“De chaos aan inlogcombinaties is eindelijk veilig te bestrijden”

“De chaos aan inlogcombinaties is eindelijk veilig te bestrijden”

Fraudeurs hebben al genoeg aan een naam en postadres en gebruiken steeds nieuwere methoden voor hun oplichtingspraktijken. Toch zijn er eenvoudige en innovatieve technologieën om jezelf tegen phishing te beschermen zoals een veilige digitale identiteit, elektronische handtekening en elektronische verzegeling. Dr. Paul Muntean, Senior Cyber Security Solution Architect bij Swisscom Trust Services, legt uit hoe deze technologieën je beschermen. En de chaos aan inlogcombinaties bestrijden.

Gecentraliseerde identiteit

Telkens wanneer een gebruiker zich online registreert met een gebruikersnaam en wachtwoord, wordt er een apart digitaal account aangemaakt. Gebruikers hebben zo in de loop der jaren ontelbare inlogcombinaties aangemaakt. Maar uit gemakzucht gebruiken ze vaak meerdere keren hetzelfde wachtwoord, een zo eenvoudig mogelijke combinatie van letters en cijfers, of zelfs beide tegelijk. Hoewel dit probleem kan worden vermeden door een wachtwoordmanager te gebruiken, speelt gegevensbescherming hier vaak een rol. Elk van de nieuw aangemaakte accounts wordt op zijn beurt gebruikt om gegevens over de gebruiker te verzamelen. En deze informatie kan uiteindelijk in handen van criminelen komen.

Dit risico kan worden tegengegaan met SSI, self-sovereign identity wat werkt volgens het principe van dataminimalisatie. Dit concept is gebaseerd op een zogenaamde vertrouwensdriehoek, bestaande uit de uitgever, eigenaar en controleur van identiteiten. De uitgever verwijst naar de bron van de referenties zoals overheidsinstellingen voor ID-kaarten en financiële instellingen voor creditcards. Eigenaars hebben deze referenties, slaan ze op en kunnen ze presenteren wanneer dat nodig is. Eigenaars van referenties kunnen echter ook op elk moment verzoeken van controleurs afwijzen. Bovendien is het niet nodig om de volledige referenties in te dienen, maar kan de relevante informatie eruit worden gehaald. Bijvoorbeeld een specifiek cijfer in een certificaat. Er is geen directe communicatie tussen de uitgever en de beoordelaar binnen de vertrouwensdriehoek.

Herkomst en veiligheid van handtekeningen

Het is inmiddels algemeen bekend dat de menselijke factor een van de grootste bijdragers is aan cyberincidenten bij bedrijven. Menselijke fouten die per ongeluk zijn gemaakt zijn goed voor 38 procent van de cyberincidenten in de laatste twee jaar.

Als gevolg hiervan wordt er door criminelen bij spam- en phishingactiviteiten veel energie gestoken in het zo legitiem mogelijk laten lijken van de communicatie. Criminelen worden steeds professioneler in hun aanpak en frauduleuze e-mails of sms-berichten zijn niet altijd direct herkenbaar.

Asymmetrische cryptografie

Elektronische handtekeningen of elektronische verzegelingen kunnen worden gebruikt om digitale communicatie ondubbelzinnig toe te wijzen aan een persoon of een bedrijf. De handtekening is gekoppeld aan een natuurlijk persoon, zoals een werknemer in het bedrijf. Dit, terwijl een verzegeling wordt toegewezen aan een rechtspersoon of instelling, d.w.z. het bedrijf zelf. Het principe achter beide varianten is bekend als asymmetrische cryptografie. Er is een privésleutel nodig om een gekwalificeerde elektronische handtekening of een elektronische verzegeling (encryptie) te maken.

Een publieke sleutel wordt gebruikt om dit bewijs te controleren (decoderen). De verbinding tussen de sleutelparen komt tot stand via een wiskundige bewerking die moeilijk terug te draaien is en een enorme hoeveelheid rekenwerk vereist. Dit betekent dat iemand die de private sleutel uit de publieke sleutel wil afleiden een supercomputer en veel tijd tot zijn beschikking moet hebben. Het is daarom in de praktijk gewoon niet de moeite waard om dit systeem aan te vallen. En dit maakt asymmetrische cryptografie zo veilig. In principe zijn gekwalificeerde elektronische handtekeningen in veel gevallen juridisch gelijkwaardig aan papieren handtekeningen, wat alle betrokken partijen een veilig gevoel geeft.

De hier beschreven elektronische handtekeningen moeten niet worden verward met de gebruikelijke e-mailhandtekening bij professionele communicatie. Deze eenvoudige handtekening bevat alleen de contactgegevens van de afzender, maar vervult geen enkele functie op het gebied van beveiligde digitale communicatie.

Universele toepassing noodzakelijk

Iedereen die een zakelijke e-mail elektronisch ondertekent, laat aan klanten, partners en collega’s zien dat ze veilig willen communiceren. Dit creëert wederzijds vertrouwen. Als je je inloggegevens beschermt met een zelfbeheerde identiteit, neem je effectieve maatregelen om de risico’s op het gebied van gegevens- en identiteitsbeveiliging aan te pakken. Deze innovatieve technologieën helpen immers zowel bedrijven als particulieren om fraudeurs een stap voor te blijven.