Privacy - Wat niemand over je mag weten

Tweestaps verificatie zonder mobiele telefoon

17-07-2014, 22:11 door Anoniem, 16 reacties
De meeste vormen van tweestaps verificatie maken gebruik van een mobiele telefoon. Dat is onveilig omdat het mobiele nummer een persoonsgegeven is geworden, vergelijkbaar met het BSN.
Weet iemand of hier alternatieven voor zijn?
Reacties (16)
18-07-2014, 01:07 door Anoniem
Tweestaps verificatie is veiliger omdat er een extra controle wordt gedaan of jij het echt bent, het idee is dat jij de eigenaar van die telefoon bent en dus de enige bent die (op dat moment) die sms kan lezen en de extra code kan weten. Het gaat er dus inderdaad om dat iets wat uniek voor jouw is wordt gebruikt. De vraag is of de betreffende site jouw nummer ook blijvend opslaat en ik denk dat het risico wat jij ziet is dat jouw nummer dan zou kunnen lekken als die site wordt gehacked? Maar welke methode je ook kiest, het zal om goed te kunnen werken altijd nog steeds iets unieks van jouw moeten zijn. Een ander voorbeeld is je huisadres, dat ze daar per post een code naartoe sturen, digid maakte daar ook gebruik van, het was geen onverdeeld succes.
18-07-2014, 01:15 door [Account Verwijderd]
2 staps verificatie draait om "kennis en bezit".. Meestal een wachtwoord, en bv een digipass om te telebankieren, of bv gebruikerscode, pincode en token code van een token die je in je bezit hebt en elke 10 seconden een nieuwe code genereert.

Deze tweede is (als je het zelf wilt implementeren) een betaalde service; je legt een database aan met tokens, koppelt deze aan een persoon en (in ons geval) betaal je behoorlijk voor het "onderhoud" , of per gebruiker een jaarlijks bedrag.

Wij gebruiken Vasco, maar er zijn er natuurlijk meer.

Een andere optie is fingerprints; ook dat is kennis (wachtwoord) en bezit (vinger) .

Ook zijn er toetsenborden met een ingebouwde kaartlezer; trek je de kaart eruit gaat de computer op slot (dit werd geïmplementeerd op het moment dat ik wegging bij de *****bank, geen idee of het werkelijkheid is geworden).

Het hangt helemaal af wat je precies wilt; is het persoonlijk, voor een bedrijf? Als het voor een bedrijf is, laat je dan adviseren door een deskundige !
18-07-2014, 01:17 door Anoniem
Banken zoals ABN AMRO (e.dentifier) en Rabobank (Random Reader) hebben daar een apart apparaatje voor. En misschien kun je ook eenmalige codes per post versturen. (Bijvoorbeeld een papieren lijst met codes die allemaal maar één keer gebruikt kunnen worden.
18-07-2014, 09:00 door Anoniem
Door NedFox:
Deze tweede is (als je het zelf wilt implementeren) een betaalde service; je legt een database aan met tokens, koppelt deze aan een persoon en (in ons geval) betaal je behoorlijk voor het "onderhoud" , of per gebruiker een jaarlijks bedrag.

Wij gebruiken Vasco, maar er zijn er natuurlijk meer.

Ja dat is een beetje het probleem met Vasco. Wij gebruiken dat ook maar ik heb gemerkt dat de hoge eenmalige en
behoorlijk hoge jaarlijkse kosten een (al dan niet terechte) drempel vormen bij het uitreiken van de tokens.
Er is toch altijd weer die afweging "gaan we deze persoon een token geven of moet ie maar gewoon 1-factor werken".

Ik denk dat het achteraf een slechte keuze was. Er zijn veel goedkopere tokens die bovendien geen dure software
(zowel in aanschaf als "onderhoud") vereisen. Daar ben je overall beter mee af denk ik, want dan kun je gewoon iedereen
zo'n token geven en het ook gebruiken voor login op werkstations binnen het bedrijf, toegang tot de webmail, e.d.

Maar inderdaad, deze tokens zijn een prima oplossing om 2-factor in te loggen en het mobiele nummer heb je er helemaal
niet bij nodig (ook niet als de token als app op de telefoon geinstalleerd wordt). Er is geen communicatie via het
mobiele netwerk, dus ook niet de daarvoor benodigde infrastructuur en kosten.
18-07-2014, 09:21 door Anoniem
Ik ben toch wel even heel benieuwd wat je bedoeld met:
"Dat is onveilig omdat het mobiele nummer een persoonsgegeven is geworden"

Waarom zou dat onveilig zijn? En waarom zou het deze vorm van authenticatie onveiliger maken?
18-07-2014, 15:06 door Briolet - Bijgewerkt: 18-07-2014, 15:09
Door Anoniem:Dat is onveilig omdat het mobiele nummer een persoonsgegeven is geworden,

??? die snap ik helemaal niet. Het doel van 2-traps verificatie is om te dubbel-checken dat je met de juiste persoon communiceert. Als dan je mobiel 'een persoon' is geworden, dan heb je toch juist meer zekerheid dat je de code naar de goede persoon stuurt!

