Wanneer gaat uw organisatie gebruikmaken van sterke authenticatie om uw klanten beter te beschermen?
Toegangsbeveiliging is van essentieel belang voor een veilige elektronische dienstverlening. Onderdeel hiervan is dat een dienstaanbieder wil kunnen vaststellen met wie er gecommuniceerd wordt. Dit wordt ook wel authenticatie genoemd. Omdat huidige inlogmiddelen tekort schieten, zet dit de deur open voor fraude, misbruik, identiteitsdiefstal, imagoschade en als gevolg hiervan neemt het vertrouwen in elektronische dienstverlening af. Er is een ontwikkeling die een aanzienlijke verbetering is: Universal 2-factor authentication (U2F). Een ontwikkeling die voor het veiligheidsdomein zeer relevant is. Sinds 2017 wordt U2F door Google Chrome, Opera en Firefox ondersteund. Grote organisaties zoals Google en Facebook maken hier, intern en voor hun klanten al gebruik van. Wanneer gaat uw organisatie gebruikmaken van U2F om uw klanten beter te beschermen?
Huidige inlogmiddelen schieten te kort op het gebied van veiligheid en gebruikersvriendelijkheid.
Fraude van elektronische dienstverlening kan hierdoor toenemen.
Universal 2-factor authentication (U2F) is een veilig alternatief dat fraude kan voorkomen,
gebaseerd op een open standaard die bovendien gebruikersvriendelijk is.
Een U2F-beveiligingssleutel is universeel en kan bij verschillende dienstaanbieders gebruikt worden om in te kunnen loggen.
Dienstaanbieders kunnen zo veiliger diensten aanbieden zonder dat ze zelf grote investeringen hoeven te doen.
Voortdurend lekken van wachtwoorden
In de afgelopen jaren zijn er regelmatig grote beveiligingslekken in het nieuws geweest. In 2017 is op het darkweb een bestand aangetroffen met daarin 1.7 miljard gegevens. Naast de accountnamen die zijn gelekt, bestond 17% van de data uit onversleutelde wachtwoorden. De gegevens lijken van meerdere dienstaanbieders te komen, waaronder LinkedIn, Netflix, MySpace en van het wat minder bekende Last.FM.1 Enige tijd eerder verscheen de LinkedIn hack waar 164 miljoen accounts openbaar zijn gemaakt door een tekortkoming in de informatiebeveiliging. De wachtwoorden konden eenvoudig ontsleuteld worden waarmee kwaadwillenden toegang verkregen tot andere diensten waar gebruikers dezelfde inloggegevens gebruikten. Daarnaast kon er door de grote hoeveelheid gelekte e-mailadressen gericht banking-malware hiernaar verspreid worden.2 Er zijn veel meer dienstverleners geweest die problemen hebben gehad door het lekken van wachtwoorden. Het onderstaande figuur geeft aan dat nog relatief veel mensen gebruikmaken van zwakkere inlogmiddelen. Dit blijkt uit een onderzoek van GfK uit 2018 naar verschillende inlogmethoden.
De valkuilen van bestaande oplossingen
Er zijn veel oplossingen beschikbaar om in te loggen. Wachtwoorden hebben het nadeel dat gebruikers voor verschillende diensten hetzelfde wachtwoord kiezen. Hierdoor kan een lek bij de ene dienstverlener gevolgen hebben voor een andere. Cybercriminelen gebruiken daarnaast vaak phishing, een veelvoorkomende methode om wachtwoorden in handen te krijgen waarbij slachtoffers worden misleid hun inloggegevens op een nepwebsite in te vullen. Gebruikers kunnen zwakke wachtwoorden kiezen die makkelijk te raden zijn of wachtwoorden opschrijven of vastleggen. Soms wordt een tweede kanaal gebruikt om toegang tot een dienst te verlenen. Het sturen van een sms-bericht met een code is voorbeeld hiervan. Het gebruiken van sms-berichten wordt echter in het algemeen niet meer veilig genoeg bevonden. Een betere manier van inloggen is twee-factor authenticatie (2FA) of multi-factor authenticatie (MFA). Hierbij wordt gebruikgemaakt van kennis, bezit en een eigenschap van een persoon. Een voorbeeld hiervan zijn de readers van ABN AMRO Bank en Rabobank. Nadat de gebruiker een pincode (kennis) op de reader met een bankpas (bezit) heeft ingevoerd, genereert deze een code die met de identificatie op de website van de dienstaanbieder wordt ingevoerd om in te loggen. Deze manier van authenticatie is veiliger omdat de inlogcode maar een keer gebruikt kan worden. Elke dienstaanbieder gebruikt echter een eigen inlogmiddel waardoor eindgebruikers meerdere inlogmiddelen bij zich moeten hebben. In plaats van de pincode kan ook gebruik worden gemaakt van biometrische eigenschappen zoals een vingerafdruk of een facescan. Het gebruik hiervan is eenvoudiger maar heeft als nadeel dat sommige biometriesensoren eenvoudig te misleiden zijn. Als jouw biometrische herkenning wordt gekopieerd heb je maar een beperkt aantal lichaamsdelen om als nieuwe biometrische eigenschap te gebruiken.
