Gepubliceerd op:

Je gevoelige online diensten beveiligen met alleen maar een online-uitgereikte username/wachtwoord combinatie, kan anno 2014 natuurlijk echt niet meer. Gewoon maar een tweede factor authenticatiemiddel uitrollen naar alle gebruikers voor alle diensten is moeilijker dan het lijkt, vooral als de diensten als onderdeel van een identiteitsfederatie wordt aangeboden. Maar hoe moet het dan wel?

LoA’s (Levels of Assurance, betrouwbaarheidsniveaus) vormen een belangrijk onderdeel van de oplossing. Met LoA’s geven dienstverleners en identity providers aan elkaar door wat het gewenste- resp. bereikte betrouwbaarheidsniveau is waarmee de identiteit van gebruikers is vastgesteld. Een LoA zegt iets over het niveau van zekerheid bij zowel de registratie als bij authenticatie.

Het doorgeven van LoA’s binnen een federatie moet gestandaardiseerd gebeuren, want dienstverlener en identity provider moeten elkaar begrijpen. In standaarden zoals STORK en, meer recent, ISO 29115 worden de LoA’s beperkt tot vier niveaus, en wordt een poging gedaan om de semantiek van die vier niveaus vast te leggen.

Het dilemma voor de dienstverlener is het volgende: Een te laag niveau eisen levert security problemen op. Maar altijd het allerhoogste niveau eisen is ook niet wenselijk. Aan registratie en uitreiking zijn kosten gebonden. En zelfs als alle gebruikers een hoog niveau authenticatiemiddel hebben dan is er nog de usability van zo’n middel: hoog niveau authenticatiemiddelen zijn niet altijd even vriendelijk in het gebruik (zijn storend in de “customer journey”, zouden we tegenwoordig zeggen).

Bovengenoemde standaarden bieden helaas niet heel veel handvaten voor de dienstverlener bij het kiezen van het juiste betrouwbaarheidsniveau gegeven een online dienst. Eigenlijk staat er alleen maar dat de keuze voor een LoA gebaseerd moet zijn op risicoanalyse over het soort data dat door de dienst verwerkt wordt.

In een aantal sectoren zijn handreikingen gemaakt. Deze handreikingen zijn sector-specifiek. Daardoor kan concreter ingegaan worden op voor de sector relevante relevante risico’s, en kan een voor die sector specifiek data-classificatie raamwerk gebruikt worden. De handreiking beperkt zich ook vaak nog tot hele concrete technologie (alleen Web portals) en use-cases waardoor de handreiking nog concreter beschreven kan worden. Voor – en met – SURFnet en haar achterban hebben we vorig jaar een eerste versie van zo’n handreiking geschreven specifiek voor de hoger onderwijs- en onderzoekssector. Deze is te downloaden bij SURFnet.