Overigens zie ik zo gauw geen alternatieve 'onafhankelijke' lijn met de gebruiker. Het enige alternatief is de post. Dat wordt nu ook wel gebruikt, maar snel is anders.
21-07-2014, 12:15 door Anoniem
Koop anders een aparte prepaid foon, zodat het niet meer persoonsgebonden is in de vorm die jij bedoelt.
21-07-2014, 12:17 door Anoniem
Nog even toevoegend aan voorgaande wat ik poste:

Overigens bedoelt de topic starter niet zo zeer dat de authenticatie minder veilig is, maar meer dat je je persoonlijke nummer moet delen met een derde partij. Zou ik ook niet willen.
21-07-2014, 15:14 door Anoniem
1 factor authenticatie: iets wat je weet (wachtwoord)
2 factor authenticatie: iets wat je weet, (wachtwoord) en iets wat je hebt (token, telefoon)
3 factor authenticatie: iets wat je weet, (wachtwoord) en iets wat je hebt (token, telefoon), en iets wat je bent (vingerafdruk, irisscan, dna profiel)
21-07-2014, 18:56 door Anoniem
4 factor authenticatie: iets wat je weet, (wachtwoord) en iets wat je hebt (token, telefoon), en iets wat je bent (vingerafdruk, irisscan, dna profiel), daar waar je bent (locatie)

Locatie is al toegepast bij b.v. gmail en Facebook.
21-07-2014, 23:17 door Anoniem
Meerfactor authenticatie is vervelend als je er persoonsgegevens zoals mobiel nummer, vingerafdruk, enz. voor moet gebruiken. Zo'n token lijkt me prettiger. Misschien dat een "token" achtig product ruimer verspreid kan worden.
22-07-2014, 10:04 door Anoniem
Door Anoniem: 1 factor authenticatie: iets wat je weet (wachtwoord)
2 factor authenticatie: iets wat je weet, (wachtwoord) en iets wat je hebt (token, telefoon)
3 factor authenticatie: iets wat je weet, (wachtwoord) en iets wat je hebt (token, telefoon), en iets wat je bent (vingerafdruk, irisscan, dna profiel)

1/2/3/ factor authenticatie zegt alleen iets over de hoeveelheid verschillende authenticatie middelen, niet welk type je gebruikt.

Je kan een 1-factor doen met alleen een token. of alleen eem sms-je, etc, etc.
22-07-2014, 10:27 door Anoniem
Je hebt verschillende alternatieven om two-factor te regelen zonder mobiele telefoon. De belangrijkste spelers zijn RSA en Yubikey, waarbij Yubikey de goedkoopste is.
23-07-2014, 12:11 door Anoniem
Ik vertik het dus consequent om bedrijven, instellingen waar ik geen telefonisch contact mee wens mijn telefoonnummer te geven. Gaat ze geen donder aan en als ik van nummer verander, dan krijg je het gejank weer dat ze niet op de hoogte gesteld zijn. Kortom: 2-factor identificatie is prima. Maar met een telefoon een absolute no-go. En ja, dat heeft oa. een bank een een verzekeraar reeds een paar klanten gekost.
23-07-2014, 14:04 door Anoniem
Door Anoniem: 1 factor authenticatie: iets wat je weet (wachtwoord)
2 factor authenticatie: iets wat je weet, (wachtwoord) en iets wat je hebt (token, telefoon)
3 factor authenticatie: iets wat je weet, (wachtwoord) en iets wat je hebt (token, telefoon), en iets wat je bent (vingerafdruk, irisscan, dna profiel)

In feite kan 2 factor authenticatie iedere combinatie van twee zaken zijn. Je kunt ook 2-factor toepassen met iets wat je hebt en iets waar je bent. Waarbij "waar je bent" op allerlei manieren uitgelegd kan worden. Dat kan op basis van GPS zijn, maar ook of je in een bepaald netwerk zit.

Peter
24-07-2014, 10:39 door Mozes.Kriebel
Door Anoniem: Ik vertik het dus consequent om bedrijven, instellingen waar ik geen telefonisch contact mee wens mijn telefoonnummer te geven. Gaat ze geen donder aan en als ik van nummer verander, dan krijg je het gejank weer dat ze niet op de hoogte gesteld zijn. Kortom: 2-factor identificatie is prima. Maar met een telefoon een absolute no-go. En ja, dat heeft oa. een bank een een verzekeraar reeds een paar klanten gekost.
Amen. Ik wil ook geen telefoon als authenticatie factor, omdat ik bepaalde partijen niet mijn telefoonnummer wil geven.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.