Te vaak ziet Makaay, eID-specialist bij Signicat, dat bedrijven standaard werken met gebruikersnaam en wachtwoord, en soms met een SMS-bevestiging van authenticatie, met de gedachte dat het veilig is. “Ik ben nog redelijk digitaal-vaardig, maar ik krijg de kans meestal niet van dienstverleners om mijn accounts en gegevens goed te beveiligen”, legt ze uit. “Soms bieden ze SMS-authenticatie aan, dus het koppelen van mijn telefoonnummer. Maar dat is helemaal niet veilig.” Volgens Makaay wordt vergeten dat het apparaat, het telefoonnummer en de gebruiker drie verschillende dingen zijn. “We weten al tien jaar dat een telefoonnummer relatief eenvoudig te spoofen en te onderscheppen is. In 2016 is SMS al afgeschreven door het NIST.”
In plaats daarvan is het zaak dat dienstverleners overstappen naar veilige middelen, die multifactor-authenticatie aanbieden. “Denk aan authenticators en tokens als een Yubikey”, zegt ze. Die middelen geven de mogelijkheid om betrouwbaarder toegang te verlenen, sterk gebonden aan de gebruiker. Het is anders mogelijk voor cybercriminelen om met één gecompromitteerd account overal toegang toe te krijgen, zo waarschuwt ze. “Bedenk dat het voor criminelen hun core business is om te hacken en te phishen”, zegt ze. “Voor de gemiddelde dienstverlener is beveiliging iets dat erbij komt.”
De laatste jaren zijn de mogelijkheden hiertoe flink uitgebreid. Er bestaat een enorme keuze uit eID’s, die bovendien meer in zwang gaan raken als de Wet digitale overheid van kracht wordt. “Dan moeten overheidsonderdelen alle erkende eID’s accepteren”, zegt Makaay. “Dat betekent dat, naast DigiD, ook middelen als iDIN, IRMA of Cleverbase bekender worden bij het grote publiek.” Daar komt bij dat het inmiddels bijzonder kosteneffectief is om zulke middelen in te zetten die aan allerlei normen voldoen.
Onder de motorkap kan de implementatie erg intimiderend zijn. Maar ook dat probleem is weggenomen. Signicat, die vorig jaar maart de Nederlandse identiteitsspecialist Connectis overnam, biedt zulke kennis. Het Digital Identity Platform omvat volgens het bedrijf de meest uitgebreide suite van identiteitsverificatie en authenticatiesystemen ter wereld. “We zijn daarnaast binnen Europa een Qualified Trust Service Provider”, zegt Makaay. “We ondersteunen digitale handtekeningen op het hoogste rechtsniveau.” Toch is er nog werk te doen. “Veel organisaties komen uit een papieren procedure. Deze vertalen ze soms direct door naar hun digitale omgeving. Dan krijg je dat ze bij het aanmelden vragen om een scan van paspoort.” In heel veel gevallen is dat illegaal. “Het gaat om het vaststellen van de identiteit. Dat kan net zo goed met iDIN, die werkt met je bank-ID. Dat geeft een hoge mate van zekerheid.”
[Dit artikel is eerder gepubliceerd in ChannelConnect 2 – 2020]