nlen

Inloggen zonder in te loggen, zero login komt eraan

Door John van Westeneng, Traxion   Een klant in de healthcare-sector stond onlangs voor een uitdaging. In verband met lichamelijke en geestelijke beperkingen van gebruikers, was hij op zoek naar een manier om ze op een zeer gebruiksvriendelijke wijze toegang te geven tot een beveiligde omgeving. De security moest daarbij uiteraard wel op het juiste niveau blijven. Uit die vraag kwam uiteindelijk een interessante oplossingsrichting naar voren: gedrag als factor opnemen in het authenticatieproces. Dit sluit aan op wat momenteel bekend staat als de roadmap naar zero login.

De oplossing voor mijn klant is wellicht niet ideaal, maar wel een stuk beter dan de huidige situatie. Er zijn al oplossingen om gedrag als authenticatiefactor te gebruiken beschikbaar en geïmplementeerd, onder andere in de internetbanking en in webshops. In het geval van mijn klant wordt op basis van gedrag bepaald of de gebruiker daadwerkelijk de gebruiker is. Niet 100% waterdicht maar in combinatie met een wachtwoord of biometrisch kenmerk als gezicht of vingerafdruk, wel een stuk sterker dan zonder deze gedragscontrole.

Door het meten van type snelheid, typisch muisgedrag, tijd, device, locatie en hoe de gebruiker normaliter een applicatie gebruikt, kan met grote zekerheid worden bepaald dat het dezelfde gebruiker betreft. Vanuit een securityperspectief wordt het hiermee mogelijk om een risicoafweging te doen.  Waarop vervolgens wel of niet een additionele authenticatie wordt gevraagd, of zelfs een ‘access denied’ kan worden gegeven. Hoe meer het toegangssysteem over het gedrag van de gebruiker weet, hoe beter het in kan schatten of het met de daadwerkelijke gebruiker te maken heeft.

De weg naar zero login

Waarom is dit relevant in de roadmap van authenticatie met als uiteindelijke doel zero login? Voordat ik daar op in ga wil ik eerst inzoomen op de roadmap van authenticatie. Zoals de markt nu kijkt naar authenticatie volgen we meestal de volgende stappen:

  1. Multi-factor authentication (token based)
  2. Authenticatiefactoren op basis van gedrag
  3. Passwordless
  4. Zero login

Stap 1 en 2 zijn mogelijk met de huidige stand van de technologie. Veel partijen werken nog aan of praten nog over stap 3. Vaak bevindt deze stap zich nog in een onvolwassen stadium en werkt het veelal op basis van alternatieve authenticatie. Bijvoorbeeld door de authenticatie te verleggen naar een device, met als uitgangspunt dat de eigenaar van het device bekend is en dat zowel het device als de eigenaar op een bepaald niveau wordt vertrouwd.

AI-gebaseerde authenticatielaag

Passwordless is fijn voor de gebruiker, maar vraagt het een en ander van de processen en technologie in de toegangslaag en het bijbehorende identity & access management-systeem. Het vereist een goed geïmplementeerd assurance model voor identity proofing en device identity management. En last but not least een slimme gedrags-, risico- en AI-gebaseerde authenticatielaag.

In stap 4 in de roadmap, zero login, hebben we op de gehele toegangslaag, naast een slim AI gebaseerde authenticatie laag zoals beschreven in stap 2 en 3, een continu proces lopen waarin elke transactie, elke API die wordt aangeroepen en elke klik die een gebruiker doet, wordt gecorreleerd en gecontroleerd. Hierdoor wordt het mogelijk om met grote zekerheid te bepalen of de gebruiker echt de gebruiker is, zonder dat deze expliciet aanlogt met een user id en wachtwoord en MFA-token.

Privacyzorgen overwinnen

De toegangslaag is met zero login doorgevoerd in het gehele applicatiesecuritylandschap. Securitysystemen werken met elkaar samen, zijn op elkaar afgestemd. Geweldig voor de gebruikerservaring. De downside? Privacy. Zoals bij elke ontwikkeling rondom gebruikers is ook hier een discussie over hoe ver we mogen gaan. Hoe lang mogen we gedragsinformatie opslaan? Welke informatie mogen we opslaan? Hoe beveiligen we deze privacyinformatie? Hoe zorgen we ervoor dat gedrag niet kan worden gekopieerd om een gebruiker na te doen?

Zero login is in zicht. Er zijn nog diverse uitdagingen, maar die kunnen we overwinnen. Zero login is here to come.

Meer weten over dit onderwerp? Neem contact met ons op.