Veilig en gemakkelijk inloggen met tiqr

[Onderstaand artikel komt uit Surf Magazine. Hier kunt u een gratis abonnement op nemen.]

Veruit de meeste internetgebruikers identificeren zich op websites met een gebruikersnaam en wachtwoord. Ook in de authenticatie- en autorisatiedienst Surffederatie wordt dit bij verreweg de meeste instellingen gebruikt. Naast het feit dat het onthouden van een of meer wachtwoorden lastig is, is in sommige gevallen een sterkere vorm van authenticatie wenselijk, bijvoorbeeld bij toegang tot gevoelige gegevens. Ook wie veel op reis is, wil zijn naam en wachtwoord niet zomaar op vreemde computers invoeren.

Met betrekking tot Surffederatie speelt bovendien dat de identiteit van een gebruiker steeds belangrijker wordt, omdat deze toegang verschaft tot steeds meer verschillende diensten. Dat maakt het voor criminelen aantrekkelijker om deze gegevens te stelen.

Moderne smartphone

Na een aantal experimenten heeft Surfnet een methode bedacht om veiliger en gemakkelijker in te loggen op internetsites. Om de applicatie tiqr te gebruiken, is alleen een moderne smartphone nodig. Bij tiqr hoeft er geen beveiliging op de Simkaart zelf gerealiseerd te worden.

Uit eerdere experimenten van Surfnet bleek dit lastig, omdat de mobiele operators eigenaar zijn van de Simkaart. tiqr is een app die optimaal gebruikmaakt van de mogelijkheden van een moderne mobiele telefoon: een camera, een internetverbinding en de mogelijkheid applicaties te installeren.

QR-code

Om bij een site in te loggen, start een gebruiker de tiqr-app en scant hij een QR-code (een tweedimensionale streepjescode) die zich op de site bevindt. De app vraagt vervolgens om bevestiging om in te loggen, waarna de gebruiker zijn PIN-code typt en is ingelogd. De beveiliging van tiqr vindt op twee niveaus plaats: op de mobiele telefoon en in de vorm van informatie die alleen de gebruiker weet.

Wat betreft het veiligheidsniveau zit tiqr tussen het aanmelden met naam en wachtwoord en een hardware token in. Die laatste oplossing, vooral door banken gebruikt, is het meest veilig, maar in de praktijk lastig te realiseren voor zo veel verschillende platformen en websites als er binnen de Surffederatie zijn.

Tiqr heeft een recente security audit in opdracht van Surfnet goed doorstaan. Op basis van ervaringen in een nog te houden interne pilot, besluit Surfnet later dit jaar of tiqr gebruikt zal worden als toegangmiddel voor haar bestaande diensten. Inmiddels is de tiqr-applicatie voor de iPhone en voor Android verkrijgbaar. Later zullen waarschijnlijk een versie voor de Blackberry en voor Windows Mobile 7 volgen.