In onze bijna volledig digitale maatschappij worstelen gebruikers met het verzinnen, onthouden en weer vervangen van wachtwoorden, op hun telefoon of tablet, bij het gebruik van social media, e-commerce, online banking en online bestellingen. En dat, terwijl de (financiële) waarde van de online transacties steeds verder toeneemt.
“Het is verbazingwekkend hoe lang we het vol kunnen houden met wachtwoorden en niet-gestandaardiseerde inlogmethoden. Logisch dat het vaak fout gaat, met serieuze datalekken en financiële stroppen tot gevolg”, zeggen Friso Geerlings (CTO, ISAAC) en Leon Stemerdink (Senior Software Developer, ISAAC). “Blijkbaar zijn de voordelen van de online services groot genoeg om de (privacy) risico’s te aanvaarden”.
Zaken waar Mobile Connect met een nieuwe, veilige login via smartphones definitief een einde aan gaat maken. Geerlings en Stemerdink zochten uit hoe deze nieuwe internationale standaard, in Nederland geïntroduceerd door KPN, werkt. Ze zoomen in op de kenmerken én voorspellen in welke context dit nieuwe product succesvol kan worden.
Eén standaard login, in plaats van 25 wachtwoorden
Gemiddeld moeten mensen in Nederland voor alle websites en applicaties die ze gebruiken ongeveer 25 wachtwoorden onthouden. En bij voorkeur zijn al die wachtwoorden uniek. De meeste mensen kiezen echter telkens voor eenzelfde wachtwoord of één die een variant is op een bestaande.
Ontstaat er ergens een lek, dan is een wachtwoord voor andere toepassingen eenvoudig te kraken. “Online veiligheid waarborgen is daarom erg belangrijk”, zegt Huub Appelboom (Product Owner Mobile Connect, KPN), “maar dat moet wel samengaan met gemak voor gebruikers.” Door Mobile Connect toe te passen worden gebruikersgemak, veiligheid en privacy gewaarborgd.
Mobile Connect als ‘Second Factor’ in MFA
De huidige manier om problemen bij hergebruik van wachtwoorden en gehackte computers enigszins onder controle te houden, is Multi Factor Authentication (MFA). MFA wordt bijvoorbeeld ingezet door aanbieders als banken en de grote social media platformen. “Maar MFA is ook ‘moeilijk'”, zegt Geerlings. Hij geeft daarbij enkele voorbeelden:
MFA vereist het opzetten van een compleet ecosysteem, zoals DigiD dat heeft met e-mails, brieven en identiteitscontrole of zoals banken dat hebben met brieven, pasjes en identifier apparaatjes. En zelfs een eenvoudig systeem met sms’jes vraagt vaak om een hele afdeling van mensen die zich met resets bezighoudt.
De conversie neemt sterk af in transactionele omgevingen en e-commerce, omdat gebruikers ‘eerst even hun MFA-token moeten opzoeken’ of zelfs de hele MFA-setup moeten resetten.
Huidige MFA-methoden zijn niet internationaal gestandaardiseerd. Sms-verificatie is eigenlijk de enige methode die voor bijna iedereen werkt, maar dat is niet de meest veilige optie. ‘Cross border authentication’ van andere oplossingen dan sms zijn vaak niet mogelijk, omdat veilige inlogmethoden meestal gebonden zijn aan een land of gebied (denk aan iDIN of DigiD). En dat is weer onhandig als bedrijven internationaal opereren.
Digitale identificatie is vooralsnog met bestaande methoden slechts beperkt mogelijk. Er zijn nóg geen methoden beschikbaar die overal inzetbaar zijn én met een waarschijnlijkheidsscore van nagenoeg 100% kunnen vaststellen of de gebruiker van een apparaat wel de gebruiker is die hij zegt te zijn. Handmatige, arbeidsintensieve ‘know your customer’ (KYC) processen blijven daarmee vaak de norm.
Als het gaat om MFA kan Mobile Connect echter veel belemmeringen wegnemen, omdat het kan worden ingezet als gestandaardiseerde tweede verificatiestap. Stemerdink zegt hierover: “Daarmee creëer je een win-winsituatie, omdat het beveiligingsniveau van Mobile Connect flink hoger is dan de gemiddelde tweede verificatiestap in een MFA-oplossing. Bovendien kan het door eindgebruikers heel eenvoudig worden doorlopen. Dat maakt Mobile Connect zowel een veiligere, als eenvoudigere MFA-oplossing”.
