Risk-based authenticatie

Authenticatie is bewijzen dat de gebruiker is wie hij/zij zegt dat hij/zij is. Daarbij zijn er klassiek drie factoren onderkend: wat je weet, wat je hebt en wat je bent. Nieuwe technologie en informatiediensten kunnen daar nog context factoren aan toevoegen waaruit locatie, gedrag en risico kan worden afgeleid. Hiermee is authenticatie een multi-factor aangelegenheid. De interpretatie van wat authenticatie is wordt hiermee relevant aangezien de definitie niet meer expliciet is. Daarnaast moet de waarde van iedere factor worden gemeten. Een en ander komt nu bij elkaar in een vaak statische policy hetgeen niet meer houdbaar is. Risk-based authenticatie biedt het antwoord.

Wanneer toegang tot risicovolle informatie moet worden verleend wordt vaak teruggevallen op een ‘sterk authenticatiemiddel’. De statische afweging tussen gebruikersnaam met wachtwoord of een sterk authenticatie middel is echter niet meer genoeg. Het afdwingen van een juiste authenticatie is afhankelijk van vele karakteristieken zoals bijvoorbeeld waar de gebruiker zich bevindt, welk apparaat wordt gebruikt en welke informatie iemand wil gebruiken. Het gaat over de mate waarin we deze karakteristieken of de combinatie ervan vertrouwen, in hoeverre het ‘normaal’ of verdacht gedrag is. Welk risico wordt daarbij gelopen wanneer we een gebruiker met deze karakteristieken toegang geven tot informatie.

Bij Risk based authenticatie zijn deze karakteristieken in kaart gebracht en gewogen. Slimme algoritmes bepalen welke authenticatiemiddelen er minimaal vereist zijn voordat een gebruiker met dergelijke karakteristieken toegang krijgt tot de gewenste informatie. Dit kan vooraf bepaald worden maar ook gedurende een transactie door een zogenaamde step-up of her-authenticatie.

Traxion heeft brede ervaring met access control, ontwerp en inrichting. Wanneer u meer wilt weten neem dan contact op met Maikel van Westeneng, Portfolio Competence Manager Access Control.