Versions Compared

Old Version 1

changes.mady.by.user Former user

Saved on

compared with

New Version 2

changes.mady.by.user schmidt

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

MijSamenvatting

Maarten Schmidt
Waarom is deze RFC nodig?

Omdat het Maarten het wil!

OplossingsrichtingAanpassing van

Meerdere DVP implementeren dit anders en zijn de authenticatiemethodes qua veiligheid en betrouwbaarheid wezenlijk anders tussen een DVP en DVZA, terwijl dit niet het geval zou moeten zijn.

Oplossingsrichting

Stel expliciete eisen aan de wijze van twee factor authenticatie voor een DVP. Verwijs hierbij bijvoorbeeld naar NIST SP 800-63B

Aanpassing van

Nomenkader norm: A.9.4.1Bepekring toegang tot informatie

Impact op rollen

DVP

Impact op beheer


Gerelateerd aan (Jira issues)


Eigenaar


Implementatietermijn


Motivatie verkorte RFC procedure (patch)

Constatering dat auditoren dit onvoldoende kunnen beoordelen en dat we goede kwaliteit van de tweede factor willen, die ook echt een tweede factor is. Voorbeeld een verificatiecode opgestuurde naar een e-mailadres is niet altijd een betrouwbare twee factor. Voorstel om te verwijzen naar norm bijvoorbeeld NIST SP 800-63B en dat de 'sterkte'van de tweede factor vergelijkbaar is wat er bij de DVZA wordt gebruikt, lees nu DigiD of andere

Maarten Schmidt

Goedkeuring

BeoordelaarDatumReactieToelichting
Productmanager


Ontwerpteam


?


...


Nog geen bestanden gedeeld hier.

Info NIST en Schneiner


https://www.schneier.com/blog/archives/2016/08/nist_is_no_long.html



Q-B11:

Is the use of email acceptable in two-factor authentication?

A-B11:

NIST SP 800-63B does not allow the use of email as a channel for single or multi-factor authentication processes. This is specified in Section 5.1.3.1, Out-of-Band Authenticators:

[Authentication] methods that do not prove possession of a specific device, such as voice-over-IP (VOIP) or email, SHALL NOT be used for out-of-band authentication.


Van <https://pages.nist.gov/800-63-FAQ/>


Dus het gebruik van e-mail als tweede factor  is niet toegestaan voor MedMij. DVP


5.1.3 Out-of-Band Devices


An out-of-band authenticator is a physical device that is uniquely addressable and can communicate securely with the verifier over a distinct communications channel, referred to as the secondary channel. The device is possessed and controlled by the claimant and supports private communication over this secondary channel, separate from the primary channel for e-authentication. An out-of-band authenticator is something you have.


The out-of-band authenticator can operate in one of the following ways:


- The claimant transfers a secret received by the out-of-band device via the secondary channel to the verifier using the primary channel. For example, the claimant may receive the secret on their mobile device and type it (typically a 6-digit code) into their authentication session.


- The claimant transfers a secret received via the primary channel to the out-of-band device for transmission to the verifier via the secondary channel. For example, the claimant may view the secret on their authentication session and either type it into an app on their mobile device or use a technology such as a barcode or QR code to effect the transfer.


- The claimant compares secrets received from the primary channel and the secondary channel and confirms the authentication via the secondary channel.


The secret's purpose is to securely bind the authentication operation on the primary and secondary channel. When the response is via the primary communication channel, the secret also establishes the claimant's control of the out-of-band device.


Van <https://pages.nist.gov/800-63-3/sp800-63b.html#sec5>


EIDAS norm:


Bij het authenticatieniveau is niet alleen van belang dat er een goede betrouwbare tweede factor wordt gekozen/gebruikt maar ook de uitgifte van het authenticatiemiddel zelf. Daarbij zijn authenticatieniveau substantieel en hoog van belang.