SlideShare una empresa de Scribd logo

Authenticatie

Descargar como PPT, PDF
Richard Claassens CIPPE
Richard Claassens CIPPE

authenticatie

ViajesEmpresariales
1 de 7
Authenticatie Hoe en Waarmee
-1 Ik ben Johan van Barend -2 Kunt U dat bewijzen? -3 Hier is mij identiteitsbewijs -4 Mag ik uw pasfoto zien ? Authenticatie proces in face-to-face situatie (bijvoorbeeld in de winkel) Identificeren -zeggen wie je bent Authenticeren -bewijzen wie je bent 1 Iets wat men weet • Wachtwoord • PIN/TIN • Antwoord op geheime vraag of controle vragen *) Iets wat men heeft •Identiteitsbewijs •Sleutel, smartcard •Tokenizer •GSM, persoonlijk telefoonnummer Iets wat men is •Gezichtskenmerken •Lichaamskenmerken •Stemkenmerken 2 3 Twee factoren zijn gecheckt (twee-factor authenticatie) Op basis van drie factoren kan de authenticiteit worden gecheckt *) Controle vragen is op dit moment het meest gebruikte authenticatiemiddel in een klant contact centrum
Risico’s en maatregelen Iets wat men weet • Wachtwoord • PIN/TIN • Antwoord op geheime vraag of controle vragen Iets wat men heeft •Identiteitsbewijs •Sleutel, smartcard •Tokenizer •GSM, persoonlijk telefoonnummer Iets wat men is •Gezichtskenmerken •Lichaamskenmerken •Stemkenmerken Achterhaalbaar •Voorspellen, raden •Onderscheppen Diefstal en namaken Imitatie • Moeilijk te voorspellen • Pogingen inperken • Onderschepping bemoeilijken • Combineren met andere authenticatie factoren • Diefstal bemoeilijken • Namaken bemoeilijken • Combineren met andere authenticatie factoren • Unieke details gebruiken • Combineren met andere authenticatie factoren • Kwalitatief goede bewijsmiddelen zijn kostbaar. • Distributie van middelen en ondersteuning is kostbaar • Diensten voor verlies en blokkadegevallen met ruime openingstijden is kostbaar • Registratie- en toetsingsapparatuur is kostbaar • Kenmerken verzamelen en administreren is kostbaar • False positives of false negatieves zijn niet volledig uit te sluiten Maatregelen • Zwakke wijze van authententicatie • Diensten voor verlies- en blokkadegevallen met ruime openingstijden is kostbaar Nadelen voor aanbieder Nadelen voor de gebruiker Risico’s • Wordt als belastend ervaren • Confrontatie met false negatives • Middelen moeten fysiek aanwezig zijn • Meedragen van middelen is belastend • Lage beveiliging • Onthouden van codes, wachtwoorden 1 2 3
-2 -1 Authenticatie over een communicatiekanaal (bijvoorbeeld over internet, telefoon,…) Iets wat men heeft •Hoe bewijzen? Iets wat men is •Hoe overbrengen ? Afluisteren •Hoe voorkomen? •Eenmalig wachtwoorden via een geheim patroon •Terugcommuniceren naar een uniek (apparaat) in bezit Bijvoorbeeld: terug bellen naar een persoonlijk telefoonnummer • Versleutelen van de communicatie • Afzonderlijke berichten communiceren over gescheiden kanalen (out-of-band) Bijvoorbeeld: wachtwoord voor website via SMS versturen • Apparatuur gebruiken die biometrics vertaald naar automatisch te verwerken data Bijvoorbeeld vingerafdruklezer, stemherkenning Man-in-het-midden-aanval (communicatie manipuleren) •Hoe voorkomen? • Versleutelen van de communicatie • Afzonderlijke berichten communiceren over gescheiden kanalen (out-of-band) Bijvoorbeeld: wachtwoord voor website via SMS versturen 2 3 Authenticeren? Risico’s?
Gartner: Twee-factor authenticatie banken verslagen 17-12-2009,13:02, www.security.nl De door banken gebruikte twee-factor authenticatie is niet meer voldoende voor het beschermen van online bankrekeningen, aldus onderzoeksbureau Gartner. Ruim twee jaar geleden gaf Roel Schouwenberg van Kaspersky Lab dezelfde waarschuwing, dat Trojaanse paarden via man-in-the-browser aanvallen twee-factor authenticatie weten te omzeilen. Ook andere sterke authenticatie factoren, zoals chipkaarten en biometrische technologie, die van de browser afhankelijk zijn, zijn volgens de marktvorser op soortgelijke wijze te verslaan. Verder biedt twee-factor authenticatie via de telefoon ook geen oplossing. Aanvallers zouden door gesprekken door te verbinden zich kunnen laten authenticeren in plaats van de legitieme gebruiker. "Deze aanvallen zijn het afgelopen jaar wereldwijd met succes tegen banken en hun klanten uitgevoerd", zegt vice president Avivah Litan. Ze verwacht soortgelijke aanvallen op andere applicaties en diensten met waardevolle gegevens. Monitoring De oplossing volgens Gartner is een "gelaagde aanpak", met server-gebaseerde fraude detectie en "out-of-band transactie verificatie". Hierbij wordt een ander communicatiekanaal dan het primaire communicatiekanaal, bijvoorbeeld de PC, gebruikt voor het verifiëren van een transactie. Voor de ideale aanpak moeten banken daarnaast meerdere maatregelen nemen. Zoals het monitoren van het gedrag van de gebruikers en verdachte transacties. "Aanvallers hebben gedemonstreerd dat sterke twee-factor authenticatie processen zijn te verslaan. Bedrijven moeten hun gebruikers en accounts via een drie-laagse aanpak beschermen die sterkere authenticatie, fraude detectie en transactie verificatie gebruikt.“ Risico’s nemen toe | complexere en kostbare maatregelen zijn noodzakelijk -1 Afluisteren -2 Man-in-het-midden-aanval •Hoe voorkomen?
Enkelvoudige versus gelaagde beveiligingsaanpak Toegangscontrole-1 Intrusie detectie Intrusie preventie Toegangscontrole-2 Toegangscontrole-3 Toegangscontrole-1 Barrière-1 Barrière-2 Barrière-1 Enkelvoudig Gelaagd Goedkoop Kostbaar Gemakkelijk te kraken of omzeilen Moeilijk te kraken of omzeilen Eenvoudig ontwerp Complex ontwerp Vereist eenvoudige organisatie Vereist complexe organisatie
Enkelvoudige versus gelaagde beveiligingsaanpak Toegangscontrole-1 Intrusie detectie Intrusie preventie Toegangscontrole-2 Toegangscontrole-3 Toegangscontrole-1 Barrière-1 Barrière-2 Barrière-1 Enkelvoudig Gelaagd Goedkoop Kostbaar Gemakkelijk te kraken of omzeilen Moeilijk te kraken of omzeilen Eenvoudig ontwerp Complex ontwerp Vereist eenvoudige organisatie Vereist complexe organisatie