Gemak voor gebruikers
Gebruikers hoeven voor Mobile Connect niets te installeren. En inloggen kan meteen met elke mobiele telefoon. Men bevestigt eenvoudig logins op hun smartphone, zonder daar wachtwoorden, codes of instellingen op hun smartphone voor nodig te hebben.
De inlogprocedure is bovendien herkenbaar. In de sterkste variant lijkt het op de inlog in de app van bijvoorbeeld Nederlandse grootbanken en zorgverzekeraars, namelijk met een vijfcijferige code. In de uitgeklede variant geven gebruikers alleen een ‘OK’ op hun smartphone. Op beide manieren maakt Mobile Connect inloggen bij websites en digitale applicaties makkelijker en hoeven gebruikers zich nooit meer door het ‘wachtwoord-vergeten’-proces te worstelen. Veiligheid van gebruikers, persoonsdata en data van bedrijven kunnen ook beter worden gegarandeerd.
“En met de wereldwijde adoptie van Mobile Connect als MFA, is dit het product dat straks de wereldwijde standaard wordt voor mobiele authenticatie, zegt Appelboom. De toepassing is al in meer dan 30 landen beschikbaar, wordt aangeboden door 60 verschillende netwerkaanbieders en kent meer dan 473 miljoen gebruikers wereldwijd.
“Online veiligheid waarborgen is belangrijk, maar gemak is voor gebruikers is dat ook. Mobile Connect is dé oplossing die dat juist combineert: gebruiksgemak, veiligheid en privacy. En met een wereldwijde adoptie, is dit het product dat straks de wereldwijde standaard wordt voor mobiele nummer authenticatie.” – Huub Appelboom (Product Owner Mobile Connect)
Voordelen van Mobile Connect voor bedrijven
Stemerdink legt uit dat deze SaaS-service ook op het gebied van integratie veel te bieden heeft:
- In tegenstelling tot andere MFA-methoden kan Mobile Connect makkelijker op schaal worden uitgerold en cross border worden ingezet.
- Er is minder tijd en budget nodig om Mobile Connect als MFA-methode op te zetten en te onderhouden. Mobile Connect is namelijk een SaaS-service die wordt uitgerold en onderhouden door telecomaanbieders, zoals KPN.
- Omdat de functionaliteit van Mobile Connect komt vanuit de SIM-kaart in een smartphone, is het niet nodig om een aparte app te ontwikkelen of beschikbaar te stellen. Standaard is Mobile Connect beschikbaar op moderne smartphones. Eenvoudig uitgelegd: wanneer vanuit een telecomaanbieder een verzoek binnenkomt op de SIM-kaart, verschijnt automatisch een authenticatie en autorisatie pop-up op de smartphone. Via de telecomaanbieder komt vervolgens het bericht terug of de autorisatie is gelukt. Om dat mogelijk te maken, biedt KPN een service aan die werkt met alle telecomaanbieders.
Binnen Single Sign-On (SSO) oplossingen wordt Mobile Connect straks een nieuwe standaard. Je integreert het als methode in bijvoorbeeld Red Hat SSO, AWS Cognito, Okta of je Ping Identity platform. Die integratie wordt uiteindelijk zo makkelijk als het aanzetten van vinkjes en zetten van twee configuratievelden. Maar nu Mobile Connect nog in de kinderschoenen staat, komt er op dit moment nog iets meer bij kijken met enkele API calls.
Mobile Connect kan op twee manieren worden toegepast: als losstaande loginmethode of als tweede verificatiestap in Multi Factor Authentication. Dat maakt Mobile Connect een flexibel product dat in veel verschillende contexten toepasbaar is.
In de nabije toekomst gaat Mobile Connect ook identificatie afdekken. Een gunstig vooruitzicht voor ieder bedrijf dat zich moet houden aan strenge compliancy regelgeving en daar nu nog arbeidsintensieve ‘know-your-customer’ (KYC)-processen voor inzet.
Het viel Geerlings en Stemerdink meteen op dat Mobile Connect met Developer Experience in het achterhoofd is ontworpen. “Dat klopt”, zegt Robert Hordijk (Commercial Lead Mobile Connect, KPN), ‘Mobile Connect maakt gebruik van de gestandaardiseerde OpenID Connect interface, waardoor je het vlot in je applicatie kunt implementeren. Het is daarom ook interessant dat bedrijven die gespecialiseerd zijn in Single Sign-On en Identity & Access Management, zoals ISAAC, nu al serieus aan de slag gaan met Mobile Connect. Daarnaast is het waardevol om al in een vroeg stadium van dit soort experts feedback te krijgen over een nieuw, revolutionair product als Mobile Connect”, aldus Hordijk.
