Veilig en gemakkelijk inloggen met tiqr

door Martijn Vet
Met de nieuwe applicatie tiqr is inloggen gemakkelijker en veiliger dan met gebruikersnaam en wachtwoord. De gratis app is ontwikkeld door Surfnet met open standaarden.

[Onderstaand artikel komt uit Surf Magazine. Hier kunt u een gratis abonnement op nemen.]

Veruit de meeste internetgebruikers identificeren zich op websites met een gebruikersnaam en wachtwoord. Ook in de authenticatie- en autorisatiedienst Surffederatie wordt dit bij verreweg de meeste instellingen gebruikt. Naast het feit dat het onthouden van een of meer wachtwoorden lastig is, is in sommige gevallen een sterkere vorm van authenticatie wenselijk, bijvoorbeeld bij toegang tot gevoelige gegevens. Ook wie veel op reis is, wil zijn naam en wachtwoord niet zomaar op vreemde computers invoeren.

Met betrekking tot Surffederatie speelt bovendien dat de identiteit van een gebruiker steeds belangrijker wordt, omdat deze toegang verschaft tot steeds meer verschillende diensten. Dat maakt het voor criminelen aantrekkelijker om deze gegevens te stelen.

Moderne smartphone

Na een aantal experimenten heeft Surfnet een methode bedacht om veiliger en gemakkelijker in te loggen op internetsites. Om de applicatie tiqr te gebruiken, is alleen een moderne smartphone nodig. Bij tiqr hoeft er geen beveiliging op de Simkaart zelf gerealiseerd te worden.

Uit eerdere experimenten van Surfnet bleek dit lastig, omdat de mobiele operators eigenaar zijn van de Simkaart. tiqr is een app die optimaal gebruikmaakt van de mogelijkheden van een moderne mobiele telefoon: een camera, een internetverbinding en de mogelijkheid applicaties te installeren.

QR-code

Om bij een site in te loggen, start een gebruiker de tiqr-app en scant hij een QR-code (een tweedimensionale streepjescode) die zich op de site bevindt. De app vraagt vervolgens om bevestiging om in te loggen, waarna de gebruiker zijn PIN-code typt en is ingelogd. De beveiliging van tiqr vindt op twee niveaus plaats: op de mobiele telefoon en in de vorm van informatie die alleen de gebruiker weet.

Wat betreft het veiligheidsniveau zit tiqr tussen het aanmelden met naam en wachtwoord en een hardware token in. Die laatste oplossing, vooral door banken gebruikt, is het meest veilig, maar in de praktijk lastig te realiseren voor zo veel verschillende platformen en websites als er binnen de Surffederatie zijn.

Tiqr heeft een recente security audit in opdracht van Surfnet goed doorstaan. Op basis van ervaringen in een nog te houden interne pilot, besluit Surfnet later dit jaar of tiqr gebruikt zal worden als toegangmiddel voor haar bestaande diensten. Inmiddels is de tiqr-applicatie voor de iPhone en voor Android verkrijgbaar. Later zullen waarschijnlijk een versie voor de Blackberry en voor Windows Mobile 7 volgen.
 

Netkwesties forum

Netkwesties en de bezoekers stellen je mening op prijs. Deze wordt hier direct gepubliceerd.
Roland van Rijswijk
7 sep 2011
Hierbij even een reactie op het stuk van Rob Buddingh hierboven.

Het is niet onze bedoeling om de markt te "bestieren". We hebben een nieuw middel ontwikkeld dat wij zien als een toevoeging aan het scala aan authenticatieoplossingen dat al op de markt bestaat (zoals Rob al opmerkt). Omdat open innovatie onderdeel is van onze missie delen wij dit middel gratis en als open source.

Wij zijn er van overtuigd dat mobiele devices een belangrijk middel zijn om 2-factor authenticatie beschikbaar te maken voor een breder publiek. Wij hebben vaak te maken met heterogene gebruikerspopulaties met studenten, medewerkers en onderzoekers wat het voor ons lastig maakt om "traditionele" 2-factor systemen in te zetten omdat de uitrol daarvan heel complex wordt. We zien tiqr als een van de mogelijke middelen die we kunnen gebruiken om dit te verbeteren doordat we gebruik kunnen maken van iets dat veel mensen inmiddels hebben (Nederland heeft een van de hoogste smart phone marktaandelen ter wereld). We zijn ons er terdege van bewust dat we er met tiqr alleen niet komen, maar dat is ook niet ons doel.

Ons inziens biedt tiqr een aantal voordelen ten opzichte van "traditionele" oplossingen:

- De gebruiker heeft meer controle over het systeem
- Het is eenvoudiger in gebruik dan bv. overtikken van codes
- Het is makkelijk te integreren voor eigen systemen omdat het in open source beschikbaar is

Uiteraard zijn er ook nadelen. tiqr is niet zo veilig als een echte hardware oplossing. Maar dat kun je ook zeggen voor de hele stortvloed aan OTP Apps die "traditionele" leveranciers inmiddels aanbieden.

Verder geeft Rob aan dat mobiele operators bezig zouden zijn om oplossingen te gaan bieden voor authenticatie. Wij hebben in deze markt echter de afgelopen jaren weinig beweging gezien. Dat is jammer want - zoals je terecht opmerkt - de SIM is een ideaal middel hiervoor, zowel uit beveiligingsperspectief als uit interoperabiliteitsperspectief. Ik zie hier op korte termijn niet veel gebeuren, zeker niet in Nederland.