Recomendados

NCCW
NCCWNCCW
NCCWOpenText Cordys
 
Excel Software
Excel SoftwareExcel Software
Excel SoftwareOpenText Cordys
 
Cordys presentation
Cordys presentationCordys presentation
Cordys presentationMans Jug
 
Cordys Business Operations Platform
Cordys Business Operations PlatformCordys Business Operations Platform
Cordys Business Operations PlatformRichard Claassens CIPPE
 
Cordys in 5 steps
Cordys in 5 stepsCordys in 5 steps
Cordys in 5 stepsdkkro
 
Wachtwoordbeheer e.a. authenticatiemethodes (Dries Terryn)
Wachtwoordbeheer e.a. authenticatiemethodes (Dries Terryn)Wachtwoordbeheer e.a. authenticatiemethodes (Dries Terryn)
Wachtwoordbeheer e.a. authenticatiemethodes (Dries Terryn)Avansa Mid- en Zuidwest
 
20200221 cybersecurity een praktische introductie
20200221 cybersecurity een praktische introductie20200221 cybersecurity een praktische introductie
20200221 cybersecurity een praktische introductieAgentschap Innoveren & Ondernemen
 
Factsheet+Gebruik+tweefactorauthenticatie
Factsheet+Gebruik+tweefactorauthenticatieFactsheet+Gebruik+tweefactorauthenticatie
Factsheet+Gebruik+tweefactorauthenticatieWijnanda Benneker
 

Recomendados

NCCW
NCCWNCCW
NCCWOpenText Cordys
 
Excel Software
Excel SoftwareExcel Software
Excel SoftwareOpenText Cordys
 
Cordys presentation
Cordys presentationCordys presentation
Cordys presentationMans Jug
 
Cordys Business Operations Platform
Cordys Business Operations PlatformCordys Business Operations Platform
Cordys Business Operations PlatformRichard Claassens CIPPE
 
