De laatste tijd heb ik ondervonden dat er veel onduidelijkheid bestaat over tweefactor- of multifactorauthenticatie.
Als het nu gaat om het Landelijk Schakel Punt met zijn EPD, de ABN AMRO die zijn edentifier met een USB-kabel aan de computer koppelt, of de ING die een extra code invoert voor het veiliger maken van internetbankieren vanaf een nieuwe locatie, de multifactorauthenticatie wordt er vaak ten onrechte met zijn haren bijgesleept. Ik heb zelfs serieus horen beweren (door een IT-professional!) dat de combinatie van een gebruikersnaam en een wachtwoord tweefactorauthenticatie is. Immers, één en één is twee.
Om het concept van multifactorauthenticatie goed uit te leggen, is het eerst nodig om een aantal verschillende vormen van authenticatie te beschrijven. Even een droog stukje met definities.
RSA heeft een mooie, duidelijke definitie geformuleerd van authenticatie:
Authentication is a process where a person or a computer program proves their identity in order to access information. The persons identity is a simple assertion, the login ID for a particular computer application, for example. Proof is the most important part of the concept.
In deze definitie wordt het grootste probleem van authenticatie al aangestipt. Want hoe kun je nu zeker weten dat de inlogger is wie hij beweert te zijn? Er wordt hem iets gevraagd. En wat hem gevraagd kan worden is onder te verdelen in verschillende authenticatievormen:
1) iets wat je weet (kennis)
2) iets wat je bezit
3) iets wat je bent (persoonlijke eigenschap)
De eerste vorm is helder: hieronder vallen zowel een gebruikersnaam als een wachtwoord. Het is informatie die de gebruiker heeft of onthoudt en die over een periode ongewijzigd blijft. Om ongeoorloofd binnen te komen, is het mogelijk om de rechtmatige gebruiker op een listige of op bedreigende manier zijn kennis te ontfrutselen.
De tweede vorm behoeft meer uitleg. Tot deze categorie behoort bijvoorbeeld een token, zoals we die bijvoorbeeld kennen van banktransacties of VPN-verbindingen en zelfs TAN-codelijsten, die in elk geval niet wachtwoorden geven die over een periode hetzelfde blijven. Het stelen van een wachtwoord, bijvoorbeeld met een keylogger, is dan ook redelijk zinloos, omdat er de volgende keer weer een ander wachtwoord nodig is om in te loggen. Maar het stelen van het bezit levert meer succes op, zolang deze authenticatievorm niet wordt gecombineerd met een andere.
De derde vorm spreekt ook voor zich. Een voor de hand liggende eigenschap is bijvoorbeeld je vingerafdruk. Of je iris, DNA, of stem. Kortom: je biometrische gegevens. Deze gegevens lijken onmogelijk om te stelen, maar dat valt tegen. Het is niet altijd noodzakelijk om echt iemands oogbal uit te lepelen om toegang te krijgen tot de gewenste informatie. Vaak is het stelen van de hash die van de iris gemaakt wordt voldoende, of anders kan vaak nog wel een kopie gemaakt worden van een vingerafdruk die ook echt werkt. Uiteraard is het wel een behoorlijke inspanning om iemands biometrische gegevens te stelen of te kopiëren, dus ik zal dat niet snel zien gebeuren voor het ongeoorloofd inchecken bij het Habbo-hotel, bijvoorbeeld.
Om te kunnen spreken van tweefactorauthenticatie, moet er gebruik gemaakt worden van een combinatie van twee verschillende authenticatievormen, en moeten die twee zaken ook echt onafhankelijk van elkaar zijn. Een combinatie van gebruikersnaam en wachtwoord is dus niet toereikend, beide gegevens vallen immers in de eerste categorie. Voor tweefactorauthenticatie zal dus minimaal nog bijvoorbeeld een eenmalig wachtwoord naar de mobiele telefoon van de gebruiker moeten worden gestuurd. Maar dat kan dan weer niet als de inlogpoging van diezelfde smartphone plaatsvindt. Daarmee wordt het onafhankelijke tweede element uitgeschakeld. Immers: als een cybercrimineel spyware op die smartphone weet te installeren, heeft hij voor altijd alle informatie die er nodig is om in te loggen.
Het laten invoeren van een extra code, zoals de ING vorig jaar deed, is goed voor de veiligheid van de ING-klanten, maar het draagt niet bij aan een meer gelaagde multifactorauthenticatie, zoals wel door de bank werd gesuggereerd . Voor internetbankieren wordt van oudsher gebruik gemaakt van tweefactorauthenticatie met een gebruikersnaam en wachtwoord en een TAN-procedure (in elk geval als er een overboeking wordt gedaan). En dat is deze nieuwe procedure van ING ook weer: een tweefactorauthenticatie. Pas als er een extra stap aan de authenticatie wordt toegepast met biometrische gegevens kunnen we spreken over een driefactorauthenticatie.
Overigens lijken banken juist eerder de verkeerde kant op te gaan met hun authenticatieprocedures. Overal valt te lezen dat de apps van de verschillende banken zeer populair zijn. Bij deze apps wordt niet eens gebruik gemaakt van tweefactorauthenticatie. Een gebruikersnaam en wachtwoord zijn afdoende om in te loggen en betalingen te doen (al zijn er wel vaak restricties aan de hoogte van de betalingen of de ontvangers van de betalingen). Voor ING-klanten die niet de app gebruiken, maar vanaf hun smartphone inloggen op het gewone internetbankieren is de situatie nog gevaarlijker. Niet alleen verliezen zij de tweede factor (omdat de TAN-code ook naar hun mobiel wordt gestuurd), maar ook nog eens profiteren zij niet van de betalingsrestricties die ING voor de mobiele app-gebruikers heeft ingevoerd.
Met het laatste voorbeeld wordt duidelijk wat de grote uitdaging is voor gedegen authenticatie in de toekomst. Met het steeds mobiele worden van internetgebruikers, wordt de tweede factor die iets met de mobiele telefoon te maken heeft steeds minder bruikbaar. In de toekomst zullen we dan ook steeds vaker met onze biometrische gegevens aan de slag moeten om ergens te kunnen inloggen.
auteur Jan Haver is werkzaam bij Gdata