Wat betreft QR codes: ik ben het met Rob eens dat QR codes voor URLs te pas en te onpas worden gebruikt zonder dat er nagedacht lijkt te zijn of dat handig of nuttig is. Dat zou je met recht een hype kunnen noemen. En beeldherkenning is misschien al veel verder dan in de blog van Danny Valize aangenomen wordt; de Rabobank App kan al de cijfercodes onderop een acceptgiro lezen en zo automatisch de juiste informatie overnemen voor een betaling. En misschien geld voor tiqr ook wel dat we op termijn een alternatief voor QR codes moeten inzetten en misschien ook niet; de kracht van tiqr zit niet zo zeer in de QR code maar in het feit dat het versturen van de challenge via een apart kanaal gaat, namelijk een beeld dat wordt genomen met de camera van de smart phone.

Tot slot krijg ik de indruk dat Rob tiqr benadert als een oplossing die volledig af is; dat is echter maar ten dele waar. De mobiele applicaties zijn inderdaad volledig af en op veiligheid gecontroleerd; voor het backend moet tiqr echter geintegreerd worden met het systeem waarvoor je het wilt gebruiken. Wij bieden uiteraard referentieimplementaties aan maar het is aan eenieder om te overwegen of zij tiqr willen integreren in hun product. Aangezien het in open source beschikbaar is is dat ook mogelijk. Zelf zijn wij nu bezig om een hechte integratie met een SAML systeem te realiseren; in onze doelgroep wordt dit protocol gebruikt in de identiteitsfederatie dus het ligt voor de hand dat wij die koppeling maken.
Rob Buddingh'
6 sep 2011
Opvallend dat Surfnet ook hier boven komt drijven met deze oplossing.

Ik kwam onlangs in aanraking met deze authenticatie oplossing bij een (potentiële) klant. Surfnet is flink de markt aan het bestieren met deze oplossing en dan voornamelijk bestieren in de marketing zin van het woord.
Technisch gaat deze oplossing in veel gevallen mank.

Er zijn problemen met het "lezen" van de code op (ouderwetse) bolle beeldbuizen.
Niet alle os-en van mobiele telefoons worden ondersteund.
Veel mensen hebben geen mobiele telefoon, hoe moeten die dan authenticeren?
Niet iedereen wil een mobiele telefoon gebruiken om te authenticeren.
Wat kan je beveiligen?..Radius ondersteuning niet aanwezig (naar mijn informatie), alleen SAML2.0 (dit geeft beperkingen in hetgeen je wilt beveiligen)
Zijn er agents beschikbaar voor applicaties of domeinen die je wilt beveiligen die geen radius of SAML2.0 “praten”?

Daarbij is het zeer technisch in de benadering, hoe makkelijk is dit te managen. Hoe goed zit de middleware in elkaar? welke functionaliteiten biedt die? hoe is de integratie met (meerdere en/of verschillende) directories?

Hoe is support ingeregeld, wat is de focus van Surfnet op authenticatie en hoeveel focus heeft Surfnet op de ontwikkeling van dit product in de (nabije) toekomst?

Voor de doelgroep die iets meer nodig heeft dan username/password maar waarvoor sterke authenticatie (2FA) wellicht te duur of te lastig te beheren is (tokens) bied het een aardige oplossing maar maar wat dan voor de gebruikers groepen binnen de instelling die wel 2FA nodig hebben? Die moeten dan uitwijken naar een alternatieve oplossing die dit wel biedt? 2 omgevingen in beheer nemen dan maar?
(bijvoorbeeld leerlingen de ticr oplossing en leraren een alternatief product?)

Er zijn alternatieve fabrikanten die een volledig scala aan oplossingen hebben die de lading dekken, tokens en tokenless oplossingen geschikt voor verschillende gebruikers groepen en te managen met 1 centrale oplossing.

Mobiele operators zijn idd eigenaar van de SIM kaart, maar denk niet dat deze operators stil zitten om authenticatie oplossingen te bieden voor alle gebruikersgroepen. En dit doen ze niet met zelf verzonnen oplossingen, ze maken gebruik van fabrikanten die ze "embedden" in hun sim kaart. Generiek, schaalbaar, en betaalbaar.

En misschien bestaan TICR applicaties binnenkort niet meer, lees deze blog van Danny Valize maar eens met een heldere kijk hierop:
http://dannyvalize.blogspot.com/2011/08/van-die-leuke-blokjes-die-je-kunt.html

Is het toekomst vast wat surfnet hier bied? Dekt het de lading voor de vraag binnen het bedrijfsleven of onderwijs instelling. Ik denk van niet.

Met vriendelijke groet,
-Rob Buddingh’
Cryptocard Benelux



Actuele dossiers

Alle dossiers

Registreren en de nieuwsbrief ontvangen?

We gaan zorgvuldig met je gegevens om. Je krijgt ook gelijk toegang tot alle plusartikelen en je kunt reageren op de artikelen.

asdas sdf fs dfsdfsf sdffsd
Preview bekijken?
Netkwesties
Netkwesties is een webuitgave over internet, ict, media en samenleving met achtergrondartikelen, beschouwingen, columns en commentaren van een panel van deskundigen.
 

Meestgelezen

Forum

Netkwesties © 1999/2023. Alle rechten voorbehouden. Privacyverklaring

Ehio Media content marketing
1
0
1