Een betere oplossing: U2F
De nieuwe speler in het veld is U2F. Dit is een gestandaardiseerde universele beveiligingssleutel die onder andere op een USB-poort aangesloten kan worden. De oplossing is ontwikkeld door de FIDO Alliance, waar onder andere Google, AMEX, ING en Intel zich bij aangesloten hebben. U2F heeft een aantal grote voordelen ten opzichte van bestaande authenticatieoplossingen. Het is voor de dienstaanbieder eenvoudig te implementeren, eventueel via een cloudoplossing (as-a-service). Het tweede voordeel is op de gebruiker toegespitst: het is eenvoudig in het gebruik. Na eenmalige registratie bij een dienstaanbieder hoeft de beveiligingssleutel alleen in een USB-poort gestoken te worden en op het knopje ervan gedrukt te worden. Er zijn ook U2F-beveiligingssleutels met Near-Field Communication (NFC) die eenvoudig te gebruiken zijn met smartphones. Kort tegen een smartphone aantikken met de sleutel is hierbij voldoende. U2F is een open standaard, je zit dus niet vast aan een bepaalde leverancier. De gebruiker kan zelf de beveiligingssleutel koppelen aan zijn account. Daarnaast heeft U2F ook belangrijke beveiligingsvoordelen. Een hardwarematige beveiligingssleutel kan een hoger beveiligingsniveau bieden omdat een aanvaller, in tegenstelling tot een softwarematige oplossing, de sleutels niet eenvoudig kan kopiëren. De cryptografie is gebaseerd op publieke sleutel versleuteling (public key encryption) en de geheime sleutel kan de beveiligingssleutel niet verlaten. Ook eventuele biometrische kenmerken van de gebruiker blijven in de beveiligingssleutel. De organisatie achter U2F heeft een functioneel certificeringsprogramma opgezet om te garanderen dat de beveiligingssleutels interoperabel zijn. Daarnaast zijn er verschillende certificeringslevels waarbij een evaluatie wordt gedaan van de veiligheid van de implementatie. Een evaluatie van een geaccrediteerd laboratorium kan onderdeel hiervan zijn. Er zijn inmiddels honderden beveiligingssleutels gecertificeerd.3
Bij het ontwerp van U2F is ook rekening gehouden met bescherming tegen phishing- en man-in-the-middle aanvallen. Door deze verbeterde bescherming neemt het vertrouwen van klanten in de digitale diensten toe. De inlogcode die wordt gegenereerd, kan alleen voor één specifieke website worden gebruikt. Hiervoor wordt de domeinnaam meegenomen in de cryptografische berekening door de U2F-beveiligingssleutel. De authenticiteit van de U2F-beveiligingssleutel kan worden geverifieerd waarmee een dienstaanbieder het gebruik van bepaalde beveiligingssleutels kan afdwingen. Vanwege deze beveiligingsvoordelen is het risico op misbruik van inloggegevens kleiner en daarmee ook de mogelijke schade. U2F heeft net als andere authenticatiemiddelen ook wat nadelen. Als je sleutel defect raakt of verliest, heb je een alternatieve manier nodig om in te loggen. Dit kan bijvoorbeeld met een back-up sleutel en deze op een veilig plek bewaren. Het blokkeren van een verloren beveiligingssleutel kan een gebruiker veel tijd kosten als het voor veel diensten in gebruik is. De beveiligingssleutel zelf is niet beschermd tegen fysieke diefstal. Om hem te kunnen misbruiken, is nog wel het wachtwoord nodig.
