GRC en Assuring > Authenticatie-, autorisatiemiddelen en digitaal ondertekenen
Woensdag 11 oktober 2023
Seminar RPA en robotic accounting
Robotic Process automation (RPA), Business Intelligence (BI), Artificial Intelligence (AI) in Business applicaties, Sustainability geïntegreerd in boekhoudsoftware, E-factureren, Open banking en de Gids boekhoudsoftware 2023 en innovaties.
Meer informatie en aanmelden.
Laatste nieuws |
---|
Wmebv: recht voor ondernemers en burgers om digitaal met de overheid te communiceren
(07-09-2023)
Op 9 mei 2023 heeft de Eerste Kamer de Wet modernisering elektronisch bestuurlijk verkeer (Wmebv) aangenomen. Door deze wet krijgen burgers en ondernemers het recht om digitaal met de overheid te communiceren. De overheidsinstantie moet de digitale kanalen aanwijzen die men daarvoor kan gebruiken. De Wmebv treedt voor het grootste gedeelte in werking op 1 juli 2024. Overheden kunnen nu alvast starten met de voorbereiding. |
GeONE lanceert integratie tussen M-Files en PKIsigning (07-09-2023) |
Accountantssoftware SecureLogin heet voortaan Hix (17-07-2023) |
Visma neemt Validsign over, aanbieder digitaal ondertekenen (04-07-2023) |
Bizcuit en Hix (voorheen bekend als SecureLogin) zijn een partnership aangegaan (04-07-2023) |
Raadpleeg nieuwsarchief... |
Automatisch op de hoogte blijven?
Schrijf u in voor onze gratis
nieuwsbrief.
Rapport over cybersecurity met authenticatie- en autorisatiemiddelen
Met als subtitel “Ondertekenen, wachtwoordmanagers, single sign-on en beveiligd berichtenverkeer”.
Dit rapport is primair gericht op authenticatie- en autorisatiemiddelen voor de eindgebruiker in zowel het bedrijfsleven, bij de overheid als binnen de accountancysector. Aan de orde komen begrippen als authenticatie, autorisatie, 2FA, MFA, Single sign-on, Elektroniche handtekening, eID, eIDAS en OAuth 2.0.
Naast inzicht in de gehanteerde begrippen is het rapport opgebouwd rondom de volgende 3 thema’s:
Opvragen en meer informatie over het rapport "Cybersecurity met authenticatie- en autorisatiemiddelen".
Authenticatie en autorisatie
Authenticatie is het proces om de identiteit van een gebruiker of van een systeem te verifiëren (= controleren en vast te stellen). Wettelijke term: authentificatie. Ook wel uitgelegd als: is degene ook degene die hij of zij zegt te zijn.
Autorisatie heeft betrekking op personen die binnen of namens een organisatie bevoegd en/of gemachtigd zijn bepaalde handelingen (of transacties) te verrichten.
Digitaal ondertekenen
Dit staat in relatie tot de “Elektronische handtekening”. Een gekwalificeerde elektronische handtekening wordt dan juridisch gelijkgesteld aan een gewone ‘natte’ handtekening. Een voorbeeld van een gekwalificeerde elektronische handtekening is het PKIoverheid Persoonsgebonden certificaat (zie hierna).
Meer uitleg over de elektronische handtekening...
Wachtwoordmanager en Single sign-on
Is single sign-on het zelfde als een wachtwoordmanager?
Een (traditionele) wachtwoordmanager geeft de gebruiker de mogelijkheid meerdere wachtwoorden met verschillend gebruik op te slaan in één online omgeving. Als de gebruiker inlogt in deze laatste omgeving is er daarmee toegang tot andere applicaties, met behulp van het door de gebruiker toegekende wachtwoord. Een gebruiker bepaalt vooraf zelf verschillende wachtwoorden voor bijvoorbeeld LinkediN, Google en een online boekhoudpakket. In plaats van deze wachtwoorden uit het hoofd te onthouden of op te schrijven op een lijstje worden deze wachtwoorden centraal opgeslagen via een wachtwoordmanager. Het risico dat een gebruiker een zwak (en dus eenvoudig te hacken) wachtwoord heeft gekozen blijft hiermee het zelfde. Een extra risico is dat de wachtwoordmanager wordt gehacked, dan liggen alle wachtwoorden op straat.
