Zelfs het sterkste, ingewikkeldste wachtwoord heeft dodelijke zwaktes. Het is noch persoonsgebonden, noch eenmalig en vaak evenmin uniek. Reden genoeg voor banken om twee- of zelfs multifactorauthenticatie te gebruiken voor het beveiligen van online bankieren. Daarbij wordt een wachtwoord of pincode gecombineerd met een unieke, persoonsgebonden, eenmalige beveiligingssleutel. Vasco Data Systems is trouwens een van de belangrijkste leveranciers van dit soort beveiligingssystemen. Klassieke wachtwoorden volstaan niet meer om onze online identiteit te beschermen. Vooral niet omdat de meeste gebruikers uit praktische overwegingen overal hetzelfde wachtwoord gebruiken. Dat ze zelden of nooit wijzigen. Een hacker hoeft dan maar één systeem te kraken om de volledige online identiteit van zijn slachtoffer te kapen.

Gelukkig bieden steeds meer websites twee- of multifactorauthenticatie aan. Helaas gebruikt iedereen daarbij zijn eigen systeem. En even helaas zijn nog niet alle onderling verbonden diensten mee met die nieuwe evolutie. Wat we nodig hebben is een eenvoudige en universele sterk beveiligde inlog. Dat is precies wat Vasco met Mydigipass.com wil aanbieden.

Praktijk

Na de eerste inlog vraagt het systeem om een back-up digipass in te stellen: een telefoonnummer waarnaar een sms kan worden gestuurd met een eenmalig wachtwoord. Die kunt u gebruiken als uw primaire digipass gestolen wordt of verloren gaat. Mydigipass.com werkt met verschillende, maar niet alle soorten Vasco-digipassen. Bepaalde oudere enterprisetypes werken niet. U kunt als alternatief ook de gratis Mydigipass-app voor Android en iOS gebruiken, de java-digipass voor onder andere BlackBerry, Windows-software voor computers met een Intel IPT (Identity Protection Technology)-chip of een hardwarematige digipass van het type go6 (met slechts één knop) die u op de website van Vasco kunt kopen.

Wij testten de inlog met de nieuwe Digipass 810 eID, een hardwarepas waarmee u met uw Belgische identiteitskaart (eID) kunt inloggen op Mydigipass.com. De hardwaremethode is veruit de vlotst werkende: eID insteken, pincode intikken en de unieke code die op het schermpje verschijnt gebruiken om in te loggen.

We probeerden ook de Android-app, maar die werkte helaas niet correct op onze Motorola Atrix smartphone met Android 2.3.4. Het is de bedoeling dat u de app gebruikt om een QR-code te scannen. Zo kunt u de smartphone toevoegen als authenticator voor Mydigipass.com. Maar op de Atrix slaagde de app er niet in om de camera te gebruiken en konden we de QR-code dus niet scannen. Eens toegevoegd, genereert de app om de zoveel seconden een unieke inlogcode. De app werkt grotendeels op dezelfde manier als de Google Authenticator-beveiligingsapp die door sommige websites, waaronder die van Google zelf, wordt gebruikt.

Aan de websitekant kan het systeem gebruikt worden om gebruikers te authenticeren die al een Mydigipass.com-account hebben of om nieuwe of bestaande gebruikers toe te laten hun account te beveiligen met tweefactorauthenticatie. Ontwikkelaars kunnen voor de API en voor een testomgeving terecht op developer.mydigipass.com. De API werkt volgens de principes van de openbare OAuth 2.0-standaard en kan dus op de meeste websites eenvoudig worden toegepast. Voorlopig worden voor de authenticatieprocedure alleen Engels, Frans en Nederlands ondersteund. Vasco ontwikkelde ook kant-en-klare plug-ins met open broncode voor populaire cms'en zoals Drupal 6, Magento en WordPress en voor de programmeertalen Ruby en Ruby on Rails. Wij testten de WordPress-plugin en slaagden er binnen enkele minuten in om een testsite compatibel te maken met Mydigipass.com.

CONCLUSIE

Multifactorauthenticatie wordt alleen een succes met een eenvoudig en universeel inlogsysteem. Of Mydigipass.com dat systeem kan worden, is nog maar de vraag. Het werkt eenvoudig, maar is vooralsnog niet universeel. Websites moeten stevig in de buidel tasten voor Mydigipass.com. In specifieke markten (bijvoorbeeld de Belgische, waar de eID ingeburgerd is) en bij gespecialiseerde websites (financiële, e-commerce) kan het misschien wel een succes worden.

INFO

PRODUCT: MYDIGIPASS.COM

PRODUCENT: Vasco Data Systems, www.mydigipass.com

PRIJZEN: Starter: 100 activaties: gratis; €5 per bijkomende activatie; €150 voor 1.000 authenticaties beperkt tot één land.

PREMIUM: 500 activaties: €2.000/jaar; €1 per bijkomende activatie; €1.000 voor 10.000 authenticaties beperkt tot één land.

EXECUTIVE: €9.000 voor 10.000 activaties; €0,10 per bijkomende activatie; €12.000 voor 250.000 authenticaties beperkt tot één regio.

ACTIVATIE = één gebruiker die een Mydigipass.com account verbindt met de website.

Jozef Schildermans