Veel organisaties worstelen met de vele wachtwoorden voor de verschillende diensten. Dat geeft complexiteit en leidt bijvoorbeeld tot post-its met wachtwoorden onder het toetsenbord, stelt Maxime. Natuurlijk wordt er vaak wel single sign-on gebruikt, wat het allemaal gebruikersvriendelijker maakt, in combinatie met multi-factor authentication voor de veiligheid. "Maar dat elimineert het wachtwoord niet", gaat Maxime verder. Hij zou het liefst helemaal van het wachtwoord af zijn.
Maxime Chardome, Senior Sales Engineer bij MobileIron
Weg met het wachtwoord
"De bottom line is dat je nog steeds werkt met een technologie die 50 jaar oud is," zo vat hij het probleem samen. Terwijl je in de consumerspace steeds meer biometrie ziet, zoals FaceID en TouchID. Daar heeft het een bepaald vertrouwen opgebouwd. Zo wordt het bijvoorbeeld gebruikt bij banken en in België kun je met je vingerafdruk ook al bij je pensioenplan en je belastingaangifte.
Overigens vervangt de biometrie ook daar niet de wachtwoorden, legt Maxime uit. "Biometrie is slechts een herbevestiging van wie je bent." Fingerprint op zichzelf kan namelijk behoorlijk zwak zijn als identificatiemiddel. "Kijk de YouTubefilmpjes maar waarbij mensen vingerafdrukken van een koffiemok halen en die dan gebruiken om in te loggen." Maar, zo gaat hij verder, "als je van tevoren een aantal criteria vastlegt die gezamenlijk wel voldoende zijn, zoals een koppeling van een fysieke identiteitskaart aan een telefoonnummer of een token, wat je vervolgens weer koppelt aan een biometrisch kenmerk, dan is dat een heel sterke keten."
Dit zou zo ook in de zakelijke omgeving moeten kunnen werken, vindt hij. De ambitie bij MobileIron is dan ook om zero sign-on mogelijk te maken, waarbij de gebruiker geen enkel wachtwoord meer nodig heeft.
Eerst de mobiele telefoon
De manier waarop MobileIron deze visie vormgeeft werkt in twee fasen, vertelt Maxime. Het begint allemaal bij de mobiele devices. Hierbij is het wel van belang om op te merken dat de mobiele devices waarbij dit mogelijk is, worden beheerd door het platform van MobileIron.
Omdat het mobiele device wordt beheerd door MobileIron - of het nu een device van het bedrijf is of van de gebruiker zelf - kan heel goed worden vastgesteld wie de gebruiker is en van wie de vingerafdruk of het gezicht is dat voor het inloggen wordt gebruikt. Dat zijn dan de goed vastgelegde criteria waarvan hierboven al sprake was. "Dit handelen we af met certificaten. Het certificaat op je device is dan het unieke criterium dat we nodig hebben."
Dit maakt het mogelijk om - ook bij de eerste aanmelding - het wachtwoord overbodig te maken op mobiele devices. Dus géén 'single sign-on' maar "zero sign-on" voor SalesForce, Office 365, Google-diensten en dergelijke.
Fase 2: laptops en desktops
Juist vanwege de kleine schermen is het bij mobiele devices vervelend om steeds opnieuw een wachtwoord in te vullen, dus voor het gemak is het wachtwoord daar overbodig maken de belangrijkste stap, vindt Maxime. "Maar in een ideale wereld hoeven gebruikers ook geen wachtwoorden meer te gebruiken op laptops en desktops. Je wilt niet dat ze wachtwoorden achterlaten op computers in buitenlandse internetcafés en op persoonlijke devices."
