Dit is het tweede deel in een drieluik over credentials. Deze zijn bedoeld om een claim te bevestigen of op zijn minst aannemelijker te maken. In de informatiebeveiliging worden credentials vaak gebruikt om een identiteit vast stellen voordat toegang tot bepaalde informatie of tot een bepaald systeem wordt gegeven. Credentials worden vaak in drie groepen geclassificeerd: iets dat je weet, iets dat je hebt en iets dat je bent. Deel twee gaat in op iets dat je hebt.
Door iets te gebruiken dat alleen jij zou mogen hebben, krijg je toegang of wordt je identiteit geaccepteerd. Veel bedrijven controleren de identiteit van medewerkers door middel van pasjes. Je houdt je pasje bij een apparaat, er volgt een piepje, een groen lampje en de deur gaat open. Het is een beeld dat veel mensen bekend voor zal komen. Maar er zijn vele andere voorbeelden van iets hebben. Je voordeur wordt geopend met een sleutel. Banken geven je tegenwoordig rekenmachines die codes voor je berekenen. Je bankpas is een smartcard die je nodig hebt als je met je pin betaald. Ook wordt de mobiele telefoon steeds vaker gebruikt. Als je mobiele nummer bekend is kan een code gestuurd worden via, bijvoorbeeld, sms. Alleen jij ontvangt die code – tenzij je mobieltje gestolen is natuurlijk. Dat is sowieso het grote gevaar van iets hebben: je kunt het verliezen, vergeten of het kan gestolen worden. Maar het kan erger: het kan nagemaakt worden. Dit merk je pas als het te laat is. We hebben allemaal wel eens een sleutel laten bijmaken. Niet duur en klaar binnen enkele minuten. Een ander bekend voorbeeld is het skimmen van pinpassen. Een pinapparaat is zo aangepast dat de informatie niet alleen gelezen wordt maar ook wordt opgeslagen. Later wordt deze informatie op een lege pas geschreven en er bestaat er een kopie van jouw bankpas. Ook RFID modules, bijvoorbeeld de pasjes die je alleen ergens voor langs hoeft te halen, kunnen gekopieerd worden zonder het door te hebben.
Om de zwakke punten van bepaalde credentials af te vangen wordt steeds vaker een combinatie van mechanismen gebruikt. De pinpas is hier een goed voorbeeld van. De pas – iets dat je hebt – wordt gecombineerd met een pincode. Aan alleen de pinpas heb je niks maar alleen de pincode levert je ook niks op. Bij internetbankieren is deze gecombineerde methode ondertussen ook ingeburgerd. Je logt in met je loginnaam en een wachtwoord maar als je boeking wil uitvoeren moet er gebruik gemaakt worden van een apparaatje of wordt er een code gestuurd via sms. Het gebruiken van een dubbel mechanisme wordt ook wel two-factor authentication genoemd. In veel gevallen wordt ook gebruik gemaakt van meerdere kanalen. Je wachtwoord vul je direct in via internet maar de code krijg je via een omweg naar je mobiel gestuurd. Ook het sturen van een mailtje waarin een link moet worden aangeklikt ter bevestiging is een voorbeeld van multi-channel beveiliging. Het verhoogt de zekerheid dat je met de betreffende persoon communiceert. De kans dat twee kanalen gehackt zijn is duidelijk kleiner dan dat er op één kanaal wordt meegekeken.
Een belangrijke variant van het ‘iets hebben’ is de digitale vorm, je hebt geen tastbaar iets in je hand. Het gaat hier om certificaten of tokens. Een token wordt voor je gegenereerd en is slechts kort te gebruiken. Het wordt veel gebruikt bij single-sign-on oplossingen. Voor een bepaalde periode kun je met je token binnenkomen bij een aantal sites die zijn aangesloten bij de single-sign-on aanbieder. Na een vastgestelde periode vervalt je token. Een certificaat wordt vaak voor een jaar afgegeven en is breder te gebruiken. Het kan worden gebruikt om informatie te versleutelen maar ook, bijvoorbeeld, voor het zetten en controleren van digitale handtekeningen. In essentie krijg je van een derde partij – één die we vertrouwen – een certificaat. Dit certificaat kun je aanbieden, bijvoorbeeld over het internet, aan een ander systeem. Deze kan aan de derde partij vragen of jouw certificaat klopt om jou vervolgens toegang te geven.
Iets dat je hebt kan ook de combinatie zijn van een digitaal en tastbaar element. Door iets tastbaars als een mobiele telefoon te voorzien van een bepaalde applicatie en een certificaat ontstaat een hybride vorm van ‘iets dat je hebt’. Veel onderwerpen waar probleemloos meerdere artikelen over geschreven kunnen worden. Wat ook zeker zal gebeuren. Los van de techniek is het belangrijk om te weten dat ‘iets dat je hebt’ ook digitaal kan zijn en niet per se iets tastbaars hoeft te zijn.