Versie

Datum

Toelichting

0.1

4 april 2016

• Initiële opzet

0.2

12 april 2016

• Nieuw concept. Explicieter gemaakt dat de scope betrekking heeft op het authenticatiemiddel LoA4 (hoog) en op het authenticatie-mechanisme niveaus LoA3 en LoA4 (substantieel en hoog).

0.3

8 augustus 2016

• Aanpassing verwijzingen naar eisen in het nieuwe normenkader betrouwbaarheidsniveaus conform RFC 2050.

1.0

13 februari 2017

• Aanpassing verwijzing naar ondersteunden document functionele beveiligingsspecificaties.

a)

Ter voorbereiding van de workshop verzamelt en documenteert een beveiligingsfunctionaris van de authenticatiedienst een of meerdere (technische) beveiliging checklists die aansluiten op het authenticatiemiddel (LoA4) en het authenticatiemechanisme (LoA3 en/of LoA4).

Voor middelen die gebaseerd zijn op mobiele apparaten kan dit bijvoorbeeld de OWASP Mobile Apps Checklist zijn. Zie https://www.owasp.org
Daarnaast kan gebruik worden gemaakt van het document 'Functionele beveiligingsspecificaties LoA4 middelen en LoA3 en LoA4 authenticatiemechanisme'.

b)

Ter voorbereiding van de workshop maken de volgende type personen een gedocumenteerde vergelijking met de checklists uit het vorige punt en onderkennen daarbij mogelijke kwetsbaarheden in de opzet van het authenticatiemiddel (LoA4) en het authenticatiemechanisme (LoA3/LoA4):

1. ontwikkelaars van het middel,
2. de (toekomstige) beheerders van dit middel waaronder infrastructurele beheerders (netwerk, besturingssystemen) en applicatieve beheerders (applicaties, databases).

Deze vergelijking en de daaruit voortkomende kwetsbaarheden worden gedocumenteerd (bijvoorbeeld door de beveiligingsfunctionaris).

Voorbeelden zijn:

• geen controle van TLS certificaten vanuit een mobiele applicatie
• een platform waarbij één applicatie de data binnen een andere applicatie kan benaderen (niet het geval bij de meeste mobiele platforms).

c)

Ter voorbereiding van de workshop analyseert een beveiligingsfunctionaris van de authenticatiedienst beveiligingsincidenten of signalen die zich hebben voorgedaan rond soortgelijke authenticatiemiddelen en
-mechanismen. Deze analyse en de daarbij onderzochte beveiligingsincidenten worden gedocumenteerd.

• Deze analyse kan gebaseerd zijn op een zoektocht op het internet maar ook op basis van een samenwerking verband waarin organisaties security incidenten delen.
• Ter illustratie; bij SMS gebaseerde middelen zijn de afgelopen jaren incidenten geweest rond 'SIM wissels' waarbij fraudeurs middels social engineering bij telefoonwinkels er in slaagden een SIM te registreren op andermans telefoonnummer. Dit heeft bij sommige banken geleid tot de maatregel dat zij worden geïnformeerd dat een SIM verandering is opgetreden waarbij de telefoon dan ook een periode niet kon worden gebruikt als authenticatiemiddel.
• Bij mobiele app gebaseerde middelen zullen de relevante incidenten hieromtrent moeten worden
  verzameld.

d)

Ter voorbereiding van de workshop worden de genodigden voor de workshop van de volgende informatie voorzien:

• conceptuele werking van het authenticatiemiddel (LoA4) waaronder zowel de registratie en verstrekking daarvan alsmede het gebruik daarvan leidende tot een authenticatie bij een dienstverlener (authenticatiemechanisme)
• conceptuele werking van het authenticatiemechanisme (LoA3/LoA4), waaronder wordt verstaan het gebruik van het middel leidende tot een authenticatie bij een dienstverlener en de bijbehorende interactie
• de beveiligingsdoelstellingen van het authenticatiemiddel (LoA4) en het authenticatiemechanisme (LoA3/LoA4), afgeleid van het normenkader
• het resultaat van de vergelijking met de relevante beveiliging checklists (zie onder 2)
• het resultaat van de analyse van beveiligingsincidenten of signalen die zich hebben voorgedaan rond soortgelijke
  middelen en mechanismen (zie onder 3)

e)

De authenticatiedienst voert, in de vorm van een workshop, een risicoanalyse uit rond het authenticatiemiddel (LoA4) en -mechanisme (LoA3/LoA4), in lijn met ISO 27005 of vergelijkbaar waarbij:

• op gestructureerde wijze dreigingen en kwetsbaarheden met betrekking tot het authenticatiemiddel (LoA4) en het authenticatiemechanisme (LoA3/LoA4) zijn geïdentificeerd.

