Sharing IT Best Practices with youSharing IT Best Practices with you
One Time Password
Een sterke authenticatiemethode, zoals een One Time Password (OTP) hoort eigenlijk bij het implementeren van SaaS-applicaties. Dit zorgt voor een sterkere authenticatie dan alleen maar wachtwoorden. SaaS-providers ondersteunen meestal geen authenticatiealternatieven naast eenmalige aanmelding en een gebruikersnaam en wachtwoord. Een sterkere authenticatie vereist het gebruik van een hardware-token of tokenloze OTP-mogelijkheid voor gebruikers die kiezen voor het ontvangen van een sms. Deze oplossing ken je vast wel van de ING bank die SMS berichten stuurt voor het bevestigen van transacties. Het versturen van codes via Apps behoort ook tot de mogelijkheden.
Bij veel OTP apps is het de administrator of manager die SaaS applicaties online aanmeldt. Zodra een SaaS applicatie is geregistreerd bij de App ontvangt je een applcatie ID. Die kan je gebruiken om wachtwoordloze aanmelding of hoogwaardige transacties in de SaaS toepassing te implementeren. Via een API kan je SaaS toepassing nu een One Time Password verzenden via SMS. Gebruikers kunnen van af dat moment gebruik maken van de authenticatietoepassing of soft tokens.
Gebruikers die geen SMS berichten kunnen ontvangen omdat ze een slechte ontvangst hebben, kunnen offline soft tokens genereren. Daarnaast gebruikt je de API om deze tokens te verifiëren en vast te stellen dat de gebruiker inderdaad toegang heeft tot het juiste telefoonnummer.
Two factor authenticatie is mogelijk op met behulp van ieder mobiel apparaat met daarop een App voor het genereren van een One Time Password. Een dergelijke App kan eenmalig een wachtwoord genereren zonder data via internet te verzenden. Op deze manier kan de gebruik maken van een traditionele methode voor Two Factor authenticatie. Met één druk op de knop ontvangen gebruikers een One Time Password om statische gebruikersnamen en wachtwoorden mee aan te vullen voor extra beveiliging.
Dergelijke Apps generen eenmalige wachtwoorden voor ieder mobiel apparaat op de markt: iPhones, iPads, Android-telefoons, Android-tablets, Blackberrys enzovoorts.
Als je de OTP API belt om een sms-gestuurde verificatie te starten, controleert het systeem automatisch of je als eerder de app hebt gedownload. Als het apparaat bekend is, verstuurt de API standaard de Two-Factor code. Dat hoeft dan niet per SMS. De App stuurt een pushmelding naar het apparaat en vraagt de gebruiker de app te starten om de code te krijgen.
Als de App geen gegevens heeft over de gebruiker van het apparaat, stuurt de API de code via SMS. Met deze oplossing voorkom je dat er telkens een code per SMS wordt verzonden. De gebruiker kan echter meestal wel kiezen voor “Verzend SMS”. Dit kan hij dan instellen in zijn app.
Als je een gebruiker registreert kan hij automatisch Soft Token codes genereren in de App met het telefoonnummer waarmee hij geregistreerd is. Als admin kan je deze functie uit of aan zetten per gebruiker.
Om een One Time Password in je SaaS applicatie te kunnen valideren moet je een kleine stukje code opnemen.
Andere Authenticatie-apps, zoals Google Authenticator, maken gebruik van een QR-code. Deze wordt aan de gebruikers getoond zodat ze hem met een app op hun SmartPhone kunnen uitlezen. De QR code bevat een unieke OTP code. De app genereert een inlogcode of leg direct contact met de SaaS applicatie die de toegang vrijgeeft.
Wanneer je een QR-code aan een gebruiker verstrekt, moet je ervoor zorgen dat je deze code valideert voordat je hem toegang geeft tot zijn account.
Een One Time Password biedt een uiterst veilige 2FA-oplossing, een combinatie van een eenvoudig te gebruiken mobiele applicatie met een verplichte pincode en extra beveiligingsconfiguraties zoals een beveiligingsvraag. Deze oplossingen bieden strikte beveiligingsmaatregelen, zowel aan de kant van de server als aan de kant van de mobiele toepassing. Alle informatie die een aanvaller van de server of mobiele applicatie haalt, blijft onbruikbaar vanwege het volgende strikte beveiligingsbeleid:
De gebruiker voert de PIN in de App in, die vervolgens een OTP genereert om de gevraagde transactie te valideren.
In deze configuratie voert de gebruiker, naast de PIN, de door de server gegenereerde challenge-code in. Deze stuurt de gebruiker naar het transactie kanaal (e-banking, m-banking, ATM). De server geeft transactiespecifieke gegevens door aan de gebruiker, zodat de gebruiker kan vaststellen dat hij de juiste transactie autoriseert die hij van plan is te autoriseren.
Een extra beveiligingsmaatregel kan worden geboden in de vorm van beveiligingsvragen.
De kosten per gebruiker en de integratievereisten voor het inzetten van een One Time Password kunnen sterk verschillen. Daarom kies je voor een flexibele oplossing met meerdere opties zoals:
Discussieer mee op LinkedIn.
Mogelijk is dit een vertaling van Google Translate en kan fouten bevatten. Klik hier om mee te helpen met het verbeteren van vertalingen.