Oplossing van Beyond Identity maakt inloggen zonder wachtwoorden kinderspel

Beyond Identity , de belangrijkste speler op het gebied van inloggen zonder wachtwoorden, maakt voor de Nederlandse markt passwordless inloggen met risk based authenticatie mogelijk.

Wat is het probleem van wachtwoorden? Patrick McBride, CMO van Beyond Identity: “Wachtwoorden zijn wat wel een ‘symmetrisch geheim’ wordt genoemd. Dat houdt in dat het geheim bekend moet zijn aan beide kanten van de uitwisseling (degene die het wachtwoord invoert en de applicatie die controleert of het wachtwoord klopt) en aan beide kanten moet zijn opgeslagen. De gebruiker heeft het wachtwoord opgeslagen in diens geheugen (of op een plakbriefje, in een spreadsheet of in een password manager, maar dat is weer een ander verhaal). De applicatie heeft het wachtwoord in een database opgeslagen. Als je nieuwsberichten leest over grootschalige wachtwoordlekken, is dat omdat cybercriminelen erin slaagden om toegang te krijgen tot alle wachtwoorden die in de database waren opgeslagen. Deze symmetrie, het geheim dat aan beide kanten bekend is en soms op onveilige wijze wordt opgeslagen, is de belangrijkste reden waarom wachtwoorden een groot beveiligingsrisico zijn. Het tweede probleem met wachtwoorden is dat ze geen middel zijn om jou te identificeren, maar iets dat je weet. Het probleem is dat anderen dit ook kunnen komen te weten.”

Hoe werkt een asymetisch geheim?
“In plaats van gebruik te maken van een symmetrisch geheim zoals een wachtwoord, werkt Beyond Identity met iets wat een asymmetrisch geheim wordt genoemd”, vervolgt McBride. “Dit geheim bestaat slechts aan één kant, namelijk die van de gebruiker die toegang tot een applicatie zoekt. Hierbij wordt gebruikgemaakt van twee sleutels: een private sleutel die je computer, smartphone of tablet nooit verlaat en een publieke sleutel die beschikbaar wordt gesteld aan de applicaties waarop je je wilt aanmelden.”

Deze publieke sleutel fungeert ondanks zijn naam eerder als een sleutelgat dan als een sleutel. Hij wordt geopend met een digitale handtekening (ook wel certificaat genoemd) die wordt aangemaakt met behulp van je private sleutel. De publieke sleutel kan alleen vaststellen of hij wel of niet door de digitale handtekening kan worden ontgrendeld. Hij heeft geen zicht op je private sleutel, en je private sleutel kan niet worden gekopieerd of afgeleid uit de publieke sleutel.
Dit biedt een oplossing voor het probleem dat je geheim wordt opgeslagen in een database waartoe iemand anders toegang zou kunnen krijgen. Je geheim wordt alleen op je apparaat opgeslagen. Dat betekent dat iemand anders zich alleen op je applicaties kan aanmelden als die toegang tot je apparaat heeft en in staat is om het te ontgrendelen.

Maar dat is niet alles: zelfs de gebruiker die zich op de applicaties aanmeldt ‘kent’ het asymmetrische geheim niet, tenminste niet op dezelfde manier waarop die een wachtwoord kent. Er is niets dat je zou kunnen noteren of per ongeluk zou kunnen onthullen aan iemand die daarmee toegang tot je accounts krijgt.

Deze methode staat bekend als public key infrastructure (PKI). En het gebruik ervan als oplossing voor identiteitscontrole is niet nieuw. Beyond Identity heeft het concept van de persoonlijke certificaatautoriteit geïntroduceerd. Deze autoriteit stelt PKI in staat om identiteiten te verifiëren en wachtwoorden te vervangen. Dit concept wordt al tientallen jaren gebruikt voor het beveiligen van internettransacties met behulp van de encryptieprotocollen SSL en TLS. Banken en webwinkels maken gebruik van TLS, dat PKI voor verificatiedoeleinden inzet. Dat geldt ook voor elke website waarvan het internetadres vooraf wordt gegaan door een hangslotpictogram.

In deze gevallen wordt TLS (en PKI als onderliggende basis) gebruikt om na te gaan of je bent aangekomen bij de juiste website of bij een nagebootste website. McBride: “Beyond Identity heeft deze technologie aangepast, zodat die kan controleren of de gebruiker die toegang zoekt tot een applicatie daadwerkelijk is wie hij of zij beweert te zijn.”

Waarom wil Beyond Identity de Nederlandse markt betreden?
“We vinden heel EMEA enorm belangrijk en ons doel is natuurlijk om in de gehele regio succes te hebben, maar de Benelux vinden we erg interessant omdat het een zeer goede technologische reputatie heeft. Nederland bevat veel early adopters en we zijn ervan overtuigd dat Nederlandse bedrijven onze oplossing veelvuldig zullen gaan inzetten. Zelfs in een regio die op technologisch gebied zo vooruitstrevend is, worden wachtwoorden gelekt en gestolen”. McBride waarschuwt: “Beveiliging is een continu proces, als je denkt dat je alles hebt geregeld en je niets meer hoeft te doen, ga je de fout in. Het is essentieel om te blijven investeren in nieuwe, verbeterde maatregelen, en in technologie die de beveiliging naar een hoger niveau tilt. Daar zijn wij voor.”