Onze smartphone gebruiken we voor heel veel verschillende dingen. Het geeft toegang tot privé informatie (bankzaken), maar ook toegang tot bedrijfsgevoelige informatie. Er zijn verschillende manieren om de informatie op de smartphone te beveiligen. In alle gevallen begint dit met identificatie en authenticatie. In dit artikel willen we verder ingaan op dit proces en op de ontwikkelingen rondom de beveiliging van smartphones.
In onze wereld maken we steeds meer gebruik van digitale diensten. Niet alleen ons werk gebeurt steeds meer met behulp van beeldschermen en elektronische communicatie, ook het contact met de overheid gaat steeds vaker digitaal en zelfs de boodschappen kun je via apps regelen. In alle gevallen is het belangrijk dat jij bent wie je zegt dat je bent, zodat niet iemand anders bij belangrijke gegevens kan komen of in jouw naam iets kan bestellen. Criminelen zijn steeds meer verschoven naar online activiteiten en goede bescherming is cruciaal. Authenticatie speelt daar een grote rol in.
Vroeger werden wachtwoorden gebruikt om je te authentiseren, vooral in oorlogssituaties is het belangrijk om te zien of je met een vriend of ‘n vijand te maken hebt. Tijdens de Amerikaanse burgeroorlog is een belangrijke generaal aan zijn einde gekomen omdat hij bij een wachtpost zich niet tijdig kon authentiseren. In ons dagelijks leven maken we heel vaak gebruik van identificatie processen: als we met de trein gaan, onze auto willen openmaken met de afstandsbediening, als we onze smartphone opstarten, als we een pas gebruiken om het bedrijfspand binnen te komen: overal is onze identiteit belangrijk.
Authenticatieproces
Eigenlijk bestaat het authenticatieproces uit drie stappen. Hier is een voorbeeld van het proces om een gebouw binnen te komen:
1. IIdentificatie: Hallo, ik ben (vul je eigen naam in) – een bepaald persoon
2. Authenticatie: Ik bewijs dat ik die persoon ben door middel van een geldige pas
3. Autorisatie: Ik krijg toegang tot het gebouw
Autorisatie gaat over rechten, bijvoorbeeld over welke delen je toegang hebt. Een normale medewerker mag typisch niet in de IT ruimtes, een ICT medewerker mag dit wel.
Authenticatie gebeurd meestal op basis van 3 verschillende zaken:
1. Iets dat je hebt (paspoort, beveilingsdongle, ABN AMRO e.dentifier, TAN codes, Rabo Scanner, beveiligingsapps)
2. Iets dat je iets weet (pincode, wachtwoord)
3. Iets dat jij fysiek bent (biometrische zaken als vingerafdruk, irisscan of gezichtsscan)
Smartphone authenticatie
Authenticatie en beveiliging van Smartphones heeft de afgelopen jaren ook veel veranderingen meegemaakt. De eerste mobiele telefoons hadden allemaal een pincode voor de sim kaart en eventueel een pincode voor het toestel. De pincode had je nodig als je het toestel aan zette. Een pincode als schermbeveiliging was niet zo gebruikelijk, want dat was alleen maar lastig.
In de afgelopen jaren is schermbeveiliging veel normaler geworden, juist omdat we onze toestellen voor allerlei diensten gebruiken. Het gebruik van een ‘swipe’ patroon maakte de pincode makkelijker in gebruik. Maar een pincode of ‘swipe’ is niet altijd even handig, vooral niet in publieke ruimtes. Als je vlak bij iemand staat, is het niet zo moeilijk om zijn ‘swipe’ patroon of pincode te zien. Gelukkig zijn er nu alternatieven met fysieke authenticatie.
Fysieke authenticatie
Er zijn verschillende manieren van fysieke identificatie en authenticatie: vingerafdruk, irisscan, gezichtsherkenning, spraakpatroon, hartslag, DNA…zelfs je manier van lopen is uniek.
