Product & company | 4 min read

Verbeteren van de beveiliging rond de werknemer self-service, deel 2: Pincodes

Duizenden werknemers gebruiken de Employee Self-Service om te communiceren met hun werkgever, essentiële HR taken op te volgen en om hun gegevens te gaan raadplegen en aanpassen. In deze blogpost vertellen we je meer over de laatste beveiligingsupdate die we gelanceerd hebben voor de self-service:
Het gebruik van pincodes als een veilige en gemakkelijke login methode.

Deze blogpost is het tweede deel in een reeks over hoe we systematisch de beveiliging rond onze self-services gaan verbeteren. We geven meer inzicht rond recente maatregelen die we genomen hebben om potentiële beveiligingsrisico's te voorkomen. Het eerste deel vind je hier.

Pincodes in de bankwereld @ Designed by Topntp26
PINcode of Personal Identification Number is een alternatief voor een wachtwoord. Dit werd geïntroduceerd in 1967 in tandem met de uitvinding van bankautomaten.

Wanneer iemand anders dan de medewerker zelf, zou kunnen inloggen op deze persoon zijn self-service, dan krijgt die plots toegang tot een hele hoop gevoelige data. Het loonpakket, bankrekeningnummer, telefoonnummer of misschien zelfs je thuisadres.

Veiligheid is daarom een absolute prioriteit voor Officient. Daarom is het vanaf nu mogelijk om in te loggen op de self-service met een unieke pincode.

Wat is het voordeel van pincodes te gebruiken?

Vandaag is iedereen vertrouwd met het gebruik van pincodes. Je hebt er één om je bankkaart te gebruiken en je identiteitskaart is versleuteld met één. Verschillende mobiele apps (vnl. met gevoelige data) beginnen nu ook pincodes te gebruiken.
Wat zijn de voordelen van een pincode te gebruiken als login methode?

Pincodes zijn gebonden aan een apparaat

Je pincode is gebonden aan het apparaat waarmee je inlogt, en hangt steeds vast aan een account. Zo is de pincode van je bankkaart gelinkt met een fysieke kaart en hangt deze vast aan jouw bankaccount(s). Dat is ook de reden waarom de pincode van de mobiele banking app verschilt van de pincode van je bankkaart.

Een bankautomaat gaat een willekeurige code uitlezen van je bankkaart (het apparaat). Vervolgens moet jij een pincode opgeven via een keypad die match met deze willekeurige code, vooraleer je aan je bankrekening kan. Officient werkt op een gelijkaardige manier. De eerste keer dat je een pincode instelt, wordt een willekeurige code die met de pincode match, bewaard op het apparaat waarmee ingelogd wordt. Wanneer je de volgende keer wil inloggen van hetzelfde apparaat (bv. smartphone) wordt je pincode samen met de code op het apparaat verstuurd naar onze servers. Je kan alleen maar toegang verkrijgen wanneer beide codes verstuurd zijn en deze matchen met elkaar. Alle goedgekeurde apparaten zullen wij dan ook nog eens gaan bijhouden in 'settings'.

Er is nog een ander voordeel aan het feit dat een pincode verbonden is met een apparaat. Pincodes kunnen net zoals wachtwoorden onderschept worden via een netwerk of gestolen worden van een server, maar zonder de code op het apparaat, zijn ze er niets mee. Dit betekent dat men na het onderscheppen van je pincode, ze ook nog eens toegang moeten hebben tot je fysieke apparaat, wat een stuk minder waarschijnlijk is. Daarnaast kan je apparaat nog eens vergrendeld zijn met een andere pincode dan de code je gebruikt om op Officient in te loggen.

Pincodes in Officient krijgen tot 3 pogingen vooraleer ze op een andere manier moeten authenticeren @ https://www.google.be/url?sa=i&source=images&cd=&ved=2ahUKEwieppDtloveAhXBKewKHTz-AzoQjRx6BAgBEAU&url=https%3A%2F%2Fandroid.gadgethacks.com%2Fhow-to%2Ffix-wrong-pin-errors-after-restoring-nandroid-backup-0176446%2F&psig=AOvVaw2IX9TdAH-5s6hWaPBZ3olv&ust=1539786765271189
Bij meeste applicaties die een pincode gebruiken, krijg je meerdere pogingen vooraleer inloggen op deze manier wordt geblokkeerd.

Toegang wordt geweigerd na verschillende pogingen met een pincode.

Ooit al eens je pincode driemaal verkeerd ingegeven, waarna je telefoon geblokkeerd werd en je vervolgens een PUK code* moest ingeven voor je opnieuw verder kon?

* Personal Unlocking Key (PUK) of Personal Unblocking Code (PUC)

Hetzelfde principe is van toepassing op alle login methodes die gebruik maken van een pincode. Wanneer je bankkaart wordt ingeslikt na drie foute codes, moet je langs je bank gaan om je identiteit te bevestigen. "Langs de bank gaan en je identiteit bevestigen" is in dit geval de authenticatie voor een nieuwe kaart, waar bij sim kaarten dit de PUK code is.

Bij Officient zullen we hetzelfde gaan toepassen. Je krijgt ook maximaal drie pogingen om je pincode in te geven. Indien ze alle drie foutief zijn worden alle logingegevens gewist van het apparaat. Daarna moet er een authenticatie gaan plaatsvinden via een andere manier. In ons geval betekent dit dat je moet inloggen met je Google of Office 365 account, of via een reset link die wordt gestuurd naar je persoonlijke mailbox.

Pincodes zijn makkelijker te onthouden en te gebruiken dan wachtwoorden

Omdat wachtwoorden niet gebonden zijn aan een apparaat en dus via een verbinding worden gecontroleerd, moeten er extra maatregelen genomen worden om brute force hacking* tegen te gaan.

* Brute force hacking is het machinaal of algoritmisch uitproberen van elke mogelijke combinatie om de juiste logingegevens te proberen achterhalen.

Deze extra maatregelen zijn bv. waarom je een wachtwoord moet verzinnen met minstens X aantal tekens, een hoofdletter, kleine letter, een cijfer enzoverder. Dit komt omdat men bij wachtwoorden een programma kan laten lopen die oneindig veel keren gaat proberen in te loggen. Dit in tegenstelling tot een pincode die de login gegevens verwijderd van het fysieke apparaat na een aantal pogingen.

Dit zorgt ervoor dat paswoorden een stuk minder gebruiksvriendelijk zijn om in te loggen. Het is namelijk lastiger om 8+ tekens in te geven met hoofdletters, kleine letters... Dan het is om een 4 of 5-cijferige code in te geven. Dit heeft ook als rechtstreeks gevolg dat het een stuk gemakkelijker is om deze code te gaan onthouden. Je zou niet de eerste zijn die vergat welk paswoord nu bij welke login hoorde.

Het is ook niet nodig om iedere keer je mailadres in te geven. Dit heeft te maken met het feit dat je pincode verbonden is met het apparaat. Die onthoudt namelijk welke account verbonden is wanneer pincodes voor de eerste keer ingesteld worden. Na drie verkeerde pogingen zal ook deze informatie verwijderd worden.

Related stories