Skip to content

Gedrags- en biometrische authenticatie gaan wachtwoorden sneller verdringen dan u denkt

Voor er ‘preppers’ waren, stonden er mensen met borden op de straathoeken, in voetbalstadions, en in feite overal waar grote menigten bijeenkwamen, om stoutmoedig te verkondigen: ‘Het einde is nabij’.

Vandaag voorspellen experts (en anderen) in de beveiligingsindustrie een soortgelijke boodschap: dat het einde van statische wachtwoorden nabij is. Niet echt een verrassing, want wachtwoorden moeten weg, en wel hierom:

  • Ze zijn statisch
  • Ze zijn makkelijk te hacken/stelen
  • Ze zijn moeilijk te onthouden
  • Ze worden vaak hergebruikt voor verschillende websites, wat de impact van inbreuken verhoogt.

Als wachtwoorden gaan verdwijnen, is het logisch dat de vraag rijst wat ervoor in de plaats komt. In het kort: beveiligingstechnologie die maximaal gebruiksgemak garandeert en, voor wat deze discussie betreft, gedragsauthenticatie.

Algemeen gesproken maakt biometrische authenticatie gebruik van technologieën zoals scans van vingerafdrukken, stemherkenning en selfie-authenticatie om de toepassingen en diensten van een bedrijf te beveiligen. Met andere woorden: biometrie gebruikt fysische en gedragsmatige aspecten van elk individu als de basis voor een veilige authenticatie.

In de gezondheidszorg zijn providers van het Amerikaanse Novant Health Network op die manier in staat om bij inschrijving de biometrische gegevens van een patiënt (zoals vingerafdrukken, irisherkenning, aders – in de vingers of handpalm – en gezicht) aan zijn of haar medische dossier te koppelen om een unieke signatuur te creëren die later gebruikt kan worden om het medische dossier snel op te roepen. En voordat u het belang van dit soort technologie gaat bagatelliseren: de Biometrics Research Group voorspelt dat dergelijke technologieën voor de biometriesector tegen 2018 meer dan 9 miljard dollar aan inkomsten zullen gaan opleveren.

Ook analisten besteden de nodige aandacht aan deze evolutie. Zo publiceerde de Mercator Advisory Group, wereldwijd een vertrouwde adviseur voor de betalings- en banksector, onlangs een rapport onder de titel “Biometrie: een nieuwe slimme methode die de scene voor authenticatie verandert”, waarin de noodzaak voor software-gebaseerde oplossingen zoals multimodale biometrische authenticatie gesuggereerd wordt om zowel innovatie als veiligheid te stimuleren.

Mercator stelt verder dat na verloop van tijd het concept van “permanente identiteit” het voortouw zal nemen. Daarbij gaat authenticatie niet langer uit van één enkele gebeurtenis, zoals het scannen van een vingerafdruk, maar evolueert naar een passieve “vertrouwenswaarde” die uniek bij een individu behoort. Deze vertrouwenswaarde zal voortdurend bijgewerkt worden op basis van factoren zoals locatie, geluid, gezichtsherkenning en in aanzienlijke mate, “input op basis van iemands gedrag”. Met al deze gegevens lijkt het waarschijnlijk dat in een eerste fase van deze evolutie wachtwoorden naast biometrie gebruikt zullen worden voor het verhogen van de veiligheid bij risicovolle transacties.

Maar wat is input op basis van gedrag eigenlijk?

Eenvoudig gezegd: het is de manier waarop u met het apparaat omgaat; hoe u het vasthoudt en uw muis gebruikt, hoe u de toetsen indrukt, hoe snel u van regel tot regel of van pagina naar pagina gaat. Deze acties, geanalyseerd en bestudeerd, worden gebruikt om via algoritmes een uniek patroon van elke gebruiker vast te stellen dat dan gaat bepalen of het wel dezelfde gebruiker is die om toegang vraagt, of dat er mogelijke fraude dreigt (behavioral authentication, of gedragsauthenticatie). Wanneer het gedrag van de gebruiker (of machine) bij het aanmelden niet overeenkomt met het model van de normale gebruiker, dan kan de technologie het authenticatieniveau verhogen, door bijvoorbeeld een extra laag van biometrische authenticatie in te lassen of een beveiligingsvraag te stellen.

Op dit moment denkt u waarschijnlijk dat het op papier allemaal goed klinkt, maar vraagt u zich af hoe dat nu in de praktijk zit. Zijn er bijvoorbeeld banken die vandaag al gebruikmaken van dit soort spitstechnologieën? Hoewel VASCO nieuw is op deze markt, via een partnership met BehavioSec, is het antwoord … ja!

  • Een groot filiaal van een Britse bank heeft machine-learning software geïntegreerd in hun mobiele app en online-bankingwebsite, om de het online en mobiele gedrag van 500 van haar klanten te controleren en vast te leggen. Dit omvat letterlijk alles, van de hoek waaronder een gebruiker zijn mobiele telefoon vasthoudt tot hoeveel druk de klant gebruikt als hij op het scherm tikt en zelfs de cadans van de toetsaanslagen. Al deze gegevens worden verzameld om een uniek biometrisch profiel voor elke klant op te stellen. Dit profiel wordt dan met het werkelijke gedrag vergeleken telkens als de gebruiker zich aanmeldt bij een app of op de online website van de bank.
  • Een dochteronderneming van een bank in het Midden-Oosten heeft eveneens een geïntegreerde mobiele identiteitscontrole geïntroduceerd op basis van gedragsbiometrie. De gekozen technologie controleert continu alle in-app-activiteiten op basis van een uniek persoonlijk gebruikersprofiel binnen het mobiele apparaat. Dit omvat zaken zoals de grootte van de vinger en de uitgeoefende druk en het contactgebied, waardoor de bank in real-time vast kan stellen of degene die de app gebruikt wel degelijk de kaarthouder is. De bank suggereert dat passieve vormen van biometrie, zoals gedragsauthenticatie, voor hen aantrekkelijk zijn omdat ze veel natuurlijker, naadlozer en veel minder ingrijpend zijn voor de gebruikers dan zaken als gezichtsherkenning en irisscans, die meestal vereisen dat men stopt en een behaalde handeling uitvoert.

Samengevat denken velen dat de dood van het wachtwoord heel binnenkort, zelfs al in 2017, werkelijkheid zal worden. Dat wordt ondersteund door een interessant nieuwsbericht uit 2004, waarin Bill Gates de ondergang van het traditionele wachtwoord voorspelde. Toch zal de pragmatische ontwikkeling van het wachtwoord voorlopig een aanvulling blijven op een meer gelaagde beveiligingsaanpak, die biometrie en andere contextuele gegevens samen zal gebruiken. Vanaf dit punt echter kunt u de dagen aftellen tot het moment waarop het wachtwoord officieel aan de kant wordt geschoven.

David Vergara, VASCO Data Security

email

No comments yet

Leave a Reply

You may use basic HTML in your comments. Your email address will not be published.

Subscribe to this comment feed via RSS