De alliance van het vertrouwen
De U2F-standaard wordt verder ontwikkeld door de FIDO Alliance waar grote organisaties deel van uitmaken, waaronder Google, Facebook en Microsoft. Klanten kunnen dezelfde beveiligingssleutel voor meerdere online dienstverlener tegelijk gebruiken. De organisaties in de FIDO Alliance gebruiken de beveiligingssleutel zowel voor hun eigen medewerkers als voor hun klanten. Google’s supportafdeling schat daarnaast in dat de overstap naar U2F duizenden supporturen scheelt, wat het dus ook nog eens goedkoper maakt dan huidige beveiligingsoplossing met one time passwords (OTPs).3 De servicedesk moest bij eenmalige wachtwoorden vaker ingrijpen vanwege inlogproblemen. Kijken we buiten de FIDO Alliance, dan zien we dat de overheid van het Verenigd Koninkrijk tegenwoordig haar inwoners de mogelijkheid biedt om ook gebruik te maken van een U2F-beveiligingssleutel, om zich zo bij verschillende overheidsdiensten aan te melden via het GOV.UK Verify programma. Zo kan er onder andere ingelogd worden bij belasting- en pensioendiensten en naar verwachting zal dit verder uitgebreid worden.4
Verdere ontwikkelingen van authenticatiestandaarden en beveiligingssleutels
Steeds meer online dienstaanbieders zullen zich aansluiten bij deze universele standaard in hun zoektocht naar veilige inlogoplossingen. Wij verwachten dan ook dat meer leveranciers zich zullen aansluiten bij de standaard en meer dienstaanbieders het gebruik van U2F/FIDO 2.0 mogelijk maken. Naast de verdere ondersteuning en uitbreiding van de U2F standaard is FIDO bezig met FIDO 2.0 waarin ook het Universal Authentication Framework (UAF) is opgenomen. UAF is een standaard die gebruikt wordt voor de mobiele telefoon en gebruikt een pincode of vingerafdruk om te bewijzen dat jij het bent. Er wordt onder andere door Microsoft aan passwordless login gewerkt in de vorm van Windows Hello. Deze nieuwe feature maakt ook gebruik van biometrie of pincode als tweede factor, naast het bezit van de beveiligingssleutel. In de praktijk betekent dit dat ondersteuning voor FIDO 2.0 in Microsoft Edge via Windows Hello een eindgebruiker zo veilig, zonder lang wachtwoord, op zijn device én online dienst kan inloggen. Er zijn ook beveiligingssleutels die het mogelijk maken om op een display te zien bij welke site wordt ingelogd of om transactiegegevens te tonen.5 Hierdoor weet je zeker dat je ook daadwerkelijk bij die site inlogt. Daarnaast zijn er ook tokens die gebruikmaken van biometrische gegevens (vingerafdruk) bij het indrukken van de U2F-beveiligingssleutel, hierdoor kan alleen de eigenaar gebruikmaken van de beveiligingssleutel6.
De sleutel naar de toekomst
U2F zorgt voor een veilige, universele en eenvoudig implementeerbare 2-factor authenticatie waardoor digitale dienstverlening veilig kan worden aangeboden. Door de brede adoptie bij grote techbedrijven is het aantrekkelijk om aan te bieden voor klanten en medewerkers. Meer en meer dienstaanbieders zijn zich bewust van het feit dat huidige oplossingen niet veilig genoeg zijn en zoeken naar een makkelijker en veilige oplossing. We verwachten dan ook dat U2F de komende jaren door veel meer organisaties, ook in het veiligheidsdomein, gebruikt gaat worden.
U2F onder de motorkap: de techniek
Bij U2F moeten twee stappen worden onderscheiden: registratie en gebruik van de beveiligingssleutel. Eerst moet de U2F-beveiligingsleutel in een USB-poort worden gestoken. Bij registratie wordt een U2F-beveiligingssleutel door de dienstaanbieder aan een gebruiker gekoppeld. Nadat een gebruiker de registratie heeft geïnitieerd door een gebruikersnaam en wachtwoord in te voeren, stuurt de dienstaanbieder een registratieverzoek naar de U2F-beveiligingssleutel inclusief een challenge. Dit registratieverzoek bestaat uit een applicatie-id en een challenge. De U2F-beveiligingssleutel genereert nu een public/private sleutelpaar en een keyhandle waarmee dit sleutelpaar wordt geïdentificeerd. Met de private sleutel wordt met de challenge een response berekend. De publieke sleutel wordt samen met keyhandle en de response naar de dienstaanbieder gestuurd. De dienstaanbieder bewaart de publieke sleutel voor verificatie bij gebruik van de U2F-beveiligingssleutel. Dienstaanbieders kunnen vragen om een tweede beveiligingssleutel of tweede authenticatiemethode te koppelen om te voorkomen dat door een defecte of verloren beveiligingssleutel een gebruiker niet meer kan inloggen. Bij het inloggen met de U2F-beveiligingssleutel vindt er een vergelijkbaar proces plaats. Nadat de gebruiker het gebruik van de beveiligingssleutel heeft geïnitieerd, stuurt de dienstaanbieder een de keyhandle, applicatie-id en challenge naar de beveiligingssleutel. De browser verifieert of de applicatie-id bij het domein hoort waarop de gebruiker wil inloggen, toegevoegd om phishing en man-in-the-middle-aanvallen te voorkomen. Nadat de gebruiker op de beveiligingssleutel heeft gedrukt, wordt met de private sleutel een response berekend. Hierbij wordt ook een counter gebruikt om misbruik te detecteren. De dienstaanbieder kan nu met publieke sleutel van de beveiligingssleutel de response verifiëren. De counter in de U2F-beveiligingssleutel kan gebruikt worden om eventuele klonen van een beveiligingssleutel te detecteren en een replay-aanval te voorkomen. Beveiligingssleutels die U2F ondersteunen, ondersteunen vaak ook andere protocollen zoals: One Time Password (OTP), OpenPGP voor het versleutelen of ondertekenen van documenten of e-mailberichten, CCID/PIV voor smartcardemulatie. Voor meer inzicht in U2F-beveiligingssleutels van verschillende leveranciers heeft Brad Hill van Facebook een overzicht gemaakt.2