• per onderscheiden dreiging en kwetsbaarheid wordt de mogelijke manifestatie beschreven in de vorm van een aanval scenario hoe een dreiging een kwetsbaarheid exploiteert en wat daarmee wordt bereikt (impact).
• per onderkend aanval scenario wordt de impact op de beveiligingsdoelstelling van het middel beoordeeld zoals afgeleid van het Idensys normenkader kwaliteit Substantieel/Hoog alsmede het benodigde aanvallerspotentieel om de aanval uit voeren.
  
  De uitgevoerde risicoanalyse heeft als doelstelling te onderbouwen dat er GEEN succesvol aanvalsscenario bestaat dat:
• realiseert dat geheel of gedeeltelijk de beveiligingsdoelstelling van het authenticatiemiddel (LoA4) en het authenticatiemechanisme (LoA3/LoA4) doorbreekt, bijv. dat de aanvaller in staat is het middel fysiek of logisch te kopiëren vanuit een malware geïnfecteerde applicatieve omgeving of in staat is om binnen het authenticatiemechanisme de vereiste terugkoppeling naar de gebruiker te manipuleren;
• uitgevoerd kan worden door een aanvaller met potentieel MODERATE ten aanzien van het authenticatiemechanisme op LoA3 (niveau Substantieel);
• uitgevoerd kan worden door een aanvaller met potentieel HIGH voor het authenticatiemiddel en het authenticatiemechanisme op LoA4 (niveau Hoog).

Van de risicoanalyse workshop is een gedocumenteerde verslaglegging waarin bovengenoemde punten a), b) en c) worden beschreven en waarin het ontbreken van het bovengenoemde aanvalsscenario als conclusie is opgenomen alsmede de onderbouwing daarvan. De verslaglegging is ondertekend door een representant van het management van de authenticatiedienst die ook aanwezig was bij de
risicoanalyse workshop zelf (zie onder 7).

• De verwijzing naar 'het gebruik van het middel' geeft aan dat bij de risico analyse ook de omgeving van de gebruiker moet worden meegenomen waaronder bijvoorbeeld het bestaan van malware in zijn applicatieve omgeving.

• Voor schatting van het aanvalspotentieel zie onder en het bijgevoegde Excel bestand.

f)

De duur van de risicoanalyse workshop bedraagt minstens een werkdag (8 uur).

g)

Bij de risicoanalyse workshop zijn de volgende typen personen gedurende de workshop aanwezig:

• technische ontwikkelaars van het
  authenticatiemiddel (LoA4) en het -mechanisme (LoA3/LoA4);
  • beheerders (infrastructureel, applicatief) van de authenticatiedienst die het middel in productie gaan nemen
  • beveiligingsfunctionaris(en) van de authenticatiedienst die:
    
    • zicht heeft op de technische beveiligingsmaatregelen binnen de authenticatiedienst en mogelijke zwakheden daarbij
    • inzicht heeft in security incidenten die zich in het verleden hebben voorgedaan bij de organisatie
  • een ervaren (helpdesk) medewerker, die zicht heeft op de wijze waarop een klant omgaat met middelen en de interactie tijdens het gebruik
  • een (gedelegeerd) lid van het management van de authenticatiedienst die verantwoordelijkheid heeft voor
    informatiebeveiliging

h)

De risicoanalyse workshop wordt begeleid door een persoon die aantoonbare kennis en ervaring heeft in het uitvoeren van risicoanalyses waaronder het leggen van verbanden tussen (beveiliging) techniek en bedrijfsdoelstellingen.

i)

Het verslag van de risicoanalyse legt behalve de datum en de tijdspanne waarop de risicoanalyse plaatsvond ook de aanwezigen van de workshop vast.

j)

