NIST specificaties voor betrouwbaarheid van authenticatie

Gepubliceerd op: 08/08/2016

Het Amerikaanse National Institute of Standards and Technologie (NIST) heeft nieuwe concept specificaties voor betrouwbaarheidsniveaus van authenticatie gepubliceerd. Ten opzichte van de oude NIST specificatie en de kaders van bijvoorbeeld STORK, eIDAS of Idensys wijken ze behoorlijk af in termen van gedetailleerdheid, structuur en inhoud. De specificaties zijn behoorlijk gedetailleerd uitgewerkt en dat is een hele verbetering ten opzichte van de vorige NIST versies. Qua structuur vallen een paar dingen op:

NIST maakt expliciet onderscheidt in betrouwbaarheidsniveaus voor identiteitsvaststelling & registratie (IAL), authenticatiemiddelen & beheer (AAL), en identiteitsverklaringen & federaties (FAL). Vooral in STORK en Idensys, en in mindere mate in eIDAS, wordt dit onderscheid veel minder expliciet gemaakt wat ten koste gaat van de helderheid.
Voor IAL en AAL worden slechts drie niveaus onderkent; voor FAL vier. De ‘oude’ STORK niveaus 2 en 3 worden in de nieuwe NIST specs samengevoegd tot één niveau. Hierdoor wordt het onderscheidt met het hoogste betrouwbaarheidsniveau scherper. Deze reductie van het aantal niveaus zal voor de eindgebruiker en dienstaanbieders ook meer duidelijkheid creëren.
Er is weinig aandacht voor eisen betreffende de administratieve organisatie van authenticatiedienstverleners: zijn ze ISO27001 gecertificeerd, zijn de processen goed beschreven, is er een aansprakelijkheidsverzekering, hoe is de financiële situatie, etc. Ook ontbreken er normen voor machtigingen/bevoegdheidsverklaringen zoals in eHerkenning noodzakelijk is. Hierdoor is de nieuwe NIST aanpak minder holistisch dan eIDAS of Idensys.

Misschien nog wel belangrijker zijn de inhoudelijke eisen die worden gesteld aan de betrouwbaarheidsniveaus. Hier vallen o.a. de volgende zaken op:

Het gebruik van SMS als out-of-band kanaal voor het versturen van one-time-passwords (OTPs) wordt afgeraden. Veel Idensys en eHerkenning authenticatieoplossingen maken hier gebruik van. Alternatieven als e-mail, mobiele apps of hardware tokens zijn echter minder veilig of duurder.
Er is aandacht voor biometrie, een steeds populairder wordende authenticatiefactor. In de STORK, eIDAS en Idensys specificaties wordt hier nauwelijks aandacht aan besteed.
Er worden strikte eisen gesteld aan herauthenticatie tijdens gebruikerssessies.

Hoewel de normen nog niet zijn uitgewerkt, claimt NIST aandacht te besteden aan privacy en gebruikersvriendelijkheid, twee aspecten die tot nu toe in veel normenkaders onderbelicht zijn gebleven.

Al met al tilt NIST het concept van betrouwbaarheidsniveaus voor authenticatie met de nieuwe specificaties naar een hoger volwassenheidsniveau. Veel elementen zijn herbruikbaar om de normenkaders voor eIDAS en Idensys/eHerkenning verder te concretiseren en te optimaliseren.