Van Single sign-on (SSO) is sprake als een gebruiker inlogt in een applicatie en daarmee automatisch toegang heeft tot andere applicaties, ongeacht platform en technologie. Zonder dat de gebruiker per applicatie een apart wachtwoord hoeft op te geven. Single sign-on betekent niet per definitie dat er geen wachtwoorden opgeslagen worden bij de Single sign-on toepassing. Dit laatste is sterk afhankelijk van de techniek, zoals OAuth 2.0, die gebruikt wordt om de Single sign-on toepassing te koppelen aan andere applicaties zonder de opslag van wachtwoorden. Dit laatste willen we u zeker als aandachtspunt meegeven.
Beveiligd berichtenverkeer
In de basis kan een meegezonden document beveiligd worden met een wachtwoord. In kantoortoepassingen als PDF, Word en Excel is het genereren van een wachtwoord standaard beschikbaar. Het wachtwoord moet dan wel vooraf en apart aan de beoogde ontvanger van het document toegekomen worden. Om (vertrouwelijke) documenten uit te wisselen maken accountants- en administratiekantoor ook wel gebruik van een portaal. Dit laatste al dan niet in combinatie met Multi factor authenticatie (MFA). Er zijn ook aparte tools om berichtenverkeer met behulp van email (bijlagen) te beveiligen.
eHerkenning
Regelt digitale identificatie door bedrijven. Wordt ingezet door de overheid en andere organisaties. Centraal staat de gedachte dat bedrijven met één herkenningsmiddel elektronisch diensten kunnen afnemen bij verschillende overheidsdienstverleners en eventueel andere organisaties.
Meer uitleg over eHerkenning...
PKIoverheid (certificaten)
PKIoverheid staat voor een normenkader PKI certificaten met aanvullende eisen vanuit de overheid en waarmee de certificaten goed gebruikt kunnen worden voor elektronische communicatie met de overheid.
PKIoverheid maakt onderscheid tussen services- en persoonsgebonden certificaten. Een handtekening die is geplaatst met een PKIoverheid persoonsgebonden certificaat is een ‘gekwalificeerde elektronische handtekening’ met dezelfde rechtsgeldigheid als een handgeschreven handtekening.
Meer uitleg over PKIoverheid...
Software opvragen |
---|
Authenticatie- en Autorisatiemiddelen |
Digitaal ondertekenen |
Wachtwoordmanagers en Single sign-on |
Beveiligd (email)berichtenverkeer |
Laatste artikelen |
---|
Cybersecurity toegepast op uw kantoor: presentaties beschikbaar
(14-10-2021)
Op woensdag 13 oktober 2021 heeft de bijeenkomst "Cybersecurity toegepast op uw kantoor", georganiseerd door DOCCO en GBNED, plaatsgevonden te Expo Hoevelaken. Presentaties van sprekers zijn beschikbaar. |
Rapport: Cybersecurity met authenticatie- en autorisatiemiddelen (met ondertekenen, wachtwoordmanagers, single sign-on en beveiligd berichtenverkeer) (28-01-2020) |
Naar archief artikelen... |
Laatste blogs |
Voorkom fraude bij uitbetaling salaris: voldoe aan de WAS met de IBAN-Naam Check
(09-04-2023) Fraudeurs hebben het zeker niet alleen gemunt op de wereld van het grote snelle geld. Ook bij 'eenvoudige' salarisbetalingen kunnen ze op grote schaal schade aanrichten. Werkgevers hebben hierbij een verantwoordelijkheid om rekeninginformatie dubbel te checken en dat kan omslachtig zijn. Maar, daar is een oplossing voor. |
Drie methoden voor identiteitsverificatie (31-03-2023) | Herziening eIDAS, komst Europese digitale identiteit (29-11-2022) |
---|
Naar archief blogs... |
Relevante begrippen |
---|
Elektronische handtekening
