Wachtwoorden vragen om problemen
Biometrische authenticatie is in opmars. Technologische ontwikkeling zorgt ervoor dat steeds meer telefoons beschikken over een vingerafdrukscanner en stemherkenning. Ook is Windows 10 uitgerust met biometrische aanmelding via Windows Hello, zodat de computer aan de hand van een scan van gezicht, iris of vinger controleert of de gebruiker wel de voorgespiegelde persoon is.
De voorspellingen voor komende jaren zijn dat het aantal toepassingen van biometrische authenticatie nog flink zal toenemen. In een recent rapport voorspelt Juniper Research dat in 2019 jaarlijks meer dan 770 miljoen apps worden gedownload die gebruikmaken van biometrische beveiliging. Acuity Market Intelligence schat dat 2,5 miljard gebruikers samen in 2020 over 4,8 miljard apparaten beschikken die gebruik kunnen maken van biometrische eigenschappen. Daarnaast stelt ABI Research dat alleen al aan het eind van 2015 er wereldwijd in totaal 13,8 miljard dollar omzet met biometrische technologie gedraaid wordt. Waar het momenteel nog vooral overheden zijn die in biometrie investeren, zal in 2017 consumententechnologie het vaandel overnemen. We staan dus nog maar aan het begin van een belangrijke ontwikkeling.
Wachtwoorden zijn nooit sterk genoeg
Dat biometrie aan terrein wint is niet meer dan logisch. De discussie over de betrouwbaarheid van wachtwoorden en pincodes blijft na iedere grootschalige hack namelijk oplaaien en daar verandert het door IT-organisaties verplichte gebruik van sterke wachtwoorden niets aan. Zelfs bedrijven met de meest strenge policies blijven kwetsbaar zolang hackers over technologie beschikken om het invoeren van wachtwoorden af te vangen (sniffing) of via brute force alle denkbare combinaties gewoonweg te kraken. De toegenomen rekenkracht van computers speelt hackers wat dat betreft in de kaart.
De identiteit van een gebruiker beschermen met biometrie is daarom effectiever. In plaats van dat een gebruiker geverifieerd wordt aan de hand van een bewijsje als een onthouden wachtwoord, stelt biometrie met zekerheid vast dat het daadwerkelijk om de echte gebruiker gaat. Een vingerafdruk, gezichtsherkenning of irisscan horen tot de mogelijkheden, maar herkenning van een elektronische handtekening is hierbij net zo goed toepasbaar.
Digitale handtekening: schat aan forensische data
Een digitaal opgeslagen handtekening bevat namelijk vele kenmerken. Niet alleen is het lastig om precies de accenten van het schrift van een gebruiker na te bootsen, ook draagt iedere digitale handtekening unieke eigenschappen als de volgorde, snelheid en druk, of hoek waarin de pen gehouden wordt. Variaties in beweging kunnen ook worden geregistreerd als de pen niet tegen de pad aangehouden wordt, zodat een fraudeur ook op basis van deze ‘air time’ tegen de lamp kan lopen.
Digitale handtekeningen zijn in diverse sectoren toe te passen. Neem bijvoorbeeld verkopers die een handtekening van de klant nodig hebben voor een aankoop. Niet alleen wordt iemand die zich voordoet als de klant direct betrapt, ook hoeft de verkopende partij niets meer te printen, wat kosten en tijd bespaart en bovendien past in een beleid dat zich baseert op maatschappelijk verantwoord ondernemen.
PKI-certificering
Let er wel op dat de digitale handtekening beschikt over een geldig Public Key Infrastructure (PKI) certificaat. Via deze breed gedragen standaard wordt een elektronische handtekening beveiligd en rechtsgeldig, wat dus ook geldt voor documenten of andere inhoud waarvoor ondertekend wordt.
De digitale handtekening maakt ook dat partijen voor transacties en overeenkomsten, waarvoor nu nog een handgeschreven handtekening nodig is, niet elkaar fysiek hoeven te ontmoeten. Een procedure via de computer, smartphone of tablet maakt dat gerechtigde ondertekenaars niet hoeven te reizen om een overeenkomst bekrachtigd te zien. Dit scheelt flink in reis- en verblijfskosten.
Tweefactor is tijdelijk
Wachtwoorden zijn dood. Bedrijven die altijd hebben vertrouwd op slechts een tekenreeks om toegang te verschaffen of iets te verifiëren, zijn intussen bijna allemaal overgestapt naar tweefactor authenticatie (2FA), bijvoorbeeld door een SMS-code te sturen. Alleen in combinatie met 2FA én biometrie kunnen wachtwoorden veilig zijn, aangezien slimme cybercriminelen al over dual platform malware beschikken, die ook een verificatie-apparaat als een smartphone kan afluisteren.
Ontwikkelingen in hardware zorgen ervoor dat er mogelijkheden ontstaan om nog een stap verder te gaan die steeds laagdrempeliger worden. En dat is, gezien de wekelijks opduikende berichten over grote datalekken en hackeraanvallen, een ontwikkeling die positief stemt. In een online wereld waarin we niet altijd op ouderwetse credentials kunnen vertrouwen, is biometrie de sleutel naar een veilige toekomst.
Maar realisme is op zijn plaats. Tal van legacy websites zullen komende jaren blijven werken via wachtwoorden. Een praktische oplossing moet ervoor zorgen dat deze sites kunnen blijven werken, maar dan wel op een veiliger manier. Veilige security-architectuur zal ontworpen moeten worden rond de naam/wachtwoord structuur, daarbij wel gebruikmakend van oplossingen die van gebruikers vraagt biometrische oplossingen als de vingerafdruk, stem, iris, het gezicht of de handtekening toe te passen bij het aanpassen of toevoegen van gegevens of het doen van transacties. En dit zal op een manier moeten gebeuren die de gebruikservaring niet of nauwelijks aantast, zodat de gebruiker niet geneigd is workarounds te vinden.
Allerminst toekomstmuziek
Omdat oplossingen nu ruimschoots beschikbaar zijn, wil ik in 2016 niets meer lezen over IT-beheerders die gebruikers in platte tekst zonder encryptie wachtwoorden versturen, wachtwoorden die met meerdere gebruikers gedeeld worden, encryptie van databases zonder salting, enzovoorts. Hetzelfde geldt voor juridische afdelingen die blijven werken zonder een digitale handtekening met PKI-certificaat. Biometrie is minder futuristisch dan het misschien nog klinkt. De apparaten en besturingssystemen zijn er klaar voor.
Thomas Kaeb is Senior Sales Manager bij Wacom Europe