Cordys in 5 steps
Cordys in 5 stepsCordys in 5 steps
Cordys in 5 stepsdkkro
 
Wachtwoordbeheer e.a. authenticatiemethodes (Dries Terryn)
Wachtwoordbeheer e.a. authenticatiemethodes (Dries Terryn)Wachtwoordbeheer e.a. authenticatiemethodes (Dries Terryn)
Wachtwoordbeheer e.a. authenticatiemethodes (Dries Terryn)Avansa Mid- en Zuidwest
 
20200221 cybersecurity een praktische introductie
20200221 cybersecurity een praktische introductie20200221 cybersecurity een praktische introductie
20200221 cybersecurity een praktische introductieAgentschap Innoveren & Ondernemen
 
Factsheet+Gebruik+tweefactorauthenticatie
Factsheet+Gebruik+tweefactorauthenticatieFactsheet+Gebruik+tweefactorauthenticatie
Factsheet+Gebruik+tweefactorauthenticatieWijnanda Benneker
 
Factsheet social engineering
Factsheet social engineeringFactsheet social engineering
Factsheet social engineeringRob van Hees
 
Jan guldentops ba
Jan guldentops baJan guldentops ba
Jan guldentops baWebshopVakbeurs
 
DDMA 24 oktober 2007 Fortis over Datakwaliteit
DDMA 24 oktober 2007 Fortis over DatakwaliteitDDMA 24 oktober 2007 Fortis over Datakwaliteit
DDMA 24 oktober 2007 Fortis over DatakwaliteitDDMA
 
Loi keynote (pdf)
Loi keynote (pdf)Loi keynote (pdf)
Loi keynote (pdf)Jochen den Ouden
 
Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs UtrechtJeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs UtrechtInfosecurity2010
 
20211116 gastles UCLL Hogeschool: Legal compliant websites
20211116 gastles UCLL Hogeschool: Legal compliant websites20211116 gastles UCLL Hogeschool: Legal compliant websites
20211116 gastles UCLL Hogeschool: Legal compliant websitesBart Van Den Brande
 
Digitale veiligheid
Digitale veiligheidDigitale veiligheid
Digitale veiligheidDr. Frank Stumpe
 
Sheetsworkshopveiliginternetten
SheetsworkshopveiliginternettenSheetsworkshopveiliginternetten
SheetsworkshopveiliginternettenBJ@COM
 
Verhalen uit de loopgraven - Workshop Security & privacy
Verhalen uit de loopgraven - Workshop Security & privacyVerhalen uit de loopgraven - Workshop Security & privacy
Verhalen uit de loopgraven - Workshop Security & privacyB.A.
 
20130227 neos rotselaar dreigingen cyberspace publiek
20130227 neos rotselaar dreigingen cyberspace publiek20130227 neos rotselaar dreigingen cyberspace publiek
20130227 neos rotselaar dreigingen cyberspace publiekgeertvincent
 
2de cid safe netwerkbijeenkomst (Dutch, 29
2de cid safe netwerkbijeenkomst (Dutch, 292de cid safe netwerkbijeenkomst (Dutch, 29
2de cid safe netwerkbijeenkomst (Dutch, 29wegdam
 
Safeshops ? Nadenken over veiligheidsaspecten van E-shops/Commerce
Safeshops ? Nadenken over veiligheidsaspecten van E-shops/CommerceSafeshops ? Nadenken over veiligheidsaspecten van E-shops/Commerce
Safeshops ? Nadenken over veiligheidsaspecten van E-shops/CommerceB.A.
 
Fraude & veiligheid seminar ogone
Fraude & veiligheid seminar ogoneFraude & veiligheid seminar ogone
Fraude & veiligheid seminar ogoneWebservices.nl
 
Van irisscan tot kontafdruk- biometrische authenticatie anno 2017 - Heliview ...
Van irisscan tot kontafdruk- biometrische authenticatie anno 2017 - Heliview ...Van irisscan tot kontafdruk- biometrische authenticatie anno 2017 - Heliview ...
Van irisscan tot kontafdruk- biometrische authenticatie anno 2017 - Heliview ...wegdam
 
Veilig op internet
Veilig op internetVeilig op internet
Veilig op internetRuud Van Oorschot
 
Funda Mmmmm
Funda MmmmmFunda Mmmmm
Funda MmmmmLensFitzgerald
 
Presentatie cybercrime
Presentatie cybercrimePresentatie cybercrime
Presentatie cybercrimeJohn van Hoften
 
Webinar de balans tussen security en gebruiksvriendelijkheid
Webinar de balans tussen security en gebruiksvriendelijkheidWebinar de balans tussen security en gebruiksvriendelijkheid
Webinar de balans tussen security en gebruiksvriendelijkheidDelta-N
 
