Softwarepakketten.nl
EXACT Software
VISMA E-accounting
E-boekhouden

GRC en AssuringAuthenticatie-, autorisatiemiddelen en digitaal ondertekenen

Laatste nieuws
De Utrechtse fintech SurePay introduceert de IBAN-Naam Check Portal (25-01-2023)
De Utrechtse fintech SurePay introduceert vandaag de IBAN-Naam Check Portal. Via de Portal kunnen bedrijven snel, efficiënt en 24 uur per dag controleren of ze de juiste betaalgegevens van een klant, leverancier of medewerker hebben. Daarmee helpt SurePay fraude op te sporen en vergissingen te voorkomen.
PKIsigning: BTW-aangifte versturen via Digipoort en betalen via iDEAL (24-01-2023)
Legalz: gratis e-book ICT-contracten & contractmanagement (06-12-2022)
Raadpleeg nieuwsarchief...

Automatisch op de hoogte blijven?
Schrijf u in voor onze gratis nieuwsbrief.
 

Rapport over cybersecurity met authenticatie- en autorisatiemiddelen

Met als subtitel “Ondertekenen, wachtwoordmanagers, single sign-on en beveiligd berichtenverkeer”.

Dit rapport is primair gericht op authenticatie- en autorisatiemiddelen voor de eindgebruiker in zowel het bedrijfsleven, bij de overheid als binnen de accountancysector. Aan de orde komen begrippen als authenticatie, autorisatie, 2FA, MFA, Single sign-on, Elektroniche handtekening, eID, eIDAS en OAuth 2.0.

Naast inzicht in de gehanteerde begrippen is het rapport opgebouwd rondom de volgende 3 thema’s:

  1. (Digitaal) Ondertekenen van documenten;
  2. Wachtwoordmanagers en Single sign-on tools;
  3. Beveiligd berichtenverkeer; voorkomen dat een document gelezen wordt door iemand voor wie het document niet bestemd is.

Opvragen en meer informatie over het rapport "Cybersecurity met authenticatie- en autorisatiemiddelen".
   

Authenticatie en autorisatie

Authenticatie is het proces om de identiteit van een gebruiker of van een systeem te verifiëren (= controleren en vast te stellen). Wettelijke term: authentificatie. Ook wel uitgelegd als: is degene ook degene die hij of zij zegt te zijn.

Autorisatie heeft betrekking op personen die binnen of namens een organisatie bevoegd en/of gemachtigd zijn bepaalde handelingen (of transacties) te verrichten.
 

Digitaal ondertekenen

Dit staat in relatie tot de “Elektronische handtekening”. Een gekwalificeerde elektronische handtekening wordt dan juridisch gelijkgesteld aan een gewone ‘natte’ handtekening. Een voorbeeld van een gekwalificeerde elektronische handtekening is het PKIoverheid Persoonsgebonden certificaat (zie hierna). 
Meer uitleg over de elektronische handtekening...
 

Wachtwoordmanager en Single sign-on

Is single sign-on het zelfde als een wachtwoordmanager?
Een (traditionele) wachtwoordmanager geeft de gebruiker de mogelijkheid meerdere wachtwoorden met verschillend gebruik op te slaan in één online omgeving. Als de gebruiker inlogt in deze laatste omgeving is er daarmee toegang tot andere applicaties, met behulp van het door de gebruiker toegekende wachtwoord. Een gebruiker bepaalt vooraf zelf verschillende wachtwoorden voor bijvoorbeeld LinkediN, Google en een online boekhoudpakket. In plaats van deze wachtwoorden uit het hoofd te onthouden of op te schrijven op een lijstje worden deze wachtwoorden centraal opgeslagen via een wachtwoordmanager. Het risico dat een gebruiker een zwak (en dus eenvoudig te hacken) wachtwoord heeft gekozen blijft hiermee het zelfde. Een extra risico is dat de wachtwoordmanager wordt gehacked, dan liggen alle wachtwoorden op straat. 

Van Single sign-on (SSO) is sprake als een gebruiker inlogt in een applicatie en daarmee automatisch toegang heeft tot andere applicaties, ongeacht platform en technologie. Zonder dat de gebruiker per applicatie een apart wachtwoord hoeft op te geven. Single sign-on betekent niet per definitie dat er geen wachtwoorden opgeslagen worden bij de Single sign-on toepassing. Dit laatste is sterk afhankelijk van de techniek, zoals OAuth 2.0, die gebruikt wordt om de Single sign-on toepassing te koppelen aan andere applicaties zonder de opslag van wachtwoorden. Dit laatste willen we u zeker als aandachtspunt meegeven.
 

