Door Anoniem:
Ik heb ooit een werkgever gehad die overwoog om de al in gebruik zijnde RFID-toegangspasjes ook te gebruiken om je nabijheid bij een werkstation te controleren en dat automatisch te blokkeren als je erbij wegliep.
Dit vind ik persoonlijk geen slecht idee, zeker als je bijvoorbeeld met thin clients werkt waar dan de sessie ook aan dat pasje hangt. Zo werkte dat bij de sun rays die in 2001 op het FHQ van een zekere computerconferentie-in-het-gras te vinden waren. De beheerder zelf deed er wel een wachtwoord bij en het ging om chipkaartjes niet om NFC kaartjes, maar toch.
Mischien wil je om veiligheidsredenen met meerdere sessies werken, bijvoorbeeld echt gevoelige dingen alleen in de sessie op de thin client je eigen kantoor en voor het "even mail checken" aan een terminal elders pak je een andere sessie. Maar het idee lijkt redelijk natuurlijk. Je loopt weg, je sessie gaat op slot.
Ik heb de invoering ervan niet meegemaakt en weet niet hoe het in de praktijk uitpakte.
Dat zal ook aan de bedrijfscultuur en hoe het in de markt gezet werd gelegen hebben. Als je nog contact hebt met oud-collegae mischien leuk eens te vragen hoe dat gegaan is.
Rond dezelfde tijd heb ik ergens gelezen dat er een ziekenhuis was dat het had ingevoerd en dat de RFID-chips daar in een polsbandje waren ondergebracht zodat mensen er gedurende de dag al helemaal niet over na hoefden te denken.
Zo was daar ook die "nfc-ring" die laatst gecrowdfund is. En oh ja, even later de abn-amro die met een namaker in zee ging om er een betalen-per-nfc-ring-pilot van te bakken. Grappig (*kuch*) toch hoe de eerste publieke toepassing zo vaak neerkomt op "de consument 'helpen' zijn geld te laten rollen".
Terwijl "klink vastpakken terwijl je een nfc-ring draagt en de deur gaat open" een veel natuurlijkere match is dan "geef iemand een hand en je bent geld kwijt".
(Ja, ik weet dat dat laatste hyperbool is, technisch gezien. De fysieke handeling past nog steeds niet goed bij logische handeling als je het per nfc-ring probeert te doen, met veel "oeps dat bedoelde ik eigenlijk niet" false positives.)
En dat was allemaal meer dan tien jaar geleden. Als dat soort mogelijkheden toen al voorhanden waren zou ik raar staan te kijken als het tegenwoordig niet te doen is.
Ik denk dat het iets zegt over het niveau waarop erover wordt nagedacht. Vingerafdrukken worden ook regelmatig ingezet waarna er weer ophef over is. Ook dat het zo vaak "one size fits all^Wnone" moet zijn. Als je je automatiseringswerk goed had gedaan dan kun je makkelijk een pasje en ook een ring ondersteunen. De iButton was ook ooit hip, en zelfs als ring te krijgen. Daat kun je ook zowel inloggen als deuropenen mee doen. Zelfs nog veiliger dan de rfid/nfc rommel die toch echt enorm beperkt zijn in hun cryptografische mogelijkheden wegens chronisch gebrek aan stroom.
In plaats daarvan zie je dat er een
proprietary turn key solution ingekocht wordt, waar vervolgens niemand echt blij mee is. Ik concludeer dus dat de techniek niet eens de beperkende factor is, maar het gebrek aan nadenken over hoe de handeling en de techniek goed op elkaar af te stemmen.
Door Anoniem: Besten,
Ik ben beter dan dat. En nu?
("Beste,", ook in meervoud, is slechte stijl en aanhef is hier niet gebruikelijk bovendien.)
Bekijk het eens nuchter. Als ik op het werk achter mijn bureau ga zitten, zien mijn collega's wie er zit en toegang heeft totbedrijfsgevoelige data en/of persoonsgegevens. Als ik van elders werk niet.
