Gebruikers die een sterk authenticatiemiddel nodig hebben om toegang te krijgen tot bijvoorbeeld kritische diensten of gevoelige informatie kunnen hiervoor terecht bij SURFconext Sterke Authenticatie (SCSA). Ze kunnen daar een tweede authenticatiefactor, zoals YubiKey, SMS of Tiqr, koppelen aan hun instellingsaccount. Belangrijke voorwaarden daarbij zijn een betrouwbare vaststelling van de identiteit van de gebruiker en een betrouwbare koppeling tussen de tweede authenticatiefactor en de instellingsaccount (de eerste authenticatiefactor). Hiervoor dient de gebruiker persoonlijk naar de registratiebalie van de instelling te gaan.

Er kleven echter wat nadelen aan dit balieproces. Ten eerste levert het voor gebruikers die niet op de instelling zelf werken veel ‘gedoe’ op. Voor gebruikers in het buitenland is het zelf onmogelijk om even langs te komen. Verder dient de instelling een balieproces in te richten voor het identificeren van gebruikers en het activeren van hun geregistreerde tweede authenticatiemiddel. Dat kost tijd en geld. Niet alle instellingen hebben daarom een registratiebalie ingericht. Tot slot, is het huidige balieproces niet erg schaalbaar. Grote groepen gebruikers voorzien van sterke authenticatie is op dit moment geen sinecure voor een instelling.

Gelukkig zijn er diverse andere oplossingen om de identiteit van de gebruiker op afstand of online te verifiëren. We noemen dit remote vetting. Oplossingen hiervoor zijn:

  1. Aan de deur – de balie komt dan naar de gebruiker toe;
  2. Via een live video sessie tussen de gebruiker en de baliemedewerker;
  3. Een mobiele app die een foto van je paspoort neemt en de pasfoto erop vergelijkt met een selfie;
  4. Een mobiele app die via NFC de chip van je paspoort uitleest en de uitgelezen pasfoto vergelijkt met een selfie;
  5. Door extra in te loggen met je bankaccount via iDIN, zogenaamde afgeleide authenticatie;
  6. Door extra in te loggen met je nationale eID via de Europese eIDAS infrastructuur – deze oplossing is vooral interessant voor gebruikers uit EU lidstaten;
  7. Een centrale registratiebalie in te richten waar gebruikers langs kunnen komen;
  8. Hergebruik te maken van bestaande balies bij instellingen of andere organisaties zoals gemeenten, PostNL of Kamer van Koophandel vestigingen;
  9. Community- of web-of-trust-gebaseerde vetting door bijvoorbeeld collega’s of projectmedewerkers.

Elk van deze oplossingen kent voor- en nadelen. De een is wat minder gebruikersvriendelijk, de ander schaalt beter of heeft een hoger betrouwbaarheidsniveau. De onderstaande tabel vergelijkt de verschillende oplossingen tegen een aantal beoordelingscriteria (groen = beter dan de huidige SCSA oplossing, oranje = vergelijkbaar, rood = slechter).

Remote-vetting-NL.png

Uit de tabel volgt dat de NFC-app en afgeleide authenticatie met iDIN het beste uit de bus komen. Met deze twee oplossingen zijn ook de beoogde gebruikersscenario’s (op afstand en bulk uitrol) uitstekend te realiseren. Beide oplossingen bieden een uitstekend alternatief voor het huidige SCSA balieproces. SURFnet wil daarom dit jaar samen met instellingen pilots gaan draaien met het remote vetting proces met iDIN en met de NFC-app.

Met name rondom iDIN zijn er nog wel wat uitdagingen te overwinnen. Dan moet je denken aan het koppelen van het instellingsaccount met het bankaccount. De instelling levert de volledige voornamen aan van de gebruiker terwijl de bank slechts de initialen aanlevert. Dit biedt onvoldoende zekerheid dat we met dezelfde persoon te maken hebben. Wenselijk is om extra gegevens te hebben, zoals geboortedatum, maar dat attribuut levert de identity provider van de instelling typisch weer niet aan. De NFC-app levert daarentegen wel de volledige voornamen aan. Verder is het onduidelijk of medewerkers van instellingen hun bankaccount willen gebruiken voor de aanschaf van een SCSA middel. Wenselijk is om bijvoorbeeld middels een proof-of-concept implementatie van iDIN en de NFC-app meer inzicht te krijgen in de technische mogelijkheden voor integratie met SCSA, de betrouwbaarheid ervan, en hoe de gebruikers de oplossingen uiteindelijk ervaren.

Dit remote vetting onderzoek is uitgevoerd door InnoValor en met de betrokkenheid van HvA, VUmc, Windesheim, Studielink, Nikhef en Inholland. Het volledige rapport is hier te vinden. Voor meer informatie kunt u terecht bij Bob Hulsebosch.