Voorkomen van fraude bij digitaal toetsen - Caspar Ewals, Michiel van Geloven...
Voorkomen van fraude bij digitaal toetsen - Caspar Ewals, Michiel van Geloven...Voorkomen van fraude bij digitaal toetsen - Caspar Ewals, Michiel van Geloven...
Voorkomen van fraude bij digitaal toetsen - Caspar Ewals, Michiel van Geloven...SURF Events
 
Organisatieslachtofferschap van cybercrime
Organisatieslachtofferschap van cybercrime Organisatieslachtofferschap van cybercrime
Organisatieslachtofferschap van cybercrime Rick van der Kleij
 
Privacy het nieuwe groen | KNVI afdeling IT-audit | definitief
Privacy het nieuwe groen | KNVI afdeling IT-audit | definitiefPrivacy het nieuwe groen | KNVI afdeling IT-audit | definitief
Privacy het nieuwe groen | KNVI afdeling IT-audit | definitiefRichard Claassens CIPPE
 
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?Richard Claassens CIPPE
 

Más contenido relacionado

Similar a Authenticatie

Factsheet social engineering
Factsheet social engineeringFactsheet social engineering
Factsheet social engineeringRob van Hees
 
DDMA 24 oktober 2007 Fortis over Datakwaliteit
DDMA 24 oktober 2007 Fortis over DatakwaliteitDDMA 24 oktober 2007 Fortis over Datakwaliteit
DDMA 24 oktober 2007 Fortis over DatakwaliteitDDMA
 
Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs UtrechtJeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs UtrechtInfosecurity2010
 
20211116 gastles UCLL Hogeschool: Legal compliant websites
20211116 gastles UCLL Hogeschool: Legal compliant websites20211116 gastles UCLL Hogeschool: Legal compliant websites
20211116 gastles UCLL Hogeschool: Legal compliant websitesBart Van Den Brande
 
Sheetsworkshopveiliginternetten
SheetsworkshopveiliginternettenSheetsworkshopveiliginternetten
SheetsworkshopveiliginternettenBJ@COM
 
Verhalen uit de loopgraven - Workshop Security & privacy
Verhalen uit de loopgraven - Workshop Security & privacyVerhalen uit de loopgraven - Workshop Security & privacy
Verhalen uit de loopgraven - Workshop Security & privacyB.A.
 
20130227 neos rotselaar dreigingen cyberspace publiek
20130227 neos rotselaar dreigingen cyberspace publiek20130227 neos rotselaar dreigingen cyberspace publiek
20130227 neos rotselaar dreigingen cyberspace publiekgeertvincent
 
2de cid safe netwerkbijeenkomst (Dutch, 29
2de cid safe netwerkbijeenkomst (Dutch, 292de cid safe netwerkbijeenkomst (Dutch, 29
2de cid safe netwerkbijeenkomst (Dutch, 29wegdam
 
Safeshops ? Nadenken over veiligheidsaspecten van E-shops/Commerce
Safeshops ? Nadenken over veiligheidsaspecten van E-shops/CommerceSafeshops ? Nadenken over veiligheidsaspecten van E-shops/Commerce
Safeshops ? Nadenken over veiligheidsaspecten van E-shops/CommerceB.A.
 
Fraude & veiligheid seminar ogone
Fraude & veiligheid seminar ogoneFraude & veiligheid seminar ogone
Fraude & veiligheid seminar ogoneWebservices.nl
 
Van irisscan tot kontafdruk- biometrische authenticatie anno 2017 - Heliview ...
Van irisscan tot kontafdruk- biometrische authenticatie anno 2017 - Heliview ...Van irisscan tot kontafdruk- biometrische authenticatie anno 2017 - Heliview ...
Van irisscan tot kontafdruk- biometrische authenticatie anno 2017 - Heliview ...wegdam
 
Webinar de balans tussen security en gebruiksvriendelijkheid
Webinar de balans tussen security en gebruiksvriendelijkheidWebinar de balans tussen security en gebruiksvriendelijkheid
Webinar de balans tussen security en gebruiksvriendelijkheidDelta-N
 
Voorkomen van fraude bij digitaal toetsen - Caspar Ewals, Michiel van Geloven...
Voorkomen van fraude bij digitaal toetsen - Caspar Ewals, Michiel van Geloven...Voorkomen van fraude bij digitaal toetsen - Caspar Ewals, Michiel van Geloven...
Voorkomen van fraude bij digitaal toetsen - Caspar Ewals, Michiel van Geloven...SURF Events
 
