Appgate presenteerde de verschillende modellen van veilige authenticatie om de wijdverbreide diefstal van wachtwoorden te voorkomen. Hij presenteerde ook een tijdlijn van de evolutie van dit systeem.
Succesvol inloggen met een wachtwoord garandeert niet langer legitieme toegang tot een systeem en gevoelige accounts. Daarom legt Appgate, een bedrijf voor beveiligde toegang en wereldleider op het gebied van cyberbeveiliging, het belang uit van het implementeren van veilige authenticatie ter bescherming tegen digitale dreigingen.
Het aantal blootgestelde inloggegevens is sinds 2018 met 300% gestegen, en die groei heeft aangetoond dat gebruikerssleutels en wachtwoorden een ineffectieve methode zijn als veilige authenticatie. De overgrote meerderheid van de organisaties blijft echter op dit model vertrouwen.
Het eerste dat duidelijk moet zijn, is dat elke authenticatiefactor in een van de drie categorieën valt:
- Kennis: Deze categorie verwijst naar iets dat bekend is. Het eenvoudigste voorbeeld is het wachtwoord van een gebruiker. Omdat het echter gemakkelijk is om deze inloggegevens te manipuleren, is de kenniscategorie het minst effectief bij het implementeren van veilige authenticatie.
- Bezit: Dit heeft betrekking op iets dat eigendom is en wordt beschouwd als een sterke authenticatiecategorie omdat het moeilijker te manipuleren is. Dat de gebruiker fysiek iets bij zich moet hebben, voegt een uitdaging toe, maar blijkt nog geen waterdichte maatregel te zijn.
- Inherent: Dit is de sterkste authenticatiecategorie. Het is veel moeilijker voor fraudeurs om menselijke kenmerken te repliceren, dus deze inherente categorie wordt minder een doelwit voor cybercriminelen.
Elke authenticatiefactor heeft zijn voor- en nadelen. Hieronder geeft Appgate een overzicht van de evolutie van authenticatie.
- Het eerste wachtwoord: Het gebaseerde systeem is begin jaren zestig gemaakt bij MIT, wat betekent dat het wachtwoord meer dan vijf decennia oud is en zelfs toen nog niet veilig. Ondanks dat ze eenvoudig te installeren en kosteneffectief zijn, blijken ze een zwakke authenticatiefactor te zijn en gemakkelijk te kraken.
- Eind jaren tachtig werd er voor het eerst gepatenteerd op harde penningen: Ze gaven een eenmalig wachtwoord en toonden een willekeurig nummer dat periodiek veranderde. Hoewel de unieke numerieke code met de frequentie verandert en het moeilijk te manipuleren maakt, is het een verouderd systeem dat is vervangen door veel beter toegankelijke slimme apparaten.
- Apparaatherkenning: Cookies werden eind jaren negentig gemaakt en werden begin jaren 2000 gemeengoed. Ze waren het eerste voorbeeld van grootschalige apparaatherkenning. Deze technologie is geëvolueerd en verbeterd met verschillende methoden die voortdurend worden bijgewerkt, maar frauduleuze actoren kunnen op afstand toegang krijgen tot een apparaat met behulp van een Remote Access Trojan (RAT).
- sms: Deze werden begin jaren 2000 veel gebruikt en markeerden het begin van de distributie van wachtwoorden naar telefoons in het algemeen. Het is een eenvoudige manier om een veilig authenticatiesysteem te implementeren. Het blijkt echter onhandig te zijn voor gebruikers die hun apparaat zijn kwijtgeraakt of geen toegang meer hebben tot het geregistreerde telefoonnummer.
- Duwen: Blackberry was de eerste die pushmeldingen gebruikte, maar Google en Apple namen het in 2009 en 2010 mainstream. Deze factor presenteert een pop-upbericht op een mobiel apparaat waarmee de gebruiker een transactie of inlogpoging kan accepteren of weigeren. Het is een zeer veilige methode, aangezien het wordt afgedwongen op apparaatniveau, maar afhankelijk is van de gebruiker die toegang heeft tot het apparaat dat oorspronkelijk op het account is geregistreerd.
- Vingerafdrukbiometrie: Apple’s Touch ID maakte in 2013 de biometrie van vingerafdrukken populair. Deze methode vereist simpelweg de vingerafdruk van de geregistreerde gebruiker om zijn identiteit te bevestigen, waardoor het moeilijk wordt voor een fraudeur om deze te repliceren.
- QR-authenticatie: De WhatsApp-website lanceerde in 2015 QR-authenticatie. QR-codes bieden een veilige manier van authenticatie, waarbij elke gebruiker een unieke code krijgt. Het is een snelle, gemakkelijke en zeer veilige vorm van authenticatie, maar kan alleen worden gebruikt in out-of-band-processen.
- Gezichtsbiometrie: Apple’s Face ID was een van de eerste voorbeelden van gezichtsbiometrie om gebruikers te authenticeren. Nadelen zijn onder meer dat het afhankelijk is van de belichting en de hoek van het gezicht van de gebruiker en ook onderschept kan worden door een foto of video van de gebruiker.
Hoewel veel authenticatiemodellen een bepaald beschermingsniveau bieden, is geen enkel model op zichzelf effectief genoeg. Daarom is het belangrijk ervoor te zorgen dat organisaties veilige authenticatie implementeren met behulp van meerdere modellen binnen verschillende categorieën.