De grilligheid van de praktijk
Geerlings: “Bij ISAAC ontwikkelen we e-commerceplatformen, digitale applicaties, mobile apps en richten Identity- en Access Management van grote(re) IT-landschappen in. Daardoor zijn we bij ieder project nauw betrokken bij implementaties van inlog- en autorisatiemethoden. We zien regelmatig, dat bedrijven aanlopen tegen de eerdergenoemde beperkingen. En tegen de impact van user authenticatie en autorisaties.
Zo is er bijvoorbeeld in het buitenland niet altijd een oplossing voor personenverificatie, zoals wij in Nederland bijvoorbeeld DigiD kennen. Wat trouwens wel slechts beperkt inzetbaar is, omdat toegang tot de service van DigiD afhangt van je type bedrijf of instelling. Dat maakt de digitale onboarding van nieuwe klanten bij een bank, abonneedienst of ander bedrijf waar identiteit een speerpunt is, vaak een lastig verhaal.”
“Ook dichter bij huis zien we vergelijkbare voorbeelden. Sommige bedrijven zetten iDIN (dat grotendeels via je banklogin loopt) in voor identificatie, maar dat schrikt veel mensen af. Ze vragen zich af: waarom wordt mijn bank bij deze aanvraag of transactie betrokken? Geef ik toestemming voor een afschrijving? Dat werkt conversie in bijvoorbeeld e-commerce niet echt in de hand. Is je bedrijf ook actief in België? Dan valt iDIN alweer af, omdat het een Nederlandse oplossing is. Kortom, authenticatie en autorisatie technisch goed inrichten én gebruiksvriendelijk aanbieden, is een flinke klus”, vertelt Geerlings.
“Mobile Connect is ontworpen met Developer Experience in het achterhoofd. Daarom is het interessant dat bedrijven die gespecialiseerd zijn in Single Sign-On en Identity & Access Management, zoals ISAAC, hier nu al serieus mee aan de slag gaan.” – Robert Hordijk (Commercial Lead Mobile Connect)
Business cases voor Mobile Connect
Geerlings en Stemerdink staan bij ISAAC dan ook te popelen om logins en MFA met Mobile Connect in te richten voor hun klanten. “Mobile Connect faciliteert alle processen waarbij data van personen en bedrijven een rol spelen. Dus in principe is voor ieder e-commerceplatform of digitale dienst Mobile Connect interessant”, zegt Geerlings. Vanwege de karaktereigenschappen van Mobile Connect voorzien zij in een aantal specifieke gevallen dat de nieuwe dienst een wezenlijk verschil maakt:
B2C in digitale omgevingen waar consumenten niet zo vaak komen, een pensioendashboard bijvoorbeeld. Daar loggen mensen misschien één keer per jaar aan en wil je gebruikers weghouden bij de ‘wachtwoord-vergeten-hassle’. Mobile Connect kan hier perfect een uitkomst bieden. Het is een heel veilige oplossing voor een dienst als digitaal pensioenen regelen en inzien. B2B in digitale omgevingen waar transacties met hoge (financiële) waarde plaatsvinden, NDA’s of gevoeligheid een rol spelen. Bijvoorbeeld bij digitale incassodienstverlening, waar bedrijven hun incassozaken digitaal uploaden en kunnen volgen. Of bijvoorbeeld in een management portaal van SaaS- of PaaS-oplossingen waar impactvolle configuraties kunnen worden aangepast of gevoelige (bedrijfs)informatie inzichtelijk en aanpasbaar is. B2E bij authenticatie van medewerkers voor onder andere HR-portals, salarissen, tooling voor persoonlijke ontwikkeling en coaching, ziekmeldingen, e-mail logins.
In de titel stelden we: ‘Mobile Connect lost de worsteling met gebruikersnamen en wachtwoorden op’. Geerlings en Stemerdink onderstrepen dat: “Mobile Connect gaat dat zeker doen. We durven eigenlijk wel te stellen dat deze innovatieve oplossing één van de eerste is, die ervoor zorgt, dat over een tijdje niemand meer gebruikersnamen en wachtwoorden nodig heeft.” Het zal van de adoptiesnelheid van bedrijven afhangen wanneer dat werkelijkheid is geworden, maar die richting gaat het op. “Mobile Connect is een revolutie op het gebied van Identity en Access Management, waarbij de techniek nu een duidelijke handreiking doet naar gebruikers. En zo zien wij dat natuurlijk ook graag: technische oplossingen met een goede User Experience én Developer Experience”, besluit Geerlings.
