Tiqr voor een sterke tweede factor

Sterke Authenticatie op basis van een tweede factor

tiqr-step-1Gebruikersnaam en wachtwoord zijn niet veilig genoeg meer voor sommige toepassingen, zoals internet bankieren. Om aan te tonen dat we de juiste persoon zijn, moeten we niet alleen iets kunnen overleggen wat we weten (gebruikersnaam + wachtwoord) maar ook iets wat we hebben: een SMS op een telefoon of een code die door een token gegenereerd wordt.

Over die tweede factor is een hoop te doen. Wat is een sterke tweede factor en hoe moeilijk is het deze te gebruiken? Een code laten genereren door je banktoken is niet moeilijk, maar je hebt hem niet altijd op zak. Een SMS op je telefoon is dan makkelijker, maar volgens sommigen minder veilig (het GSM netwerk wordt niet meer als waterdicht beschouwd). Een vingerafdruk op je mobiele telefoon? Super, maar de browser op je PC kan er niets mee.

Een veelgebruikte, redelijk sterke en gebruiksvriendelijke tweede factor is de op RFC-4226 en RFC-6238 gebaseerde Google Authenticator waar je in deze blog over kunt lezen.

Toch vonden de makers van Tiqr dat het beter kon. In Google Authenticator zit bijvoorbeeld nog een handmatige stap bij het overtypen van de OTP (One Time Password) code. Tiqr voorkomt deze stap als er een internetverbinding gedetecteerd wordt; alle communicatie vindt dan op de achtergrond plaats nadat een QR code gescand is.

Bovendien zijn alle persoonlijke secrets met een dienst-specifieke pincode versleuteld, die zonder medewerking van de dienst niet gecontroleerd kan worden. Dit komt omdat de app geen controle op de gedecodeerde secret uitvoert, maar deze blindelings gebruikt voor het berekenen van een moeilijke som die is gebaseerd op een gegeven getal, waardoor alleen de ontvangende dienst kan bepalen of de pincode juist was. Het voordeel hiervan is dat de code niet vaker dan een vooraf ingesteld aantal pogingen geprobeerd kan worden, omdat deze beperking door de dienst afgedwongen kan worden.tiqr-step-3

Bij het intypen van de pincode krijgt de gebruiker een vernuftig uitgekiende visuele feedback, zodat in één oogopslag te zien is of de code juist is ingevoerd, zonder informatie over de code te onthullen! De ingetypte cijfers veranderen in plaatjes, die afhankelijk zijn van de eerder ingetypte getallen. Je krijgt zo altijd hetzelfde eind-silhouet te zien als je de juiste pincode in toetst (zie figuur hiernaast).

Als geen internetverbinding gedetecteerd wordt, valt Tiqr terug op handmatig de code overtypen, waarbij het weer sterkt lijkt op Google Authenticator met het voordeel van de dienst-specifieke pincodes, want die blijven!

Tiqr is een idee van SURFnet en wordt ingezet voor de nieuwe “Sterke Authenticatie” dienst die recent in de markt gezet is. Het wordt in samenwerking met Egeniq en Stroomt interactions ontwikkeld.

https://tiqr.org/