Authenticatie

Authenticatie is het proces waarbij iemand nagaat of een gebruiker, een andere computer of applicatie daadwerkelijk is wie hij beweert te zijn. Bij de authenticatie wordt gecontroleerd of een opgegeven bewijs van identiteit overeenkomt met echtheidskenmerken, bijvoorbeeld een in het systeem geregistreerd bewijs. De authenticiteit van het object moet worden nagegaan. Een computer met daarvoor ontworpen applicaties kan hierbij helpen.

Met sleutelkaarten wordt vaak gecontroleerd of een persoon toegang heeft tot bijvoorbeeld een afgesloten deel van een gebouw.

Authenticatie is de tweede stap in het toegangscontroleproces. De eerste stap in dit proces is identificatie, de derde en laatste stap is autorisatie.

Identiteitsbewijs

Het belangrijkste bewijsstuk van iemands identiteit is het identiteitsbewijs, meestal een paspoort. Dit wordt aan een individu afgegeven door een geautoriseerde ambtelijke instantie. Controlerende instanties (bijvoorbeeld de douane) controleren de echtheid van het bewijsstuk door te letten op echtheidskenmerken. Een paspoort is van grote waarde, vandaar dat op grote schaal wordt geprobeerd om paspoorten te stelen of te vervalsen.

Digitale wereld

M.b.v. Remote Document Authentication (RDA) kun je digitaal geïdentificeerd en geauthenticeerd worden. In de praktijk wordt dit nog weinig toegepast. Een papieren paspoort of ander identificatiebewijs wordt vaak gebruikt om een digitaal paspoort (een certificaat) te verkrijgen. Een veelgebruikte methode voor authenticatie op een digitaal netwerk is Kerberos.

Authenticatievormen

Er zijn verschillende vormen van authenticatie die eventueel gecombineerd kunnen worden om een hoger of lager niveau van beveiliging op te leveren. Daarbij zijn drie vormen van bewijs bruikbaar:

• iets wat je weet (kennis)
• iets wat je bezit
• iets wat je bent (persoonlijke eigenschap)

Kennis

Iets wat je weet is bijvoorbeeld een wachtwoord, een pincode of een geheime zin. Het is de bedoeling dat dit bewijs geheim is, het mag niet uitlekken om diefstal van de identiteit tegen te gaan. Een beroemde geheime zin is "Sesam, open u". Een hacker zal proberen de identiteit van iemand over te nemen door een wachtwoord te raden, te achterhalen met behulp van bijvoorbeeld een keylogger of te kraken. Om die reden wordt in professionele omgevingen dan ook het gebruik van complexe wachtwoorden afgedwongen, die periodiek gewijzigd moeten worden. Als het goed is, zal de kraaktijd van een wachtwoord langer moeten zijn dan de vervaltermijn.

Bezit

Dit betekent dat het bewijs van de identiteit wordt geleverd door het gebruikmaken van een fysiek herkenningsteken, dat door of namens het autoriserende systeem werd uitgereikt. Te denken valt aan een token als een chipkaart (de smartcard), een USB-sleutel, of een TAN-codelijst. Hierbij wordt gebruikgemaakt van de vraag-antwoordfunctie: het autoriserende systeem stelt een vraag en degene die toegang vraagt, moet met behulp van het token een passend antwoord geven. Een voorbeeld is de TAN-code van de ING Bank: het systeem vraagt om een willekeurige code uit een lijst van honderd nummers op te geven.

Persoonlijke eigenschap

Een uniek identificerend kenmerk van een persoon wordt opgeslagen in een authenticatiedatabase. Voorbeelden hiervan zijn: vingerafdruk, stem, iris, retinale vasculatuur of gezichtsherkenning.

Geautomatiseerde authenticatie

Computers en systemen maken gebruik van andere vormen van authenticatie. Ook kan gebruik worden gemaakt van een vorm van een Public Key Infrastructure (PKI), waarbij certificaten worden gebruikt. Bekende implementaties zijn 802.1X en SAML.

Bedreigingen en oplossingen

• Aanvalstechnieken: Aanvallers maken gebruik van verschillende technieken om de identiteit van een gebruiker te stelen.
• Wachtwoorden raden: proberen of een standaard wachtwoord wordt gebruikt, bijvoorbeeld 'geheim', 'admin'.
• Wachtwoorden kraken: het afluisteren van wachtwoorden die over het netwerk heen gaan en vervolgens met speciale programmatuur van alle mogelijke combinaties van tekens controleren of het versleutelingsalgoritme een goede uitkomst geeft.
• Wachtwoorden vragen: door middel van social engineering iemand ertoe verleiden vertrouwelijke gegevens prijs te geven. De aanvaller doet bijvoorbeeld of hij een medewerker van een helpdesk is. Phishing is ook een vorm van social engineering.
• Wachtwoorden afpersen: door middel van geweld of dreigementen iemand ertoe dwingen wachtwoorden prijs te geven. Dit wordt in het Engels wel aangeduid als rubber-hose cryptanalysis.
• Tokens: kunnen worden gestolen. De aanvaller moet dan alleen de pincode nog weten. Die moet dan volgens de eerder genoemde technieken worden verkregen.
• Biometrische kenmerken kunnen worden nagemaakt. Er zijn succesvolle aanvallen met nagemaakte vingerafdrukken nagebootst.

Wachtwoordbeveiliging

• Het periodiek wijzigen van wachtwoorden kan worden afgedwongen;
• Elk nieuw opgegeven wachtwoord wordt gecontroleerd op complexiteit voordat het wordt vastgelegd;
• Wachtwoorden worden versleuteld opgeslagen en over het netwerk getransporteerd.

Multifactor-authenticatie

Om de betrouwbaarheid van de authenticatie te vergroten, wordt authenticatie afgedwongen door toepassing van multifactor-authenticatie. Daarbij worden minimaal twee van de bovenstaande authenticatievormen gelijktijdig toegepast. Te denken valt aan het gebruik van een token met een PINcode. Een aanvaller dient nu niet alleen het kenniskenmerk te kraken, maar ook het token te bezitten. Een eenmalig wachtwoord wordt veel gebruikt door internetdiensten als manier om naast een wachtwoord een tweede factor toe te voegen.

SQRL

Een ontwerp van een softwarematige oplossing is SQRL (Secure, Quick, Reliable Login), een open standaard om veilig in te loggen en te authenticeren met websites of apps. SQRL gebruikt een link die begint met sqrl://, of een QR-code.

Autorisatie

Na de authenticatie vindt autorisatie plaats om na te gaan welke toegangsrechten de geauthenticeerde gebruiker, computer of applicatie heeft.

Zie ook

• Authenticatie gebaseerd op een geheime gedeelde sleutel als authenticatieprotocol.
• eID-stelsel
• FIDO Alliantie
• Kerberos als authenticatieprotocol.
• Single Sign-on
• Self-sovereign identity
• Toegangscontrole