Authentificatie
Authenticatie is het proces waarbij iemand, via een computer of applicatie nagaat of een gebruiker, een andere computer of applicatie daadwerkelijk is wie hij beweert te zijn. Bij de authenticatie wordt gecontroleerd of een opgegeven bewijs van identiteit overeenkomt met echtheidskenmerken, bijvoorbeeld een in het systeem geregistreerd bewijs. De authenticiteit van het object moet worden nagegaan.
Authenticatie is de tweede stap in het toegangscontroleproces. De eerste stap in dit proces is identificatie, de derde en laatste stap is autorisatie.
Paspoort
Het belangrijkste bewijsstuk van identiteit is het paspoort. Dit wordt aan een individu afgegeven door een geautoriseerde ambtelijke instantie. Controlerende instanties (bijvoorbeeld de douane) controleren de echtheid van het bewijsstuk door te letten op echtheidskenmerken. Een paspoort is van grote waarde, vandaar dat op grote schaal wordt geprobeerd om paspoorten te stelen of te vervalsen.
Digitale wereld
In de digitale wereld kan het papieren paspoort in beginsel niet worden gebruikt voor authenticatiedoeleinden. Een papieren paspoort kan worden gebruikt om een digitaal paspoort (een certificaat) te verkrijgen. Een veelgebruikte methode voor authentisering op een digitaal netwerk is Kerberos.
Authenticatievormen
Er zijn verschillende vormen van authenticatie die eventueel gecombineerd kunnen worden om een hoger of lager niveau van beveiliging op te leveren. Daarbij zijn drie vormen van bewijs bruikbaar:
- iets wat je weet (kennis)
- iets wat je bezit
- iets wat je bent (persoonlijke eigenschap)
Kennis
Iets wat je weet is bijvoorbeeld een wachtwoord, een PINcode of een geheime zin. Het is de bedoeling dat dit bewijs geheim is, het mag niet uitlekken om diefstal van de identiteit tegen te gaan. Een beroemde geheime zin is "Sesam open U". Een hacker zal proberen de identiteit van iemand over te nemen door een wachtwoord te raden, te achterhalen m.b.v. bijv. een keylogger of te kraken. Om die reden wordt in professionele omgevingen dan ook het gebruik van complexe wachtwoorden afgedwongen, die periodiek gewijzigd moeten worden. Als het goed is, zal de kraaktijd van een wachtwoord langer moeten zijn dan de vervaltermijn.
Bezit
Dit betekent dat het bewijs van de identiteit wordt geleverd door het gebruikmaken van een fysiek herkenningsteken, dat door of namens het autoriserende systeem werd uitgereikt. Te denken valt aan een 'token' als een chipkaart (de smartcard), een USB-sleutel, of een TAN-code lijst. Hierbij wordt gebruik gemaakt van de challenge-response functie: Het autoriserende systeem stelt een vraag en degene die toegang vraagt, moet met behulp van het token een passend antwoord geven. Een voorbeeld is de TAN-code van de ING Bank: het systeem vraagt om een willekeurige code uit een lijst van honderd nummers op te geven.
Persoonlijke Eigenschap
Een uniek identificerend kenmerk van een persoon wordt opgeslagen in een authenticatiedatabase. Voorbeelden zijn: vingerafdruk, stem, iris, retinale vasculatuur of zelfs gezichtsherkenning.
Geautomatiseerde authenticatie
Computers en systemen maken gebruik van andere vormen van authenticatie. Voorbeeld van een procesauthenticatie is Kerberos. Ook kan gebruik worden gemaakt van een vorm van een Public Key Infrastructure (PKI), waarbij certificaten worden gebruikt. Bekende implementaties zijn 802.1X en SAML.
Bedreigingen en oplossingen
Aanvalstechnieken:Aanvallers maken gebruik van verschillende technieken om de identiteit van een gebruiker te stelen.
Wachtwoorden raden: proberen of een standaard wachtwoord wordt gebruikt, bijvoorbeeld 'geheim', 'admin'
Wachtwoorden kraken: het afluisteren van wachtwoorden die over het netwerk heengaan en vervolgens met speciale programmatuur van alle mogelijke combinaties van tekens controleren of het versleutelingsalgoritme een goede uitkomst geeft.
Wachtwoorden vragen: door middel van Social engineering iemand ertoe verleiden vertrouwelijke gegevens prijs te geven. De aanvaller doet bijvoorbeeld of hij een medewerker van een helpdesk is. Phishing is ook een vorm van social engineering.
Wachtwoorden afpersen: door middel van geweld of dreigementen iemand ertoe dwingen wachtwoorden prijs te geven. Dit wordt in het Engels wel aangeduid als rubber-hose cryptanalysis.
Tokens: kunnen worden gestolen. De aanvaller moet dan alleen de PIN-code nog weten. Die moet dan volgens de eerder genoemde technieken worden verkregen.
Biometrische kenmerken kunnen worden nagemaakt. Er zijn succesvolle aanvallen met nagemaakte vingerafdrukken nagebootst.
Wachtwoordbeveiliging
- Het periodiek wijzigen van wachtwoorden kan worden afgedwongen;
- Elk nieuw opgegeven wachtwoord wordt gecontroleerd op complexiteit voordat het wordt vastgelegd;
- Wachtwoorden worden versleuteld opgeslagen en over het netwerk getransporteerd.
Multifactor authenticatie
Om de betrouwbaarheid van de authenticatie te vergroten, wordt authenticatie afgedwongen door toepassing van multifactor authenticatie. Daarbij worden minimaal twee van de bovenstaande technieken gelijktijdig toegepast. Te denken valt aan het gebruik van een token met een PINcode. Een aanvaller dient nu niet alleen het kenniskenmerk te kraken, maar ook het token te bezitten.
Autorisatie
Na de authenticatie vindt autorisatie plaats om na te gaan welke toegangsrechten de geauthenticeerde gebruiker, computer of applicatie heeft.
Zie ook
- Kerberos als authenticatieprotocol.
- Authenticatie gebaseerd op een geheime gedeelde sleutel als authenticatieprotocol.
- Toegangscontrole