Eerder schreven wij al over het mainstream worden van Multi Factor Authenticatie. Verschillende Amerikaanse banken zijn al begonnen met de uitrol van deze nieuwe vorm van authenticatie.
Gary McAlum, chief security officer van de USAA- bank vertelde onder andere welke vormen van MFA er al worden toegepast bij zijn bank en waarom er voor deze manier is gekozen. Uiteraard heeft het implementeren van deze nieuwe technieken de nodige voeten in de aarde gehad. In dit artikel gaan wij wat dieper in op de implementatie, gezien vanuit de beveiligingsservices die bedrijven aanbieden, maar ook vanuit de banken.
Inschrijving
Als een mobiel apparaat moet werken als MFA, dan moet deze ook worden ingeschreven/aangemeld zodat de online dienst het apparaat vertrouwt. Het apparaat zal de biometrische scan uitvoeren die de gebruiker moet authenticeren. Dus dat apparaat moet wel worden vertrouwd door de online service.
McAlum wil geen details geven over de inschrijfprocedure die de Amerikaanse bank USAA gebruikt behalve dat deze online kan worden gedaan en dat het systeem ook een link legt met de smartphone van de gebruiker.
Michael Lynch, Chief Strategy Officer van de authenticatiesoftwarefirma InAuth, was iets opener over het inschrijfproces dat InAuth gebruikt voor smartphones. "Als eerst beschermen wij [het apparaat] tegen malware en kijken we of deze onderhevig is geweest aan een jailbreak of dat het toestel is geroot.
Wordt het toestel verplaatst? Mooi, dat is goed. Als deze altijd in een hoek van 45 graden ligt en altijd in het stopcontact zit, kan je er vanuit gaan dat dit toestel wordt gebruikt voor frauduleuze praktijken. Je zal alle factoren bij elkaar moeten brengen om een voorspellende analyse te doen. Dit kan ook met een browser, maar je kan zoveel meer halen uit een telefoon.
Apparaatvertrouwen
"Wij gebruiken een permanente identifier om je telefoon te herkennen, zelfs als je een nieuwe app of nieuw besturingssysteem installeert," zegt Lynch. "Het geeft ons permanente houvast aan de eigenaar van het toestel. Het vertrouwen van een apparaat helpt ons om de frictie met een klant te elimineren."
Als er twijfel ontstaat over de gebruiker of diens acties (zoals toegang vanuit China terwijl de gebruiker een dag eerder nog in Amsterdam was), is het gebruikelijk om extra authenticatie-niveaus toe te passen in plaats van de gebruiker direct blokkeren. "Blokkeren is een allerlaatste redmiddel. De online service zou bijvoorbeeld een eenmalig wachtwoord kunnen sturen naar het ingeschreven apparaat en tegelijkertijd vragen of de gebruiker een biometrische factor mee zou willen sturen."
"Een hacker, die niet in bezit is van het apparaat, zal dat wachtwoord niet krijgen en zal het dus ook niet kunnen invullen. Een dief, die het apparaat wel heeft, zou hoogstwaarschijnlijk niet de biometrische factor kunnen spoofen. Tenminste, dat is de theorie."
Keith Graham, CTO van SecureAuth, laat in een interview op de RSA 2016 beveiligingsconventie nog even duidelijk zien hoe zij deze nieuwe manieren van authenticeren inzetten.
Effectiviteit
"Er is maar een handjevol grote implementaties dus wij kunnen niet zeggen dat er nooit wordt gefraudeerd, maar ze zullen dan wel je vingerafdruk alsook je apparaat moeten hacken," zegt Ramesh Kesanupalli, oprichter van Nok Nok Labs en vice president van de Fast ID Online (FIDO) Alliance. Beide promoten industriestandaarden voor MFA. "De FIDO-standaarden zitten zo in elkaar dat er geen persoonlijke informatie (zoals de omschrijving van de vingerafdruk) het apparaat verlaat en dat de authenticatie alleen lokaal plaatsvindt."
"Er is niks dat niet gebroken kan worden en tijdens ons streven een zo sterk mogelijke authenticatie te ontwikkelen hebben wij de gebruikerservaring verschrikkelijk gemaakt; wachtwoorden moeten 12 karakters hebben met hoofd- en kleine letters, en niet te vergeten speciale tekens," aldus Jim Ducharme, vice president van RSA. "Wij werken nu naar iets toe dat wij "call identity assurance" noemen, met factoren die, op zichzelf niet echt sterk zijn, [maar gecombineerd zeer krachtig zijn]."
Ducharme legt verder uit dat als een persoon zich in z'n huis bevindt op een werkdag met z'n laptop en smartphone en gebruik maakt van de VPN van het bedrijf waar hij voor werkt, werk gerelateerde sites bezoekt die hij normaal gesproken ook zou bezoeken, "dan ben ik het hoogstwaarschijnlijk zelf. Iemand zou mijn telefoon gestolen kunnen hebben of naast mijn huis geparkeerd staan, maar alle eerdergenoemde factoren bij elkaar kunnen toch wel verzekeren dat ik het echt ben."
Bewijzen wie je bent
"Hoe vinden wij de beste manier om te bewijzen wie je bent? Zoiets bestaat niet. We kunnen discussiëren over de betrouwbaarheid van een van deze factoren en de mogelijkheden ze te kunnen "kraken", maar gecombineerd zijn ze veel sterker. Hackers vallen meestal maar één van deze factoren aan," legt Ducharme uit.
"Geen enkele beveiligingsoplossing zal voldoende zijn, maar door een cocktail van oplossingen te gebruiken, maken we het de criminelen wel een stuk moeilijker," aldus Scott Petry, CEO en mede-oprichter van Authentic8. "Denk aan het oude gezegde, Je hoeft niet sneller dan een beer te kunnen rennen om aan hem te ontkomen: je moet alleen sneller zijn dan de andere personen in de groep. MFA zorgt ervoor dat je veiliger bent dan de andere, minder goed beveiligde doelen."
Goede consumentenervaring
"Een andere trend is het voorzien van de juiste mate van authenticatie," zegt Ducharme. "Tegenwoordig authenticeert men al voordat het echt nodig is. Ik hoef geen authenticatie uit te voeren als je alleen maar naar je bankrekening kijkt, maar als je 10000 euro wil overschrijven, willen wij wel graag je ID zien. Zwakkere factoren kunnen ons de juiste mate van zekerheid geven. Je hoeft niet door meerdere lagen van de hel te gaan om je pensioenplan te bekijken."
Steeds meer instanties zijn het ermee eens dat, afgezien van alle details, MFA nu mainstream genoeg is. "Banken zien dat de lat steeds hoger komt te liggen op het gebied van consumentenverwachtingen," zegt Conor White, van Daon. "De meest voorkomende mate van interactie met consumenten vindt niet meer plaats via het web of face-to-face bij de bank, maar via mobiele apparaten. Wachtwoorden werken niet op kleine apparaten. Mensen willen direct toegang en overal (en altijd) geauthentiseerd kunnen worden. Men hoeft niet meer te kiezen tussen beveiliging en gemak, tegenwoordig is beide mogelijk."
McAlum, sluit het betoog af door te zeggen dat hij een wereld voor zich ziet zonder gebruikersnamen, wachtwoorden of beveiligingsvragen. "Zodra hartslag, gedrag en typherkenning volwassen genoeg zijn, zullen wij deze technieken implementeren."
Uri Rivner, van BioCatch legt in een interview op RSA 2016 uit hoe zij "behavioral biometrics" inzetten aan de hand van een voorval bij een bank uit de UK.
-
-
Er zijn nog geen reacties.Reageer
Preview