Organisatieslachtofferschap van cybercrime
Organisatieslachtofferschap van cybercrime Organisatieslachtofferschap van cybercrime
Organisatieslachtofferschap van cybercrime Rick van der Kleij
 

Similar a Authenticatie (20)

Factsheet social engineering
Factsheet social engineeringFactsheet social engineering
Factsheet social engineering
 
Jan guldentops ba
Jan guldentops baJan guldentops ba
Jan guldentops ba
 
DDMA 24 oktober 2007 Fortis over Datakwaliteit
DDMA 24 oktober 2007 Fortis over DatakwaliteitDDMA 24 oktober 2007 Fortis over Datakwaliteit
DDMA 24 oktober 2007 Fortis over Datakwaliteit
 
Loi keynote (pdf)
Loi keynote (pdf)Loi keynote (pdf)
Loi keynote (pdf)
 
Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs UtrechtJeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
 
20211116 gastles UCLL Hogeschool: Legal compliant websites
20211116 gastles UCLL Hogeschool: Legal compliant websites20211116 gastles UCLL Hogeschool: Legal compliant websites
20211116 gastles UCLL Hogeschool: Legal compliant websites
 
Digitale veiligheid
Digitale veiligheidDigitale veiligheid
Digitale veiligheid
 
Sheetsworkshopveiliginternetten
SheetsworkshopveiliginternettenSheetsworkshopveiliginternetten
Sheetsworkshopveiliginternetten
 
Verhalen uit de loopgraven - Workshop Security & privacy
Verhalen uit de loopgraven - Workshop Security & privacyVerhalen uit de loopgraven - Workshop Security & privacy
Verhalen uit de loopgraven - Workshop Security & privacy
 
20130227 neos rotselaar dreigingen cyberspace publiek
20130227 neos rotselaar dreigingen cyberspace publiek20130227 neos rotselaar dreigingen cyberspace publiek
20130227 neos rotselaar dreigingen cyberspace publiek
 
2de cid safe netwerkbijeenkomst (Dutch, 29
2de cid safe netwerkbijeenkomst (Dutch, 292de cid safe netwerkbijeenkomst (Dutch, 29
2de cid safe netwerkbijeenkomst (Dutch, 29
 
Safeshops ? Nadenken over veiligheidsaspecten van E-shops/Commerce
Safeshops ? Nadenken over veiligheidsaspecten van E-shops/CommerceSafeshops ? Nadenken over veiligheidsaspecten van E-shops/Commerce
Safeshops ? Nadenken over veiligheidsaspecten van E-shops/Commerce
 
Fraude & veiligheid seminar ogone
Fraude & veiligheid seminar ogoneFraude & veiligheid seminar ogone
Fraude & veiligheid seminar ogone
 
Van irisscan tot kontafdruk- biometrische authenticatie anno 2017 - Heliview ...
Van irisscan tot kontafdruk- biometrische authenticatie anno 2017 - Heliview ...Van irisscan tot kontafdruk- biometrische authenticatie anno 2017 - Heliview ...
Van irisscan tot kontafdruk- biometrische authenticatie anno 2017 - Heliview ...
 
Veilig op internet
Veilig op internetVeilig op internet
Veilig op internet
 
Funda Mmmmm
Funda MmmmmFunda Mmmmm
Funda Mmmmm
 
Presentatie cybercrime
Presentatie cybercrimePresentatie cybercrime
Presentatie cybercrime
 
Webinar de balans tussen security en gebruiksvriendelijkheid
Webinar de balans tussen security en gebruiksvriendelijkheidWebinar de balans tussen security en gebruiksvriendelijkheid
Webinar de balans tussen security en gebruiksvriendelijkheid
 
Voorkomen van fraude bij digitaal toetsen - Caspar Ewals, Michiel van Geloven...
Voorkomen van fraude bij digitaal toetsen - Caspar Ewals, Michiel van Geloven...Voorkomen van fraude bij digitaal toetsen - Caspar Ewals, Michiel van Geloven...
Voorkomen van fraude bij digitaal toetsen - Caspar Ewals, Michiel van Geloven...
 