Bij de risicoanalyse workshop wordt de werking van het authenticatiemiddel (LoA4) en het authenticatiemechanisme (LoA3/LoA4), alsmede de daarop van toepassing zijnde beveiligingsdoelstellingen aan alle aanwezigen op hoofdlijnen toegelicht.

k)

Op gestructureerde wijze worden de dreigingen (wie/wat) en de kwetsbaarheden (in de zin van ISO27005) rond het authenticatiemiddel (LoA4) en het -mechanisme (LOA3/LoA4) besproken. Minimaal wordt daarbij geadresseerd:

• incidenten die zich eerder bij de authenticatiedienst hebben voorgedaan of bij anderen
• kwetsbaarheden die naar voren zijn gekomen
• de dreigingen en kwetsbaarheden genoemd in ISO 29115 en ISO 27005
• kwetsbaarheden vanuit het perspectief van het ontbreken van maatregelen uit de ISO
  27002 norm.

l)

Op basis van de vorige stap worden tijdens de workshop mogelijke aanvalsscenario's bepaald voor het authenticatiemiddel (LoA4) en het authenticatiemechanisme (LoA3/LoA4), i.e. mogelijke manifestaties hoe een dreiging een kwetsbaarheid exploiteert en wat daarmee wordt bereikt (impact)

m)

Per onderkend aanvalsscenario wordt tijdens de workshop:

• onderzocht of deze realiseert dat de beveiligingsdoelstelling van het authenticatiemiddel (LoA4) en het authenticatiemechanisme (LoA3/LoA4) geheel of gedeeltelijk wordt doorbroken, bijv. dat de aanvaller in staat is het middel fysiek of logisch te kopiëren vanuit een malware geïnfecteerde applicatieve omgeving of in staat is om binnen het authenticatiemechanisme de vereiste terugkoppeling naar de gebruiker te manipuleren;
• het benodigde aanvalspotentieel voor het uitvoeren van het aanvalsscenario ingeschat, in lijn met Appendix B.4 van ISO/IEC 18045 "Methodology for IT security evaluation"

Zie bijgevoegd Excel bestand bijlage 6 met de tool voor het bepalen van het aanvalspotentieel.

n)

Voor elk aanvalsscenario onderscheiden in de vorige stap worden de succesvolle scenario's onderkend. Dit is een aanvalsscenario:

• dat geheel of gedeeltelijk de beveiligingsdoelstelling van het authenticatiemiddel (LoA4)/-mechanisme (LoA3/LoA4) doorbreekt EN
• dat een aanvallerpotentieel benodigd dat lager is dan waartegen het bestand moet zijn. Dit betreft het aanvalspotentieel "High" voor het authenticatiemiddel op niveau LoA4 (niveau High) en het aanvalspotentieel "Moderate" voor authenticatiemechanismen op niveau LoA3/LoA4 (niveau substantieel en
  High).

Doorbreken van het beveiligingsdoelstelling van het middel/mechanisme is bijvoorbeeld een scenario waarbij de aanvaller in staat is het middel fysiek of logisch te kopiëren vanuit een malware geïnfecteerde applicatieve omgeving of in staat is om de vereiste terugkoppeling naar de gebruiker te manipuleren. Noot: bij het authenticatiemechanisme op niveau LoA3 (niveau Substantieel) is de vereiste terugkoppeling beperkt.

o)

Voor elk onderkend succesvol aanvalsscenario worden mitigerende maatregelen benoemd en beschreven en wordt gemotiveerd dat het aanvalsscenario niet meer succesvol is. Daarbij wordt ook onderzocht of de mitigerende maatregelen geen nieuwe succesvolle aanvalsscenario's introduceren.

• Een maatregel kan bijvoorbeeld zijn dat een authenticatiemiddel App niet op bepaalde platformen beschikbaar is.

p)

De mitigerende maatregelen uit de vorige stap worden gedocumenteerd in een Risk Treatment plan, inclusief een tijdsplanning van de implementatie daarvan.

Artikel 8 inzake Betrouwbaarheidsniveaus van stelsels voor elektronische identificatie

1. Een stelsel voor elektronische identificatie dat is aangemeld krachtens artikel 9, lid 1, omschrijft betrouwbaarheidsniveaus laag, substantieel en/of hoog voor op grond van dat stelsel uitgegeven elektronische identificatiemiddelen.
   
