Deel je expertise met de SURF-community

Remote Vetting voor SURFsecureID

Latest update: 09 mei 2022

Gebruikers die een sterk authenticatiemiddel nodig hebben om toegang te krijgen tot bijvoorbeeld kritische diensten of gevoelige informatie kunnen hiervoor terecht bij SURFsecureID (tot voor kort SURFconext Sterke Authenticatie). Ze kunnen daar een tweede authenticatiefactor, zoals YubiKey, SMS of Tiqr, koppelen aan hun instellingsaccount. Belangrijke voorwaarden daarbij zijn een betrouwbare vaststelling van de identiteit van de gebruiker en een betrouwbare koppeling tussen de tweede authenticatiefactor en de instellingsaccount (de eerste authenticatiefactor). Hiervoor dient de gebruiker persoonlijk naar de registratiebalie van de instelling te gaan.

73

0 Praat mee

Er kleven echter wat nadelen aan dit balieproces. Ten eerste levert het voor gebruikers die niet op de instelling zelf werken veel ‘gedoe’ op. Voor gebruikers in het buitenland is het zelf onmogelijk om even langs te komen. Verder dient de instelling een balieproces in te richten voor het identificeren van gebruikers en het activeren van hun geregistreerde tweede authenticatiemiddel. Dat kost tijd en geld. Niet alle instellingen hebben daarom een registratiebalie ingericht. Tot slot, is het huidige balieproces niet erg schaalbaar. Grote groepen gebruikers in korte tijd voorzien van sterke authenticatie is op dit moment geen sinecure voor een instelling.

Verschillende oplossingen

Gelukkig zijn er diverse andere oplossingen om de identiteit van de gebruiker op afstand of online te verifiëren. We noemen dit remote vetting. Oplossingen hiervoor zijn:

  1. Aan de deur – de balie komt dan naar de gebruiker toe;
  2. Via een live video sessie tussen de gebruiker en de baliemedewerker;
  3. Een mobiele app die een foto van je paspoort neemt en de pasfoto erop vergelijkt met een selfie;
  4. Een mobiele app die via NFC de chip van je paspoort uitleest en de uitgelezen pasfoto vergelijkt met een selfie;
  5. Door extra in te loggen met je bankaccount via iDIN, zogenaamde afgeleide authenticatie;
  6. Door extra in te loggen met je nationale eID via de Europese eIDAS infrastructuur – deze oplossing is vooral interessant voor gebruikers uit andere EU lidstaten;
  7. Een centrale registratiebalie in te richten waar gebruikers langs kunnen komen;
  8. Hergebruik te maken van bestaande balies bij instellingen of andere organisaties zoals gemeenten, PostNL of Kamer van Koophandel vestigingen;
  9. Community- of web-of-trust-gebaseerde vetting door bijvoorbeeld collega’s of projectmedewerkers.

Elk van deze oplossingen kent voor- en nadelen. De een is wat minder gebruikersvriendelijk, de ander schaalt beter of heeft een hoger betrouwbaarheidsniveau. Ook verschillende de oplossingen wat betreft kosten en voor welke gebruikers bruikbaar is. De onderstaande tabel vergelijkt de verschillende oplossingen tegen een aantal beoordelingscriteria (groen = beter dan de huidige SURFsecureID oplossing, oranje = vergelijkbaar, rood = slechter).

Schema SURFsecureID oplossingen

Uit de tabel volgt dat de NFC-app en afgeleide authenticatie met iDIN het beste uit de bus komen. Met deze twee oplossingen zijn ook de beoogde gebruikersscenario’s (op afstand en bulk uitrol) uitstekend te realiseren. Beide oplossingen bieden een uitstekend alternatief voor het huidige SURFsecureID balieproces. SURFnet is daarom van plan deze twee oplossingen verder te onderzoeken met als doel deze te integreren in SURFsecureID.

iDIN

Met name rondom iDIN zijn er nog wel wat uitdagingen te overwinnen. Dan moet je denken aan het koppelen van het instellingsaccount met het bankaccount. De instelling levert de volledige voornamen aan van de gebruiker terwijl de bank slechts de initialen aanlevert. Dit biedt onvoldoende zekerheid dat we met dezelfde persoon te maken hebben. Wenselijk is om extra gegevens te hebben, zoals geboortedatum, maar dat attribuut levert de identity provider van de instelling typisch weer niet aan. De NFC-app levert daarentegen wel de volledige voornamen aan. Verder is het onduidelijk of medewerkers van instellingen hun bankaccount willen gebruiken voor de koppeling van een SURFsecureID middel. Wenselijk is om bijvoorbeeld middels een proof-of-concept implementatie van iDIN en de NFC-app meer inzicht te krijgen in de technische mogelijkheden voor integratie met SURFsecureID, de betrouwbaarheid ervan, en hoe de gebruikers de oplossingen uiteindelijk ervaren.

Conclusie en vervolgstappen

Uit het rapport kan worden geconcludeerd dat vooral de NFC-chip- en de iDIN methode van vetting op afstand interessant kunnen zijn. SURFnet wil daarom dit jaar samen met instellingen pilots gaan draaien met het remote vetting proces met iDIN en met de NFC-chip. Hiervoor zijn ze op zoek naar instellingen die hieraan mee willen doen. Ben je hierin geïnteresseerd, neem dan contact op met Pieter van der Meulen . Ook voor meer informatie kun je bij hem terecht.

Dit remote vetting onderzoek is uitgevoerd door InnoValor en met de betrokkenheid van HvA, VUmc, Windesheim, Studielink, Nikhef en Inholland. Het volledige rapport is hier te vinden. In het rapport wordt gesproken over SURFconext Sterke Authenticatie. Hiervoor in de plaats kun je SURFsecureID lezen.

 

Dit artikel heeft 0 reacties

SURFsecureID: diensten extra beveiligen met tweefactorauthenticatie

Met SURFsecureID beveilig je de toegang tot online diensten extra, via tweefactorauthenticatie. Vooral belangrijk voor diensten met gevoelige data.

Meer op SURF.nl