Beveiligd berichtenverkeer

In de basis kan een meegezonden document beveiligd worden met een wachtwoord. In kantoortoepassingen als PDF, Word en Excel is het genereren van een wachtwoord standaard beschikbaar. Het wachtwoord moet dan wel vooraf en apart aan de beoogde ontvanger van het document toegekomen worden. Om (vertrouwelijke) documenten uit te wisselen maken accountants- en administratiekantoor ook wel gebruik van een portaal. Dit laatste al dan niet in combinatie met Multi factor authenticatie (MFA). Er zijn ook aparte tools om berichtenverkeer met behulp van email (bijlagen) te beveiligen.  
 

eHerkenning 

Regelt digitale identificatie door bedrijven. Wordt ingezet door de overheid en andere organisaties. Centraal staat de gedachte dat bedrijven met één herkenningsmiddel elektronisch diensten kunnen afnemen bij verschillende overheidsdienstverleners en eventueel andere organisaties.
Meer uitleg over eHerkenning...
 

PKIoverheid (certificaten)

PKIoverheid staat voor een normenkader PKI certificaten met aanvullende eisen vanuit de overheid en waarmee de certificaten goed gebruikt kunnen worden voor elektronische communicatie met de overheid.

PKIoverheid maakt onderscheid tussen services- en persoonsgebonden certificaten. Een handtekening die is geplaatst met een PKIoverheid persoonsgebonden certificaat is een ‘gekwalificeerde elektronische handtekening’ met dezelfde rechtsgeldigheid als een handgeschreven handtekening.
Meer uitleg over PKIoverheid...
 


Software opvragen
Authenticatie- en Autorisatiemiddelen
Digitaal ondertekenen
Wachtwoordmanagers en Single sign-on
Beveiligd (email)berichtenverkeer
Laatste artikelen
Cybersecurity toegepast op uw kantoor: presentaties beschikbaar (14-10-2021)
Op woensdag 13 oktober 2021 heeft de bijeenkomst "Cybersecurity toegepast op uw kantoor", georganiseerd door DOCCO en GBNED, plaatsgevonden te Expo Hoevelaken. Presentaties van sprekers zijn beschikbaar.
Rapport: Cybersecurity met authenticatie- en autorisatiemiddelen (met ondertekenen, wachtwoordmanagers, single sign-on en beveiligd berichtenverkeer) (28-01-2020)
Naar archief artikelen...
Laatste blogs
Herziening eIDAS, komst Europese digitale identiteit (29-11-2022)
Wet- en regelgeving rondom elektronische handtekeningen vinden we bij PKIsigning logischerwijs belangrijk. Niet alleen omdat dat als aanbieder van een ondertekenoplossing onze verantwoordelijkheid is, maar vooral omdat we naast leverancier ook kennispartner zijn.
Digitaal ondertekenen: wetgeving, bewijzen, certificaten en versleutelen (08-07-2022)
Printen, ondertekenen en weer inscannen. Is dit wel rechtsgeldig? (14-06-2022)
Naar archief blogs...
Laatste white papers
Van der Veen & Kromhout Registeraccountants en Belastingadviseurs en het gemak van ZIVVER (18-05-2019)
Met ZIVVER voldoet jouw organisatie volledig aan de eisen die de AVG stelt aan e-mailverkeer. De software biedt controle voor, tijdens en na de verzending van gevoelige informatie. Voor Van der Veen & Kromhout was doorslaggevend dat ZIVVER werkt met twee factor authenticatie. Zodat, mocht een e-mail in verkeerde handen komen, dat niet leidt tot een inbreuk op de vertrouwelijkheid van gegevens.
Naar archief white papers...
Relevante begrippen
Elektronische handtekening

Het ondertekenen van digitale berichten vindt plaats via een elektronische handtekening. Het gewenste niveau van betrouwbaarheid speelt een belangrijke rol bij de soort elektronische handtekening die wordt gebruikt. Bij het ondertekenen gaat het om de onweerlegbaarheid (non-repudiation), dus het vastleggen van de identiteit van de afzender en om de integriteit, dus de zekerheid dat het bericht niet onderweg wordt veranderd

Meer uitleg over Elektronische handtekening
Twee factor authenticatie

Twee factor authenticatie (2FA) is bedoeld als een veilige(re) manier van authenticatie. De identiteit van een gebruiker wordt hierbij vastgesteld door middel van twee factoren. Dit betekent dat je naast het invoeren van een gebruikersnaam en wachtwoord, nog een tweede factor nodig hebt. Dit kan in de vorm van een code die via een authenticator naar je smartphone wordt toegestuurd. Maar een vingerafdruk, een melding die je accepteert in een mobiele app of gezichtsherkenning kan ook een tweede factor zijn.