Toen organisaties schermbeveiliging verplicht maakten, maakte Apple het ook verplicht om een pincode te gebruiken voor de Apple-ID, zodat gebruikers wel moesten. In die tijd kwam de vingerafdruk als alternatief voor de pincode. Gelukkig was de vingerafdruk scanner eenvoudig in gebruik en werkte bijvoorbeeld samen met de homeknop. Op andere toestellen zit de vingerscanner aan de achterkant. Bij sommige nieuwe toestellen zit de vingerscanner nu onder het scherm verstopt (zie foto Huawei Mate 20 Pro). Het toestel ontsluiten met je vingerafdruk is meestal heel natuurlijk en werkt tegelijk ook heel snel. De belangrijke aspecten van je vingerafdruk worden als code in een beveiligde chip opgeslagen. Zelfs als je die chip kan hacken, kun je nooit de vingerafdruk terugvinden.
Een paar jaar geleden werd er druk gewerkt aan identificatie op basis van je iris. Bij een device moest je het toestel op 20-25 cm van je gezicht houden, zodat de irisscanner je goed kon scannen. Een infrarode led, vergelijkbaar met een afstandsbediening, belicht je oog, waarna de iriscamera het patroon van je bloedbanen kan herkennen. De handeling van het richten en scannen neemt al snel een paar seconden in beslag. Omdat dit proces omslachtiger is dan moderne vingerafdruk scanners of gezichtsherkenning, is het momenteel niet veel in gebruik op smartphones.
Sinds een paar jaar is gezichtsherkenning de norm op de duurdere smartphones. Een paar fabrikanten heeft de vingerscanner zelfs vervangen door gezichtsherkenning, om het scherm groter te kunnen maken en de homeknop te verwijderen. Door lief te lachen naar je smartphone, werkt hij (of is het een zij?) meestal mee. Het toestel moet hiervoor op ongeveer 50 cm van je gezicht worden gehouden, wat een normale afstand is bij gebruik. In een autohouder is het soms minder makkelijk dan een vingerafdruk, ook omdat je bewust naar het toestel moet kijken. Gezichtsherkenning werkt bij de beste systemen door meerder camera’s te gebruiken, inclusief bijvoorbeeld een infrarode camera die temperatuur opneemt.
De overige fysieke authenticatie methoden zoals spraakpatroon, hartslag, DNA of manier van lopen zijn voor smartphones niet eenvoudig uit te voeren. Alleen voor toegang tot extreem beveiligde systemen (zoals in de film Mission: Impossible – Rogue Nation) worden dit soort zaken toegepast.
Hoe veilig is fysieke authenticatie?
Er zijn een aantal problemen met fysieke authenticatie. Het eerste probleem is dat je je biometrische eigenschappen niet kunt aanpassen als die gehackt zijn. Er zijn manieren om iemands vingerafdruk te kopiëren, op het internet is daar genoeg over te vinden. Het is niet eenvoudig en kost wat tijd, maar is zeker niet onmogelijk. Het tweede probleem is dat je geen volledige controle hebt over de toegang tot je fysieke eigenschappen. Als je ergens een glas met je vingerafdruk hebt achtergelaten, heb je geen controle over wat daarmee gebeurt.
Daarnaast is het mogelijk om systemen voor de gek te houden. Een aantal maanden geleden is de veiligheid van een smartphone met gezichtsherkenning getest. Er is een nauwkeurige 3d-kopie van het hoofd van een redacteur van Forbes gemaakt, waarna dit gebruikt is om verschillende Android telefoons en een Apple iPhone X te ontsluiten (zie foto). Afhankelijk van het licht lukte het bijna altijd om de Android toestellen om te tuin te leiden. Alleen de iPhone X liet zich niet voor de gek houden. Fabrikanten blijven continue de technieken verder ontwikkelen, maar men geeft meestal ook aan dat de veiligheid van biometrische authenticatie niet 100 procent waterdicht is.
