunnen we de klassieke USB-geconnecteerde eID-lezer niet gebruiken. Hoe kunnen we ons dan op een sterke manier authenticeren? Dit zijn een aantal pistes:

  • Er komen eID readers op de markt die compatibel zijn met iOS en Android devices. Zie bijvoorbeeld de oplossing van i-Dentity. Momenteel kan hier de standaard-browser niet gebruikt worden, maar is er een specifieke browser nodig. Daarnaast is er een library die toelaat om eID-authenticatie te voorzien in zelf-ontwikkelde native apps.
  • Hardware OTP tokens genereren een tijdelijk paswoord (One Time Password – OTP) op een fysiek apparaatje. Het is een veilige oplossing en is onafhankelijk van platform. Er zijn verschillende varianten, afhankelijk van hoe de OTP bekomen wordt: enkel aflezen van een OTP, OTP bekomen door het indrukken van een knop of na het ingeven van een PIN-code. Er zijn ook NFC-tokens op de markt waarbij een OTP op een hardware token wordt gegenereerd en via NFC doorgestuurd wordt naar een toestel. Zie bijvoorbeeld de Yubikey Neo van Yubico.
  • Software OTP tokens leveren OTP’s via een software applicatie (token app). Optioneel kan er in die app een paswoord gevraagd worden om een OTP te bekomen. Die OTP moet dan ingegeven worden in de doeltoepassing, eventueel aangevuld met een paswoord. Het veiligheidsniveau is lager als de doeltoepassing en de token app op hetzelfde toestel gebruikt worden. Iemand die het toestel in handen krijgt heeft dan namelijk genoeg aan het paswoord van de token app en/of de doeltoepassing om toegang te krijgen. Ook is de gebruikerservaring niet zo goed omdat op eenzelfde scherm gewisseld moet worden tussen de token app en de doeltoepassing waar de OTP moet ingevuld worden.
  • OTP’s kunnen ook verstuurd worden via SMS. Na authenticatie met gebruikersnaam en wachtwoord wordt een SMS verstuurd met een OTP. Het ingeven van die OTP vervolledigt de authenticatie. Zoals bij software tokens is er een verminderd veiligheidsniveau als de OTP afgeleverd wordt op hetzelfde toestel als waar de eigenlijke toepassing gebruikt wordt.
  • OTP’s kunnen ook gegenereerd worden op basis van de eID. Zo is er een eID-compatibele Digipass waarmee je een OTP kan bekomen na het ingeven van de eID-PIN.
  • Tot slot kan er ook een koppeling gemaakt worden tussen de identiteit van een gebruiker en zijn toestel. Zo kan een toestel gekoppeld worden aan het rijksregisternummer van een gebruiker op basis van de eID. Bij het aanmelden vult de gebruiker zijn paswoord in en wordt in de achtergrond geverifieerd of de toepassing gebruikt wordt op een toestel dat vooraf gekoppeld werd aan de gebruiker. Enkel native apps kunnen die controle uitvoeren, dit systeem is daarom niet bruikbaar bij webtoepassingen. En ook hier is het nadeel dat een derde die het toestel in handen krijgt genoeg heeft aan het paswoord om toegang te krijgen tot de toepassing. Dit systeem wordt onder andere toegepast bij mobile banking apps. Omwille van het verminderd veiligheidsniveau wordt de functionaliteit daar beperkt (bijvoorbeeld lagere daglimiet bij overschrijvingen).

De keuze voor een oplossing hangt onder andere af van het vereiste veiligheidsniveau, de kost en de beoogde doelgroep. Bij een gesloten doelgroep – bijvoorbeeld interne medewerkers – hebben we meer controle over de nodige hardware en software en kunnen we dus een specifieke oplossing opleggen. Bij een open doelgroep – bijvoorbeeld alle burgers of werkgevers – kunnen we moeilijk een oplossing opleggen en kiezen we beter voor een oplossing die compatibel is met alle types toestellen.

Geen enkele van de voorgestelde oplossingen biedt tegelijkertijd maximale veiligheid en maximaal gebruiksgemak. Ofwel moet een mobiele gebruiker naast zijn smartphone of tablet ook een fysiek apparaat bijhebben (hardware token of kaartlezer), ofwel is er een verlaagd veiligheidsniveau (software/SMS token, koppeling identiteit-device). Een alternatief dat vaak genoemd wordt is biometrie: het gebruik van lichamelijke kenmerken (vingerafdruk, iris, stem, etc.) om onze identiteit te bewijzen. Hoewel biometrische authenticatie praktischer kan zijn dan andere vormen van authenticatie is een concrete implementatie op mobiele toestellen niet zo evident en kunnen er bezwaren zijn op vlak van privacy (zie advies Privacycommissie). Daarom zal men in de praktijk dus voor één van de bovenvermelde oplossingen moeten kiezen.

This entry was posted in Mobile, Security and tagged , by Bert Vanhalst. Bookmark the permalink.
avatar

About Bert Vanhalst

Bert is sinds 2001 research consultant bij Onderzoek Smals. Na het introduceren van Service Oriented Architecture en web services, verlegde hij de focus op mobile development en security. Tegenwoordig spitst hij zich toe op sterke (mobiele) authenticatie en conversationele interfaces.

One thought on “Sterke authenticatie op smartphones en tablets

  1. Pingback: I’m dreaming of a digital Xmas | Smals Research

Leave a Reply

Your email address will not be published. Required fields are marked *