Meer uitleg over Twee factor authenticatie
Multi-factor authenticatie (MFA)

Multi-factor authenticatie bevat altijd meer dan één factoren (in de meeste gevallen drie). Dit is meteen het verschil met 2FA, welke altijd beperkt is tot twee factoren.

Meer uitleg over Multi-factor authenticatie (MFA)
Single sign-on

Techniek waarbij de gebruiker, na éénmaal in te loggen, kan werken in meerdere systemen.
Van Single sign-on (SSO) is sprake als een gebruiker inlogt in een applicatie en daarmee automatisch toegang heeft tot andere applicaties, ongeacht platform en technologie. Zonder dat de gebruiker per applicatie een apart wachtwoord hoeft op te geven.
PKI (Public Key Infrastructuur)

PKI is gebaseerd op zogeheten asymmetrische encryptie- of versleutelingstechnieken. PKI werkt met sleutelparen: geheime en publieke sleutels. Sleutels zijn (lange) getallen of tekenreeksen. De in PKI gebruikte functies combineren die sleutels via wiskundige algoritmes met de inhoud van het bericht. Ondertekening en versleuteling worden verricht met sleutels die worden uitgegeven door certificaat-uitgevers. Deze geven sleutels uit, voorzien van certificaten met verschillende niveaus van authenticatie.

Meer uitleg over PKI (Public Key Infrastructuur)
DMARC, DKIM en SPF

DKIM, SPF en DMARC zijn drie internetstandaarden voor het terugdringen van phishing, spam, virussen en andere narigheid die per e-mail bezorgd wordt. Deze drie standaarden worden meestal gezamenlijk ingezet om te controleren dat de afzender (een E-mailadres) en de verzender (een computersysteem) van een mail-bericht inderdaad kloppen, en dat de inhoud van het bericht onderweg niet is veranderd. Zie voor meer uitleg en andere onderwerpen op het gebied van internetbeveiliging www.internet.nl.
OAUTH

OAuth staat voor API Autorisatiestandaard. Met OAuth (2.0) kunnen gebruikers of organisaties een programma of website toegang geven tot specifieke (privé)gegevens, die opgeslagen zijn op een ander systeem, zonder hun gebruikersnaam en wachtwoord uit handen te geven. Het is voor telefoons, tablets, wearables, en internet of things apparaten een vaak gebruikte beveiligingsstandaard.

Meer uitleg over OAUTH
Alle begrippen...
Links
DigiD
Is bedoeld voor burgers om in te loggen bij overheidsinstanties. Wordt daardoor ook gebruikt voor zelfstandigen met een eenmanszaak voor bijvoorbeeld het doen van Belastingaangifte (BTW en IB).
eHerkenning
Website van de Nederlandse Overheid over eHerkenning.
iDIN
iDIN is een dienst van de banken waarmee consumenten zich bij andere organisaties online kunnen identificeren met de veilige en vertrouwde inlogmiddelen van hun eigen bank.
PKI-overheid
Gegevens gaan van systeem tot systeem over internet of besloten netwerk waarbij eisen gesteld worden aan de vertrouwelijkheid, integriteit en authenticiteit. Voor het waarborgen van deze eisen is het voor Logius-producten verplicht om gebruik te maken van een certificaat, uitgegeven door PKIoverheid.
Raadpleeg alle links...

- Cybersecurity
- GRC en Assuring

CreAim 

KING Software

Evidos

Krabbl

PKI Signing

SecureLogin


Software
Zoeken software en diensten
Zoeken op pakketsoort
Zoeken op branche
Zoeken op leverancier
Voor zzp'ers en klein MKB
Cloudtoepassingen
OpenSource

Aanmelden en muteren
Aanbevolen thema's
Pakketselectie
RGS
Robotic accounting
Scannen en herkennen
Elektronisch factureren
GRC en Assuring
ESG & duurzaamheid
Cybersecurity
ICT & Recht
Aanbevolen vakgebieden
Boekhouden
Salarisadministratie en HRM
Enterprise Resource Planning (ERP)
Financial Planning and Analysis

Aanbevolen standaards:
Auditfiles
UBL: Universal Business Language
PSD2
Blockchain
Over Softwarepakketten.nl
Nieuws
Onderzoek
Gratis nieuwsbrief
Sitemap
Begrippenlijst
Kennisplatform
Agenda
Links
Colofon
Privacy statement
Onerzoeksbureau GBNED