De conclusie is wel dat je biometrische gegevens niet veilig zijn voor partijen met genoeg tijd, geld en motivatie. Het wordt daarom geadviseerd om fysieke authenticatie altijd samen met een pincode of wachtwoord te gebruiken.
Combinatie van authenticatie methoden
Het combineren van verschillende vormen van authenticatie wordt daarom als veiliger gezien. Dat wordt ook MFA – Multi Factor Authenticatie genoemd. Bijvoorbeeld voor het doen van bankzaken is tegenwoordig een mobiele app in combinatie met een pincode gebruikelijk, dus iets dat je hebt in combinatie met iets dat je weet. Op de achtergrond kan het ook nog zijn dat je IP adres of geografische locatie wordt gecheckt, om te voorkomen dat iemand uit een ander werelddeel bij je rekening kan.
Bij grote bedrijven wordt vaak gebruik gemaakt van een token of een app die een unieke veiligheidscode geeft voordat je kan inloggen op systemen. Soms krijg je ook een code via SMS die je moet invullen. Ook hier is het een combinatie van iets dat je weet (wachtwoord) met iets dat je hebt (veiligheidscode).
De meeste smartphone fabrikanten maken ook gebruik van meerdere authenticatie vormen. Bij het opstarten moet je altijd een pincode invoeren, daarna wordt het mogelijk om ontgrendeling met je vingerafdruk of met gezichtsherkenning te doen.
Bedrijven kunnen toestellen ook met behulp van device management of UEM (Unified Endpoint Management) bepaalde vormen van authenticatie laten forceren. Bijvoorbeeld voor het gebruik van zakelijke email op de smartphone is bij sommige organisaties een 6-cijferige pincode verplicht. Of bij het gebruik van Skype moet elke keer met gebruikersnaam en wachtwoord worden ingelogd. Vooral in combinatie met de verplichtte lange wachtwoorden is dit soms onpraktisch.
Conclusie
Veiligheid en goede authenticatie zijn cruciaal in onze digitale wereld en bij het veilig gebruik van smartphones. Maar veiligheid en gebruiksgemak staan regelmatig op gespannen voet: als iets heel veilig is, maar lastig is voor de eindgebruiker, dan wordt het niet geaccepteerd. Daarnaast is de wereld van smartphonebeveiliging nog volop in beweging.
De les die in ieder geval is te trekken: betrek gebruikers bij de implementatie van nieuwe security maatregelen op mobiele devices, zodat er een goede balans blijft tussen veiligheid en gebruiksgemak!
Over de auteur
Eildert van Dijken is tijdens zijn studie al begonnen met (mobiele) telecom, iets wat in 1992 nog lang niet gebruikelijk was. Direct na zijn studie is hij bij Ericsson begonnen, waar via interessante projecten voor KPN en Telfort de stap is gemaakt naar training. Als trainer heeft hij alle aspecten van GSM, GPRS, UMTS en de toepassing daarvan aan technici en managers mogen uitleggen. Als account manager Enterprise heeft hij overheden, zorginstellingen en de industrie bezocht om Ericsson producten en diensten te verkopen. De veranderende markt en technologie stap naar VoIP hebben hem daarbij beziggehouden. Na bijna 12 jaar Ericsson, heeft hij de overstap gemaakt naar Comsys Telecom & Media, een bedrijf dat al 25 jaar gespecialiseerd is in telecom diensten.
Sinds 2010 is hij bij Strict actief in Business Development, met als speerpunten mobiliteit, Het Nieuwe Werken, indoor radiodekking en de integratie van communicatie technologie met bedrijfsprocessen. De ontwikkelingen rondom IoT, LTE, 5G en WiFi volgt hij van dichtbij. Vanuit zijn brede kennis van technologie en marktbewegingen beoordeelt hij nieuwe ontwikkelingen!