Gebruikers die een sterk authenticatiemiddel nodig hebben om toegang te krijgen tot bijvoorbeeld kritische diensten of gevoelige informatie kunnen hiervoor terecht bij SURFconext Sterke Authenticatie (SCSA). Ze kunnen daar een tweede authenticatiefactor, zoals YubiKey, SMS of Tiqr, koppelen aan hun instellingsaccount. Belangrijke voorwaarden daarbij zijn een betrouwbare vaststelling van de identiteit van de gebruiker en een betrouwbare koppeling tussen de tweede authenticatiefactor en de instellingsaccount (de eerste authenticatiefactor). Hiervoor dient de gebruiker persoonlijk naar de registratiebalie van de instelling te gaan.
Er kleven echter wat nadelen aan dit balieproces. Ten eerste levert het voor gebruikers die niet op de instelling zelf werken veel ‘gedoe’ op. Voor gebruikers in het buitenland is het zelf onmogelijk om even langs te komen. Verder dient de instelling een balieproces in te richten voor het identificeren van gebruikers en het activeren van hun geregistreerde tweede authenticatiemiddel. Dat kost tijd en geld. Niet alle instellingen hebben daarom een registratiebalie ingericht. Tot slot, is het huidige balieproces niet erg schaalbaar. Grote groepen gebruikers voorzien van sterke authenticatie is op dit moment geen sinecure voor een instelling.
Gelukkig zijn er diverse andere oplossingen om de identiteit van de gebruiker op afstand of online te verifiëren. We noemen dit remote vetting. Oplossingen hiervoor zijn:
- Aan de deur – de balie komt dan naar de gebruiker toe;
- Via een live video sessie tussen de gebruiker en de baliemedewerker;
- Een mobiele app die een foto van je paspoort neemt en de pasfoto erop vergelijkt met een selfie;
- Een mobiele app die via NFC de chip van je paspoort uitleest en de uitgelezen pasfoto vergelijkt met een selfie;
- Door extra in te loggen met je bankaccount via iDIN, zogenaamde afgeleide authenticatie;
- Door extra in te loggen met je nationale eID via de Europese eIDAS infrastructuur – deze oplossing is vooral interessant voor gebruikers uit EU lidstaten;
- Een centrale registratiebalie in te richten waar gebruikers langs kunnen komen;
- Hergebruik te maken van bestaande balies bij instellingen of andere organisaties zoals gemeenten, PostNL of Kamer van Koophandel vestigingen;
- Community- of web-of-trust-gebaseerde vetting door bijvoorbeeld collega’s of projectmedewerkers.
Elk van deze oplossingen kent voor- en nadelen. De een is wat minder gebruikersvriendelijk, de ander schaalt beter of heeft een hoger betrouwbaarheidsniveau. De onderstaande tabel vergelijkt de verschillende oplossingen tegen een aantal beoordelingscriteria (groen = beter dan de huidige SCSA oplossing, oranje = vergelijkbaar, rood = slechter).