Heb je eenmaal de mobiele devices in beheer, dan is dat een perfecte gelegenheid om de wachtwoorden ook bij andere devices te omzeilen. In de consumentenmarkt wordt dit al gedaan door bepaalde banken waarbij klanten betalingen kunnen bevestigen door QR-codes te scannen in de mobiele app. Ook kun je bij Windows, ChromeOS en macOS instellen dat ze automatisch unlocken als je telefoon of smartwatch in de buurt komt. Iets dergelijks stelt Maxime ook voor, alleen dan voor alle diensten binnen een organisatie.
"Opnieuw nemen we het mobiele device als startpunt, dat is het primaire toestel en dus je primaire identiteit en we gaan ervanuit dat iedereen dat altijd bij zich heeft", zegt hij. Bij laptops en desktops kan vervolgens worden ingesteld dat alle diensten direct worden ontsloten als de gebruiker een push-notificatie op zijn mobiel toestel bevestigt. Overigens maakt het daarbij niet uit of de laptop of desktop door MobileIron of een andere technologie wordt beheerd. "Maar probeer je toegang te krijgen tot diensten vanaf een device dat onbekend is, dan moet je een QR-code scannen met je mobiele device en je identiteit bevestigen middels biometrie."
Helemaal geen wachtwoorden meer
"De meeste klanten hebben al een identity provider, zoals bijvoorbeeld Microsoft of Okta", weet Maxime. "Die blijft gewoon. Wij voegen alleen een laag toe om het wachtwoord overbodig te maken en de gebruikerservaring significant te verbeteren."
Voor alles wat MobileIron nu ontwikkelt gaan ze er vanuit dat je als gebruiker het wachtwoord in de toekomst niet meer kent. "Het doel is dat je de wachtwoorden niet eens meer krijgt, dan kun je ze ook niet kwijtraken. Het wachtwoord was een heel goede technologie toen alle zakelijke data zich voornamelijk binnen de muren van de organisatie bevond en door devices werd benaderd die zich ook binnen die muren bevonden. Maar in de huidige wereld wordt steeds vaker gebruik gemaakt van de publieke cloud voor opslag en bewerking van zakelijke data. En nu deze data ook steeds vaker vanaf verschillende devices benaderd wordt, is dit het moment om de traditionele manier van beveiliging -op basis van wachtwoorden- los te laten."
Kijk hier voor meer informatie over zero sign-on van MobileIron
nice post
mensen halen authenticatie en identificatie door elkaar.
Gezicht, Vingerafdruk = IDENTIFICATIE (een etiket netzoals een naam, etc, alleen lastiger aan te passen).
Authenticatie is iets dat je niet permanent rond strooit en overal achterlaat.. Iets dat uit het brein moet komen dus.
Een wachtwoor id authenticatie, geen identificatie (dat is gebeurd met de username ervoor).
Als identificatie voldoende is dan ok gebruik een foto, vinger afdruk... maar doe het dan goed zodat namaak niet acceptabel is. En er zal een 99.999% of beter success-rate gehaald moeten worden.
In welke categorie gevallen is alleen identificatie voldoende? Zodra er ergens een heel klein virtueel luikje open gaat dat anders gesloten zou blijven is er al sprake van authenticatie. Biometrie als vervanger van de username is wel heel erg omslachtig terwijl het weinig toevoegt.
Biometrie is een vreselijk middel voor authenticatie. Eenmaal ontvreemd kun je het gegeven nooit meer vervangen, en een dergelijke ontvreemding van de digitale representatie is helemaal niet denkbeeldig.
Waarom kun je "het" niet vervangen? En als het ontvreemd is, wat houd de implementatie tegen om "het" onklaar te maken?
Je kunt je vinger, gezich, iris etc niet vervangen maar wél de unieke id die de basis kan vormen voor biometrische authenticatie.
"in België kun je met je vingerafdruk ook al bij je pensioenplan en je belastingaangifte"... Misschien eens juiste info plaatsen: [Link]
Ik las steeds mobilelron in plaats van mobileiron. De I en l lijken in dit letterype wel heel veel op elkaar.
Reageer
Preview