Document

6.3 MiB
2945 Downloads
Details
Strong Mobile Authentication

Nu de overheid meer en meer mobiele toepassingen wil aanbieden en het veelal om gevoelige (persoonsgebonden) gegevens gaat, stelt zich de vraag naar een adequate beveiliging. Sterke authenticatie voor e-governmenttoepassingen op pc's en laptops gebeurt vandaag hoofdzakelijk via de eID. Aangezien de eID slechts beperkt compatibel is met smartphones en tablets hebben we op mobiele toestellen nood aan een alternatief.

Enerzijds ligt in een mobiele context de nadruk op gebruiksvriendelijkheid: men wil vaak snel eenvoudige opzoekingen of transacties uitvoeren. Anderzijds mag de gegevensveiligheid niet in het gedrang komen omwille van die context. Daarom is er een aangepaste oplossing nodig die tegelijkertijd gebruiksvriendelijk is en voldoende veiligheid biedt.

Er zijn heel wat oplossingen gebaseerd op een externe factor: hardwaretokens die een eenmalig wachtwoord genereren (OTP – One Time Password), externe kaartlezers, etc. Het belangrijkste nadeel van die oplossingen is de slechtere gebruikerservaring in een mobiele context. Deze spanning tussen enerzijds de behoefte aan gegevensbescherming en anderzijds de behoefte aan gebruiksvriendelijkheid werkt blokkerend voor een aantal innovatieve projecten.

Tijdens deze infosessie wordt eerst en vooral de problematiek geschetst van sterke authenticatie op mobiele toestellen. Vervolgens wordt er een overzicht gepresenteerd van de huidige mogelijkheden voor mobiele authenticatie in de context van CSAM, de toegangspoort tot de online diensten van de overheid. Tot slot wordt er een concept gepresenteerd voor een gebruiksvriendelijke én sterke mobiele authenticatie. Het concept steunt op een binding tussen een persoon en een specifiek toestel via een eID-bootstrapprocedure: de gebruiker moet aangemeld zijn met zijn eID om een toestel te kunnen linken aan zijn eGov-profiel. Van dit concept zal een prototype gedemonstreerd worden. We staan ook kort stil bij marktevoluties zoals biometrie en de FIDO Alliance (Fast IDentity Online), een consortium gericht op standaarden voor eenvoudige sterke authenticatie.




Maintenant que l'État entend proposer de plus en plus d'applications mobiles et qu'il s'agit souvent de données sensibles (à caractère personnel), une sécurisation adéquate s'impose. L'authentification forte pour les applications e-gouvernementales sur PC et ordinateur portable s'effectue aujourd'hui essentiellement via l'eID. Vu que l'eID n'est compatible que de façon limitée avec les smartphones et les tablettes, il convient de trouver une alternative sur les appareils mobiles.

D'une part, dans un contexte mobile, l'accent repose sur la convivialité : bien souvent, on souhaite effectuer rapidement des recherches ou des transactions simples. D'autre part, la sécurité des données ne peut pas être compromise en raison de ce contexte. C'est pourquoi il s'agit de trouver une solution adaptée qui procure à la fois convivialité et sécurité suffisante.

De nombreuses applications sont basées sur un facteur externe, qu'il s'agisse de tokens hardware générant un mot de passe unique (OTP - One Time Password), de lecteurs de carte externes, etc. Ces solutions ont comme principal inconvénient de nuire à l'expérience utilisateur dans un contexte mobile. Ainsi, cette tension entre le besoin de protection des données et le besoin de convivialité constitue un frein à divers projets novateurs.

Lors de cette séance d’information, vous découvrirez premièrement la problématique de l'authentification forte sur les appareils mobiles. Ensuite sera dressé un aperçu des possibilités d'authentification mobile actuelles dans le contexte de CSAM, le port d'accès aux services en ligne de l'État. Enfin, un concept permettant une authentification à la fois conviviale et forte sera présenté. Ce concept repose sur une connexion entre un individu et un appareil spécifique via une procédure "eID bootstrap" : l'utilisateur doit être identifié avec son eID pour pouvoir associer un appareil à son profil eGov. Le concept sera démontré à l'aide d'un prototype. Nous examinerons aussi brièvement les évolutions du marché comme la biométrie et la FIDO Alliance (Fast IDentity Online), un consortium axé sur les standards de l'authentification à la fois forte et simple.

Languages:Nederlands
Author:Bert Vanhalst
Category:Presentation
Date:2015/03
Keywords:Mobile, Security
Download:Download