Organisatieslachtofferschap van cybercrime
Organisatieslachtofferschap van cybercrime Organisatieslachtofferschap van cybercrime
Organisatieslachtofferschap van cybercrime
 

Más de Richard Claassens CIPPE

Privacy het nieuwe groen | KNVI afdeling IT-audit | definitief
Privacy het nieuwe groen | KNVI afdeling IT-audit | definitiefPrivacy het nieuwe groen | KNVI afdeling IT-audit | definitief
Privacy het nieuwe groen | KNVI afdeling IT-audit | definitiefRichard Claassens CIPPE
 
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?Richard Claassens CIPPE
 
Data Masking | waar in het IT-systeemlandschap? ...
Data Masking | waar in het IT-systeemlandschap? ...Data Masking | waar in het IT-systeemlandschap? ...
Data Masking | waar in het IT-systeemlandschap? ...Richard Claassens CIPPE
 
Taken van de functionaris voor gegevensbescherming
Taken van de functionaris voor gegevensbescherming Taken van de functionaris voor gegevensbescherming
Taken van de functionaris voor gegevensbescherming Richard Claassens CIPPE
 
Positie van de functionaris voor gegevensbescherming (FG)
Positie van de functionaris voor gegevensbescherming (FG)Positie van de functionaris voor gegevensbescherming (FG)
Positie van de functionaris voor gegevensbescherming (FG)Richard Claassens CIPPE
 
Pripare methodology-handbook-final-feb-24-2016
Pripare methodology-handbook-final-feb-24-2016Pripare methodology-handbook-final-feb-24-2016
Pripare methodology-handbook-final-feb-24-2016Richard Claassens CIPPE
 
Benoeming van een functionaris voor gegevensbescherming (FG)
Benoeming van een functionaris voor gegevensbescherming (FG)Benoeming van een functionaris voor gegevensbescherming (FG)
Benoeming van een functionaris voor gegevensbescherming (FG)Richard Claassens CIPPE
 
Privacy het nieuwe groen KNVI definitief
Privacy het nieuwe groen KNVI definitiefPrivacy het nieuwe groen KNVI definitief
Privacy het nieuwe groen KNVI definitiefRichard Claassens CIPPE
 
Establishing SOA and SOA Governance 23032010 Amsterdam
Establishing SOA and SOA Governance 23032010 AmsterdamEstablishing SOA and SOA Governance 23032010 Amsterdam
Establishing SOA and SOA Governance 23032010 AmsterdamRichard Claassens CIPPE
 
Semantische interoperabiliteit met behulp van een bedrijfsbrede taxonomie
Semantische interoperabiliteit met behulp van een bedrijfsbrede taxonomieSemantische interoperabiliteit met behulp van een bedrijfsbrede taxonomie
Semantische interoperabiliteit met behulp van een bedrijfsbrede taxonomieRichard Claassens CIPPE
 
Heidag Architectuur | presentatie van verkenningen
Heidag Architectuur | presentatie van verkenningenHeidag Architectuur | presentatie van verkenningen
Heidag Architectuur | presentatie van verkenningenRichard Claassens CIPPE
 
Ontwerpmodel Internet Of Things Diensten
Ontwerpmodel Internet Of Things DienstenOntwerpmodel Internet Of Things Diensten
Ontwerpmodel Internet Of Things DienstenRichard Claassens CIPPE
 
Software packaged software principles publiek
Software packaged software principles publiekSoftware packaged software principles publiek
Software packaged software principles publiekRichard Claassens CIPPE
 

Más de Richard Claassens CIPPE (20)

Privacy het nieuwe groen | KNVI afdeling IT-audit | definitief
Privacy het nieuwe groen | KNVI afdeling IT-audit | definitiefPrivacy het nieuwe groen | KNVI afdeling IT-audit | definitief
Privacy het nieuwe groen | KNVI afdeling IT-audit | definitief
 
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
 
Data Masking | waar in het IT-systeemlandschap? ...
Data Masking | waar in het IT-systeemlandschap? ...Data Masking | waar in het IT-systeemlandschap? ...
Data Masking | waar in het IT-systeemlandschap? ...
 
Taken van de functionaris voor gegevensbescherming
Taken van de functionaris voor gegevensbescherming Taken van de functionaris voor gegevensbescherming
Taken van de functionaris voor gegevensbescherming
 
Positie van de functionaris voor gegevensbescherming (FG)
Positie van de functionaris voor gegevensbescherming (FG)Positie van de functionaris voor gegevensbescherming (FG)
Positie van de functionaris voor gegevensbescherming (FG)
 
Pripare methodology-handbook-final-feb-24-2016
Pripare methodology-handbook-final-feb-24-2016Pripare methodology-handbook-final-feb-24-2016
Pripare methodology-handbook-final-feb-24-2016
 
Benoeming van een functionaris voor gegevensbescherming (FG)
Benoeming van een functionaris voor gegevensbescherming (FG)Benoeming van een functionaris voor gegevensbescherming (FG)
Benoeming van een functionaris voor gegevensbescherming (FG)
 
