Waarom er één standaard moet komen voor een veilig én gemakkelijk authenticatieproces

Het is logisch dat de vraag naar betrouwbare inlogmiddelen toeneemt: elke online dienst gebruikt inmiddels een eigen authenticatiemethode. Niet zo gek dus dat gebruikers gefrustreerd raken door het grote woud aan wachtwoordregistraties en invulformulieren die door aanbieders van online diensten onder hun neus worden gedrukt.  

Voor fraudeurs en hackers is de onoverzichtelijke wereld van online inlogmiddelen juist een paradijs. Ze profiteren van de onwetendheid van gebruikers die telkens met andere manieren worden geconfronteerd om te bewijzen wie ze zijn. De klant kan daardoor nauwelijks echt van nep onderscheiden. De manier waarop we onszelf op internet identificeren moet dan ook op de schop. Ik pleit voor een wereldwijde standaard voor authenticatie, zodat diensten en klanten elkaar beter begrijpen met als resultaat meer veiligheid. 

Met een standaard beperk je de wildgroei aan verschillende identificatiemethodes

Gebruikers worstelen nu met de grote verscheidenheid aan online authenticatie methodes zoals wachtwoorden, invulformulieren en veiligheidsvragen. Doordat elk bedrijf met online diensten – van webshops tot verzekeraars en van banken tot hotelketens – andere vorm van authenticatie hanteert, ontstaat een onoverzichtelijke wildgroei aan identificatiemethodes.

Dit is vermoeiend voor de consument die hierdoor nog te vaak gaat voor gemak in plaats van veiligheid door te kiezen voor hetzelfde wachtwoord voor meerdere accounts of makkelijk te kraken veiligheidsvragen. Deze ontwikkeling speelt hackers en fraudeurs in de kaart, simpelweg omdat gebruikers hierdoor minder verantwoord omspringen met hun online identiteit en dus makkelijker te hacken zijn.

Echt valt zonder standaard niet van nep te onderscheiden

Door de eerdergenoemde wildgroei aan authenticatiemethode, staan consumenten nergens meer van te kijken. Controlevragen, sms-beveiliging en zelfs authenticatieselfies, het is er allemaal. Omdat er geen standaard is, is het moeilijk om neppe en echte identificatiemethodes van elkaar te onderscheiden. De ideale situatie voor een gewiekste fraudeur.

Facebook wil hiertegen optreden en heeft bijvoorbeeld een authenticatie-systeem uitgerold waarbij gebruikers bij verdachte handelingen op hun account worden gevraagd om een selfie op te sturen waarbij het gezicht duidelijk in beeld is. De foto mag nog niet eerder op Facebook hebben gestaan. Via deze manier probeert het sociale platform kwaadwillenden buitenspel te zetten, maar tegelijkertijd draagt dit bij aan meer fragmentatie op de markt. Juist die fragmentatie speelt fraudeurs weer in de kaart. Met andere woorden; een vicieuze cirkel die met een standaard kan worden doorbroken.

Een standaard zorgt voor gelijke kansen op de transactiemarkt

Het gebeurt regelmatig dat volle winkelkarretjes bij online webshops niet worden afgerekend omdat het afrekenproces stroperig verloopt. Vaak is het online identificatieproces de boosdoener; de klant raakt geïrriteerd doordat er eerst een profiel aangemaakt moet worden waarbij een veelheid aan gegevens wordt gevraagd. Het geduld bij de klant raakt op waarop deze besluit dan maar helemaal geen aankopen te doen.

Het is al gebleken dat gebruikersgemak en veiligheid niet altijd hand in hand gaan. Een vriend van mij vertelde me ooit hoe de aanschaf van Netflix leidde tot een geblokkeerde bankpas. De reden? Een eenvoudig inlogproces was hem meer waard dan het accepteren van een extra veiligheidscheck van zijn gegevens. Toen hij namelijk het betaalproces wilde afronden, werd er gevraagd om de betaling met authenticatiecode te beveiligen. In plaats van dit proces te doorlopen, koos hij voor de makkelijke weg: hij greep naar zijn volgende bankpas om maar zo snel mogelijk de betaling te kunnen afronden. U raadt het al: de volgende dag belde de bank dat zijn (eerste) bankpas geblokkeerd was nadat er verdachte handelingen waren verricht. Het ging om een niet afgerond betalingsproces bij Netflix.

Pas twee heeft in dit voorbeeld dus een aanzienlijk voordeel over pasje een. Dit zorgt voor een verdeling in de markt. Net zoals PSD2 gelijke kansen creëert voor banken en fintechs op de betaalmarkt, zou dat hiervoor ook moeten gelden. En niet alleen vanwege gelijkheid, maar ook om het volgende uit te bannen:

Met een standaard verbetert behalve veiligheid ook de user experience

Ontwikkelaars van authenticatie-oplossingen staan vaak voor de keuze: veiligheid boven gebruikersgemak of andersom. Het is logisch dat ontwikkelaars hierbij hinken op twee gedachten: veiligheid is immers van cruciaal belang maar bij te veel frictie loopt de gebruiker weg. Stel dat je door een online dienst wordt gevraagd om jezelf op de volgende manier te identificeren: maak een selfie met op de achtergrond een krant van vandaag. Dit systeem zou misschien amper te hacken zijn maar tegelijkertijd zit de gebruiker niet te wachten op zo’n gecompliceerd authenticatieproces.

Als oplossing voor de strijd tussen gebruikersgemak en veiligheid kiezen ontwikkelaars vaak voor een compromis: een beetje van beiden. Maar dit staat de ontwikkeling van een gedegen systeem juist in de weg omdat beide kenmerken maar mondjesmaat worden doorontwikkeld. Een standaard kan hier een einde aan maken door bijvoorbeeld vol in te zetten op veiligheid. Dat dit in eerste instantie ten koste gaat van gebruikersgemak is slechts een tijdelijk ongemak omdat ontwikkelaars zullen focussen op het verbeteren hiervan. Kortom: het innovatieproces wordt aanzienlijk versneld wat in korte tijd kan leiden tot gebruiksvriendelijkere authenticatie.

Consolidatie

Het resultaat is doeltreffend: consolidatie. Wanneer elk authenticatieproces aan de hand van een standaard op dezelfde wijze verloopt, weet de klant simpelweg precies wat hem of haar te wachten staat en hoeveel tijd en moeite dit in beslag neemt. Geen onaangename verrassingen, iedere oplossing even veilig, gebruiksvriendelijk en snel.