Het ondertekenen van digitale berichten vindt plaats via een elektronische handtekening. Het gewenste niveau van betrouwbaarheid speelt een belangrijke rol bij de soort elektronische handtekening die wordt gebruikt. Bij het ondertekenen gaat het om de onweerlegbaarheid (non-repudiation), dus het vastleggen van de identiteit van de afzender en om de integriteit, dus de zekerheid dat het bericht niet onderweg wordt veranderd Meer uitleg over Elektronische handtekening |
Twee factor authenticatie
Twee factor authenticatie (2FA) is bedoeld als een veilige(re) manier van authenticatie. De identiteit van een gebruiker wordt hierbij vastgesteld door middel van twee factoren. Dit betekent dat je naast het invoeren van een gebruikersnaam en wachtwoord, nog een tweede factor nodig hebt. Dit kan in de vorm van een code die via een authenticator naar je smartphone wordt toegestuurd. Maar een vingerafdruk, een melding die je accepteert in een mobiele app of gezichtsherkenning kan ook een tweede factor zijn. Meer uitleg over Twee factor authenticatie |
Multi-factor authenticatie (MFA)
Multi-factor authenticatie bevat altijd meer dan één factoren (in de meeste gevallen drie). Dit is meteen het verschil met 2FA, welke altijd beperkt is tot twee factoren. Meer uitleg over Multi-factor authenticatie (MFA) |
Single sign-on
Techniek waarbij de gebruiker, na éénmaal in te loggen, kan werken in meerdere systemen. |
PKI (Public Key Infrastructuur)
PKI is gebaseerd op zogeheten asymmetrische encryptie- of versleutelingstechnieken. PKI werkt met sleutelparen: geheime en publieke sleutels. Sleutels zijn (lange) getallen of tekenreeksen. De in PKI gebruikte functies combineren die sleutels via wiskundige algoritmes met de inhoud van het bericht. Ondertekening en versleuteling worden verricht met sleutels die worden uitgegeven door certificaat-uitgevers. Deze geven sleutels uit, voorzien van certificaten met verschillende niveaus van authenticatie. Meer uitleg over PKI (Public Key Infrastructuur) |
DMARC, DKIM en SPF
DKIM, SPF en DMARC zijn drie internetstandaarden voor het terugdringen van phishing, spam, virussen en andere narigheid die per e-mail bezorgd wordt. Deze drie standaarden worden meestal gezamenlijk ingezet om te controleren dat de afzender (een E-mailadres) en de verzender (een computersysteem) van een mail-bericht inderdaad kloppen, en dat de inhoud van het bericht onderweg niet is veranderd. Zie voor meer uitleg en andere onderwerpen op het gebied van internetbeveiliging www.internet.nl. |
OAUTH
OAuth staat voor API Autorisatiestandaard. Met OAuth (2.0) kunnen gebruikers of organisaties een programma of website toegang geven tot specifieke (privé)gegevens, die opgeslagen zijn op een ander systeem, zonder hun gebruikersnaam en wachtwoord uit handen te geven. Het is voor telefoons, tablets, wearables, en internet of things apparaten een vaak gebruikte beveiligingsstandaard. Meer uitleg over OAUTH |
Alle begrippen... |
Links |
---|
DigiD
Is bedoeld voor burgers om in te loggen bij overheidsinstanties. Wordt daardoor ook gebruikt voor zelfstandigen met een eenmanszaak voor bijvoorbeeld het doen van Belastingaangifte (BTW en IB). |
eHerkenning
Website van de Nederlandse Overheid over eHerkenning. |
iDIN
iDIN is een dienst van de banken waarmee consumenten zich bij andere organisaties online kunnen identificeren met de veilige en vertrouwde inlogmiddelen van hun eigen bank. |
PKI-overheid
Gegevens gaan van systeem tot systeem over internet of besloten netwerk waarbij eisen gesteld worden aan de vertrouwelijkheid, integriteit en authenticiteit. Voor het waarborgen van deze eisen is het voor Logius-producten verplicht om gebruik te maken van een certificaat, uitgegeven door PKIoverheid. |
Raadpleeg alle links... |