Privacy het nieuwe groen KNVI definitief
Privacy het nieuwe groen KNVI definitiefPrivacy het nieuwe groen KNVI definitief
Privacy het nieuwe groen KNVI definitief
 
Establishing SOA and SOA Governance 23032010 Amsterdam
Establishing SOA and SOA Governance 23032010 AmsterdamEstablishing SOA and SOA Governance 23032010 Amsterdam
Establishing SOA and SOA Governance 23032010 Amsterdam
 
Verkenning internet of things
Verkenning internet of thingsVerkenning internet of things
Verkenning internet of things
 
A taxonomy of personal data by origin
A taxonomy of personal data by origin A taxonomy of personal data by origin
A taxonomy of personal data by origin
 
Semantische interoperabiliteit met behulp van een bedrijfsbrede taxonomie
Semantische interoperabiliteit met behulp van een bedrijfsbrede taxonomieSemantische interoperabiliteit met behulp van een bedrijfsbrede taxonomie
Semantische interoperabiliteit met behulp van een bedrijfsbrede taxonomie
 
Heidag Architectuur | presentatie van verkenningen
Heidag Architectuur | presentatie van verkenningenHeidag Architectuur | presentatie van verkenningen
Heidag Architectuur | presentatie van verkenningen
 
Verkenning geo services
Verkenning geo services Verkenning geo services
Verkenning geo services
 
Ontwerpmodel Internet Of Things Diensten
Ontwerpmodel Internet Of Things DienstenOntwerpmodel Internet Of Things Diensten
Ontwerpmodel Internet Of Things Diensten
 
Software packaged software principles publiek
Software packaged software principles publiekSoftware packaged software principles publiek
Software packaged software principles publiek
 
Kennismaking sfdc v1
Kennismaking sfdc v1Kennismaking sfdc v1
Kennismaking sfdc v1
 
Cloud computing lunchsessie (v2)
Cloud computing lunchsessie (v2)Cloud computing lunchsessie (v2)
Cloud computing lunchsessie (v2)
 
Cloud computing overzicht
Cloud computing overzichtCloud computing overzicht
Cloud computing overzicht
 
Establishing Soa And Soa Governance Hsa
Establishing Soa And Soa Governance HsaEstablishing Soa And Soa Governance Hsa
Establishing Soa And Soa Governance Hsa
 

