2. -1
Ik ben
Johan van Barend
-2
Kunt U dat
bewijzen?
-3
Hier is mij
identiteitsbewijs
-4
Mag ik uw
pasfoto zien ?
Authenticatie proces in face-to-face situatie (bijvoorbeeld in de winkel)
Identificeren
-zeggen wie je bent
Authenticeren
-bewijzen wie je bent
1 Iets wat men weet
• Wachtwoord
• PIN/TIN
• Antwoord op geheime vraag of
controle vragen *)
Iets wat men heeft
•Identiteitsbewijs
•Sleutel, smartcard
•Tokenizer
•GSM, persoonlijk telefoonnummer
Iets wat men is
•Gezichtskenmerken
•Lichaamskenmerken
•Stemkenmerken
2 3
Twee factoren zijn gecheckt
(twee-factor authenticatie)
Op basis van drie factoren kan de authenticiteit worden gecheckt
*) Controle vragen is op dit moment het meest gebruikte authenticatiemiddel in een klant contact centrum
3. Risico’s en maatregelen
Iets wat men weet
• Wachtwoord
• PIN/TIN
• Antwoord op geheime vraag of
controle vragen
Iets wat men heeft
•Identiteitsbewijs
•Sleutel, smartcard
•Tokenizer
•GSM, persoonlijk telefoonnummer
Iets wat men is
•Gezichtskenmerken
•Lichaamskenmerken
•Stemkenmerken
Achterhaalbaar
•Voorspellen, raden
•Onderscheppen
Diefstal en namaken Imitatie
• Moeilijk te voorspellen
• Pogingen inperken
• Onderschepping bemoeilijken
• Combineren met andere authenticatie
factoren
• Diefstal bemoeilijken
• Namaken bemoeilijken
• Combineren met andere authenticatie
factoren
• Unieke details gebruiken
• Combineren met andere authenticatie
factoren
• Kwalitatief goede bewijsmiddelen zijn
kostbaar.
• Distributie van middelen en
ondersteuning is kostbaar
• Diensten voor verlies en
blokkadegevallen met ruime
openingstijden is kostbaar
• Registratie- en toetsingsapparatuur is
kostbaar
• Kenmerken verzamelen en
administreren is kostbaar
• False positives of false negatieves
zijn niet volledig uit te sluiten
Maatregelen
• Zwakke wijze van authententicatie
• Diensten voor verlies- en
blokkadegevallen met ruime
openingstijden is kostbaar
Nadelen voor aanbieder
Nadelen voor de gebruiker
Risico’s
• Wordt als belastend ervaren
• Confrontatie met false negatives
• Middelen moeten fysiek aanwezig zijn
• Meedragen van middelen is belastend
• Lage beveiliging
• Onthouden van codes, wachtwoorden
1 2 3
4. -2
-1
Authenticatie over een communicatiekanaal (bijvoorbeeld over internet, telefoon,…)
Iets wat men heeft
•Hoe bewijzen?
Iets wat men is
•Hoe overbrengen ?
Afluisteren
•Hoe voorkomen?
•Eenmalig wachtwoorden via een geheim patroon
•Terugcommuniceren naar een uniek (apparaat) in bezit
Bijvoorbeeld: terug bellen naar een persoonlijk telefoonnummer
• Versleutelen van de communicatie
• Afzonderlijke berichten communiceren over gescheiden kanalen (out-of-band)
Bijvoorbeeld: wachtwoord voor website via SMS versturen
• Apparatuur gebruiken die biometrics vertaald naar automatisch te verwerken data
Bijvoorbeeld vingerafdruklezer, stemherkenning
Man-in-het-midden-aanval
(communicatie manipuleren)
•Hoe voorkomen?
• Versleutelen van de communicatie
• Afzonderlijke berichten communiceren over gescheiden kanalen (out-of-band)
Bijvoorbeeld: wachtwoord voor website via SMS versturen
2
3
Authenticeren? Risico’s?
5. Gartner: Twee-factor authenticatie banken verslagen
17-12-2009,13:02, www.security.nl
De door banken gebruikte twee-factor authenticatie is niet meer voldoende voor het beschermen van online bankrekeningen,
aldus onderzoeksbureau Gartner. Ruim twee jaar geleden gaf Roel Schouwenberg van Kaspersky Lab dezelfde
waarschuwing, dat Trojaanse paarden via man-in-the-browser aanvallen twee-factor authenticatie weten te omzeilen. Ook
andere sterke authenticatie factoren, zoals chipkaarten en biometrische technologie, die van de browser afhankelijk zijn, zijn
volgens de marktvorser op soortgelijke wijze te verslaan.
Verder biedt twee-factor authenticatie via de telefoon ook geen oplossing. Aanvallers zouden door gesprekken door te
verbinden zich kunnen laten authenticeren in plaats van de legitieme gebruiker. "Deze aanvallen zijn het afgelopen jaar
wereldwijd met succes tegen banken en hun klanten uitgevoerd", zegt vice president Avivah Litan. Ze verwacht soortgelijke
aanvallen op andere applicaties en diensten met waardevolle gegevens.
Monitoring
De oplossing volgens Gartner is een "gelaagde aanpak", met server-gebaseerde fraude detectie en "out-of-band transactie
verificatie". Hierbij wordt een ander communicatiekanaal dan het primaire communicatiekanaal, bijvoorbeeld de PC, gebruikt
voor het verifiëren van een transactie. Voor de ideale aanpak moeten banken daarnaast meerdere maatregelen nemen. Zoals
het monitoren van het gedrag van de gebruikers en verdachte transacties. "Aanvallers hebben gedemonstreerd dat sterke
twee-factor authenticatie processen zijn te verslaan. Bedrijven moeten hun gebruikers en accounts via een drie-laagse aanpak
beschermen die sterkere authenticatie, fraude detectie en transactie verificatie gebruikt.“
Risico’s nemen toe | complexere en kostbare maatregelen zijn noodzakelijk
-1 Afluisteren -2 Man-in-het-midden-aanval
•Hoe voorkomen?
6. Enkelvoudige versus gelaagde beveiligingsaanpak
Toegangscontrole-1
Intrusie detectie
Intrusie
preventie
Toegangscontrole-2
Toegangscontrole-3
Toegangscontrole-1
Barrière-1
Barrière-2
Barrière-1
Enkelvoudig Gelaagd
Goedkoop Kostbaar
Gemakkelijk te kraken of omzeilen Moeilijk te kraken of omzeilen
Eenvoudig ontwerp Complex ontwerp
Vereist eenvoudige organisatie Vereist complexe organisatie
7. Enkelvoudige versus gelaagde beveiligingsaanpak
Toegangscontrole-1
Intrusie detectie
Intrusie
preventie
Toegangscontrole-2
Toegangscontrole-3
Toegangscontrole-1
Barrière-1
Barrière-2
Barrière-1
Enkelvoudig Gelaagd
Goedkoop Kostbaar
Gemakkelijk te kraken of omzeilen Moeilijk te kraken of omzeilen
Eenvoudig ontwerp Complex ontwerp
Vereist eenvoudige organisatie Vereist complexe organisatie