Je collegae kijken mee over je schouder wat je "digitaal" aan het doen bent?
Als ik van elders werk, zal de werkgever duidelijk willen vaststellen aan wie er toegang krijgt; als het gaat om toegang tot persoonsgegevens is dat zelfs een wettelijke verplichting. En we weten allemaal dat usernaam/wachtwoord niet meer voldoet als authenticatiemiddel.
Dat eerste, ja, vele mogelijkheden daartoe. Dat tweede weet ik niet eigenlijk.
Een 2FA methode, waarmee de werknemer zichzelf eenduidig kan identificeren, helpt dan.
Dat is de huidige hype. Net als allerlei industrie-allianties die proberen "wachtwoorden uit te bannen". Daar hebben ze allerlei methodes voor verzonnen die stuk voor stuk minder flexibel en robuust zijn dan het aloude wachtwoord. Wat niet wegneemt dat er vele zwakke wachtwoorden in gebruik zijn, maar zolang de software geen arbitraire maximumlengte op je wachtwoord zet kun je het zelf vrij simpel versterken. En hoe wachtwoorden technisch netjes te implementeren is ook veel meer over bekend dan alle nieuwe (toch-niet-zo-)"betere" vervangers. Waar dus ook regelmatig allerlei fouten en gaten in zitten.
Daarbij is een middel als een werktelefoon, of token, wat iemand makkelijk uit handen kan geven niet het beste middel. Het beste is een een biometrisch kenmerk, maar ook een privételefoon is al beter. Daar zijn mensen zuiniger op, dat bewijst deze discussie.
Zo kun je de discussie mooi naar je toetrekken, natuurlijk, maar dat maakt het niet automatisch waar. Als je hier een tijdje mee had gelezen dan had je ondertussen geweten dat een biometrisch kenmerk is [x] ongeschikt als wachtwoord. Je kan het hooguit gebruiken als gebruikersnaam.
En om nou te zeggen dat iedereen zuiniger is op privespullen dan spullen van de baas, dat is niet automatisch waar. Ook je "bewijs" is dat niet: Het argument is dat er een grens wordt overschreden en de baas zich (het gebruik van) privemiddelen toe-eigent, iets waar hij niet toe gerechtigd is
De werkgever moet zijn authenticatiebeleid op orde hebben en mag verwachten dat zijn werknemers daaraan meewerken.
Maar niet automatisch met privespullen. De baas moet de benodigde arbeidsmiddelen verstrekken. Mits en maar tenzij het gebruikelijk is dat anders te doen, zoals de koksmessen. Maar die usance bestaat niet zonder meer bij telefoons. De uitzondering heet "BYOD" en blijkt vaak geen goed idee wegens bijvoorbeeld de niet onredelijke eis dat de administrator dan remote wipe-toegang op je privetelefoon krijgt. Ook zijn er nog genoeg mobiele telefoons in omloop die niet geschikt zijn voor de app van de baas.
Dat is, zoals Arnoud zegt, niet wettelijk vast te leggen. Hangt mede of van functie en bevoegdheden.
Een goede uitleg van totp en de bijbehorende apps (hoeft geen google te zijn) zou al helpen.
Dat helpt niet degen het zich privemiddelen voor arbeidsdoeleinden toeeigenen danwel per decreet zichzelf beschikbaar stellen.
Als toevoeging: Binnen onze organisatie hebben we medewerkers die geen app op hun privételefoon willen, maar ook niet de app op hun werktelefoon vanuit de appstores van Google of Apple willen downloaden met hun eigen google of apple account. Dat mag een beheerafdeling dan gaan doen en supporten. De vraag is, hoever je kunt gaan om je werkgever op kosten te jagen.
De werkgever probeert hier voor een dubbeltje op de eerste rang te zitten en is daarmee reeds oneigenlijk bezig. Want hoezo moet de werknemer zijn eigen google- of apple-store-account meenemen voor een
bedrijfstelefoon?
Dat doet jouw toegevoegde vraag compleet en volslagen teniet.