Authenticatie

  • 2. -1 Ik ben Johan van Barend -2 Kunt U dat bewijzen? -3 Hier is mij identiteitsbewijs -4 Mag ik uw pasfoto zien ? Authenticatie proces in face-to-face situatie (bijvoorbeeld in de winkel) Identificeren -zeggen wie je bent Authenticeren -bewijzen wie je bent 1 Iets wat men weet • Wachtwoord • PIN/TIN • Antwoord op geheime vraag of controle vragen *) Iets wat men heeft •Identiteitsbewijs •Sleutel, smartcard •Tokenizer •GSM, persoonlijk telefoonnummer Iets wat men is •Gezichtskenmerken •Lichaamskenmerken •Stemkenmerken 2 3 Twee factoren zijn gecheckt (twee-factor authenticatie) Op basis van drie factoren kan de authenticiteit worden gecheckt *) Controle vragen is op dit moment het meest gebruikte authenticatiemiddel in een klant contact centrum
  • 3. Risico’s en maatregelen Iets wat men weet • Wachtwoord • PIN/TIN • Antwoord op geheime vraag of controle vragen Iets wat men heeft •Identiteitsbewijs •Sleutel, smartcard •Tokenizer •GSM, persoonlijk telefoonnummer Iets wat men is •Gezichtskenmerken •Lichaamskenmerken •Stemkenmerken Achterhaalbaar •Voorspellen, raden •Onderscheppen Diefstal en namaken Imitatie • Moeilijk te voorspellen • Pogingen inperken • Onderschepping bemoeilijken • Combineren met andere authenticatie factoren • Diefstal bemoeilijken • Namaken bemoeilijken • Combineren met andere authenticatie factoren • Unieke details gebruiken • Combineren met andere authenticatie factoren • Kwalitatief goede bewijsmiddelen zijn kostbaar. • Distributie van middelen en ondersteuning is kostbaar • Diensten voor verlies en blokkadegevallen met ruime openingstijden is kostbaar • Registratie- en toetsingsapparatuur is kostbaar • Kenmerken verzamelen en administreren is kostbaar • False positives of false negatieves zijn niet volledig uit te sluiten Maatregelen • Zwakke wijze van authententicatie • Diensten voor verlies- en blokkadegevallen met ruime openingstijden is kostbaar Nadelen voor aanbieder Nadelen voor de gebruiker Risico’s • Wordt als belastend ervaren • Confrontatie met false negatives • Middelen moeten fysiek aanwezig zijn • Meedragen van middelen is belastend • Lage beveiliging • Onthouden van codes, wachtwoorden 1 2 3
  • 4. -2 -1 Authenticatie over een communicatiekanaal (bijvoorbeeld over internet, telefoon,…) Iets wat men heeft •Hoe bewijzen? Iets wat men is •Hoe overbrengen ? Afluisteren •Hoe voorkomen? •Eenmalig wachtwoorden via een geheim patroon •Terugcommuniceren naar een uniek (apparaat) in bezit Bijvoorbeeld: terug bellen naar een persoonlijk telefoonnummer • Versleutelen van de communicatie • Afzonderlijke berichten communiceren over gescheiden kanalen (out-of-band) Bijvoorbeeld: wachtwoord voor website via SMS versturen • Apparatuur gebruiken die biometrics vertaald naar automatisch te verwerken data Bijvoorbeeld vingerafdruklezer, stemherkenning Man-in-het-midden-aanval (communicatie manipuleren) •Hoe voorkomen? • Versleutelen van de communicatie • Afzonderlijke berichten communiceren over gescheiden kanalen (out-of-band) Bijvoorbeeld: wachtwoord voor website via SMS versturen 2 3 Authenticeren? Risico’s?
  • 5. Gartner: Twee-factor authenticatie banken verslagen 17-12-2009,13:02, www.security.nl De door banken gebruikte twee-factor authenticatie is niet meer voldoende voor het beschermen van online bankrekeningen, aldus onderzoeksbureau Gartner. Ruim twee jaar geleden gaf Roel Schouwenberg van Kaspersky Lab dezelfde waarschuwing, dat Trojaanse paarden via man-in-the-browser aanvallen twee-factor authenticatie weten te omzeilen. Ook andere sterke authenticatie factoren, zoals chipkaarten en biometrische technologie, die van de browser afhankelijk zijn, zijn volgens de marktvorser op soortgelijke wijze te verslaan. Verder biedt twee-factor authenticatie via de telefoon ook geen oplossing. Aanvallers zouden door gesprekken door te verbinden zich kunnen laten authenticeren in plaats van de legitieme gebruiker. "Deze aanvallen zijn het afgelopen jaar wereldwijd met succes tegen banken en hun klanten uitgevoerd", zegt vice president Avivah Litan. Ze verwacht soortgelijke aanvallen op andere applicaties en diensten met waardevolle gegevens. Monitoring De oplossing volgens Gartner is een "gelaagde aanpak", met server-gebaseerde fraude detectie en "out-of-band transactie verificatie". Hierbij wordt een ander communicatiekanaal dan het primaire communicatiekanaal, bijvoorbeeld de PC, gebruikt voor het verifiëren van een transactie. Voor de ideale aanpak moeten banken daarnaast meerdere maatregelen nemen. Zoals het monitoren van het gedrag van de gebruikers en verdachte transacties. "Aanvallers hebben gedemonstreerd dat sterke twee-factor authenticatie processen zijn te verslaan. Bedrijven moeten hun gebruikers en accounts via een drie-laagse aanpak beschermen die sterkere authenticatie, fraude detectie en transactie verificatie gebruikt.“ Risico’s nemen toe | complexere en kostbare maatregelen zijn noodzakelijk -1 Afluisteren -2 Man-in-het-midden-aanval •Hoe voorkomen?
  • 6. Enkelvoudige versus gelaagde beveiligingsaanpak Toegangscontrole-1 Intrusie detectie Intrusie preventie Toegangscontrole-2 Toegangscontrole-3 Toegangscontrole-1 Barrière-1 Barrière-2 Barrière-1 Enkelvoudig Gelaagd Goedkoop Kostbaar Gemakkelijk te kraken of omzeilen Moeilijk te kraken of omzeilen Eenvoudig ontwerp Complex ontwerp Vereist eenvoudige organisatie Vereist complexe organisatie
  • 7. Enkelvoudige versus gelaagde beveiligingsaanpak Toegangscontrole-1 Intrusie detectie Intrusie preventie Toegangscontrole-2 Toegangscontrole-3 Toegangscontrole-1 Barrière-1 Barrière-2 Barrière-1 Enkelvoudig Gelaagd Goedkoop Kostbaar Gemakkelijk te kraken of omzeilen Moeilijk te kraken of omzeilen Eenvoudig ontwerp Complex ontwerp Vereist eenvoudige organisatie Vereist complexe organisatie