Tag archieven: password

Authenticatie en toegang

Er zijn verschillende manieren om toegang te verlenen tot persoonsgegevens.

De beveiliging van iedere methode is niet gelijkwaardig. Tot de methoden behoren o.a.:

  • gebruikersnaam en wachtwoord;
  • multi-factor authenticatie;
  • tijdsgebaseerd token.

Hieronder zullen we enkele van de mogelijkheden bespreken.

Gebruikersnaam en wachtwoord

De meest gebruikte manier om toegang te verlenen tot (persoons)gegevens is door gebruik te maken van een gebruikersnaam en een wachtwoord.

Gebruikersnaam

Er bestaan verschillende soorten gebruikersnamen, zoals bijvoorbeeld het gebruik van:

  • de naam van de gebruiker;
  • het rijksregisternummer van de gebruiker;
  • het e-mailadres van de gebruiker.

Gebruikersnamen kunnen onder bepaalde omstandigheden voor problemen zorgen, en het risico verhogen dat andere gebruikers toegang gaan hebben tot de gegevens van iemand waar ze geen toegang toe mogen hebben; m.a.w. ze kunnen het risico verhogen voor een datalek. Dit is bijvoorbeeld het geval indien men speciale tekens in de gebruikersnaam toelaat en er geen of onvoldoende controle is op de gekozen en/of gecommuniceerde gebruikersnaam.

Wachtwoord

Hoe complexer het wachtwoord, hoe moeilijker het is voor onbevoegden om toegang te krijgen tot persoonsgegevens.

Sommige organisaties die persoonsgegevens ter beschikking stellen via een internet applicatie laten wachtwoorden toe die theoretisch in enkele minuten kunnen worden gekraakt. Het gaat om wachtwoorden van minimaal 8 tekens, waarvan minstens 1 hoofdletter, 1 kleine letter en 1 cijfer. Een gebruiker die niet bewust is van de zwakheid van zijn wachtwoordkeuze kan vroeg of laat geconfronteerd worden met een inbraak, en dus dat een onbekende zich toegang heeft verschaft tot zijn of haar persoonsgegevens.

Om de zwakheid en de beperkte inspanning die moet worden geleverd om een wachtwoord te kraken moeten organisaties een grotere complexiteit kiezen van toelaatbare wachtwoorden. Bijvoorbeeld moet een wachtwoord minstens 8 of 10 tekens bevatten, waarvan minstens 1 hoofdletter, 1 kleine letter, 1 cijfer en 1 speciaal teken.

Multi-factor authenticatie

Om de beperkingen inzake veiligheid van wachtwoorden te counteren kunnen organisaties beter gebruik maken van multi-factor authenticatie. Het gaat om een methode die meerdere zaken vereist alvorens een gebruiker toegang kan hebben tot zijn of haar gegevens. De zaken waarvan sprake zijn een of meerdere elementen die:

  • men bezit;
  • men weet.

Voorbeeld

Een voorbeeld van multi-factor authenticatie is het inloggen met uw eID.

De eID is eigenlijk een smartcard, dus een plastic kaartje met daarin een stukje geheugen op geïntegreerd. Op dat stukje geheugen worden enkele digitale certificaten geïnstalleerd, het ene met betrekking tot je identiteit en het andere om een document digitaal te ondertekenen.

M.a.w. de eID maakt gebruik van een techniek die men technisch public key infrastructure noemt.

De kaart is hier dus het element dat men in zijn bezit heeft, terwijl de pincode het element is dat de titularis van de eID weet.

Dus met enkel het bezit van de kaart zal men niet kunnen inloggen, noch een electronische handtekening plaatsen. Er is immers nog iets meer nodig, namelijk de pincode.

Het gebruik van deze techniek om toegang te geven tot persoonsgegevens is daarom veiliger dan het gebruikt van gebruikersnaam en wachtwoord.

Tijdsgebonden token

Tijdsgebonden tokens zijn tokens voor eenmalig gebruik.

Er bestaan verschillende soorten tijdsgebonden tokens. De meest eenvoudige zijn degene die bestaan uit enkele cijfers, bijvoorbeeld 4 tot 6 cijfers. Men kan ook tokens hebben die bestaan uit een combinatie van cijfers en letters. Maar de meer gesofistikeerde tijdsgebonden tokens zijn degene die gelinkt zijn aan een welbepaalde persoons, systeem of applicatie.

Hierna wordt zonder in detail te treden ingegaan op een de meer gesofistikeerde tijdsgebonden tokens, die toegang kunnen geven tot bepaalde resources zoals persoonsgegevens.

oAuth

Een oAuth token bekomt je meestal na een eerdere vorm van authenticatie, bijvoorbeeld via gebruikersnaam en wachtwoord.

Met het oAuth token dat je dan bekomt kan je niet enkel toegang krijgen tot resources zoals een applicatie, maar ook een verfijnde toegang tot die resources op basis van het profiel van de inloggende gebruiker. Zo kan men bijvoorbeeld via een oAuth token bepalen dat een ingelogde persoon, buiten toegang tot zijn/haar eigen dossiergegevens, ook toegang heeft tot (bepaalde) dossiergegevens van zijn of haar personen ten laste.

In geval het token onderschept zou worden zal de bezitter van het persoonsgebonden in tijd beperkte token enkel de gegevens van de persoon kunnen consulteren die gelinkt is aan het token en de gegevens van andere personen waar die persoon toegang toe heeft , en niet de gegevens van derden. Het token moet immers steeds worden meegegeven bij iedere opvraging van persoonsgegevens. M.a.w. het is een toegangssysteem dat bestaat uit twee lagen, enerzijds de laag of de vraag voor het bekomen van het teken, en anderzijds de laag waarbij met behulp van het oAuth token gegevens kunnen worden opgevraagd.

Deze techniek wordt bijvoorbeeld gebruikt in combinatie met een REST service, waarbij iedere REST API opvraging gepaard moet gaan van een authenticatie oAuth-token.

Bloep, 12 juni 2025.