   
2. De betrouwbaarheidsniveaus laag, substantieel en hoog voldoen respectievelijk aan de volgende criteria:
   
   
   1. het betrouwbaarheidsniveau laag betreft een elektronisch identificatiemiddel in het kader van een stelsel voor elektronische identificatie, dat een beperkte mate van vertrouwen in iemands opgegeven of beweerde identiteit biedt, en wordt toegekend onder verwijzing naar technische specificaties, normen en procedures die daarmee verband houden, onder meer technische controles die tot doel hebben het risico van misbruik of wijziging van identiteit te verkleinen;
      
      
   2. het betrouwbaarheidsniveau substantieel betreft een elektronisch identificatiemiddel in het kader van een stelsel voor elektronische identificatie, dat een substantiële mate van vertrouwen in iemands opgegeven of beweerde identiteit biedt, en wordt toegekend onder verwijzing naar technische specificaties, normen en procedures die daarmee verband houden, onder meer technische controles die tot doel hebben het risico van misbruik of wijziging van identiteit te verkleinen;
      
      
   3. het betrouwbaarheidsniveau hoog betreft een elektronisch identificatiemiddel in het kader van een stelsel voor elektronische identificatie, dat een hogere mate van vertrouwen in iemands opgegeven of beweerde identiteit biedt dan een elektronisch identificatiemiddel met betrouwbaarheidsniveau substantieel, en wordt toegekend onder verwijzing naar technische specificaties, normen en procedures die daarmee verband houden, onder meer technische controles die tot doel hebben het risico van misbruik of wijziging van identiteit te voorkomen.
      
      
3. Uiterlijk op 18 september 2015, rekening houdend met de geldende internationale normen en behoudens lid 2, stelt de Commissie bij uitvoeringshandeling minimale technische specificaties, normen en procedures vast aan de hand waarvan de betrouwbaarheidsniveaus laag, substantieel en hoog worden bepaald voor de elektronische identificatiemiddelen als bedoeld in lid 1.
   
   Deze minimale technische specificaties, normen en procedures worden vastgesteld onder verwijzing naar de betrouwbaarheid en kwaliteit van de volgende elementen:
   
   1. de procedure om de identiteit van de natuurlijke of rechtspersoon die om uitgifte van het elektronisch identificatiemiddel verzoekt, te bewijzen en te verifiëren;
   2. de procedure voor de uitgifte van het aangevraagde elektronische identificatiemiddel;
   3. het authenticatiemechanisme, door middel waarvan de natuurlijke of rechtspersoon het elektronische identificatiemiddel gebruikt om zijn identiteit te bevestigen tegenover een vertrouwende partij;
   4. de entiteit die het elektronische identificatiemiddel uitgeeft;
   5. ieder ander orgaan dat betrokken is bij de uitgifte van het elektronische identificatiemiddel en
   6. de technische en veiligheidsspecificaties van het uitgegeven elektronische identificatiemiddel.

Die uitvoeringsbesluiten worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.

Middelen op het betrouwbaarheidsniveau Laag blijven buiten de scope van de conformiteitstoetsing.

2.2. Electronic identification means management

2.2.1 Electronic identification means characteristics and design

Substantial

1. The electronic identification means utilises at least two authentication factors from different categories.
2. The electronic identification means is designed so that it can be assumed to be used only if under the control or possession of the person to whom it belongs.

High
Level substantial, plus:

1. The electronic identification means protects against duplication and tampering as well as against attackers with high attack potential
2. The electronic identification means is designed so that it can be reliably protected by the person to whom it belongs against use by others.

2.3. Authentication

2.3.1. Authentication mechanism

Low

1. The release of person identification data is preceded by reliable verification of the electronic identification means and its validity.
2. Where person identification data is stored as part of the authentication mechanism, that information is secured in order to protect against loss and against compromise, including analysis offline.
3. The authentication mechanism implements security controls for the verification of the electronic identification means, so that it is highly unlikely that activities such as guessing, eavesdropping, replay or manipulation of communication by an attacker with enhanced-basic attack potential can subvert the authentication mechanisms.

Substantial Level low, plus:

1. The release of person identification data is preceded by reliable verification of the electronic identification means and its validity through a dynamic authentication.
2. The authentication mechanism implements security controls for the verification of the electronic identification means, so that it is highly unlikely that activities such as guessing, eavesdropping, replay or manipulation of communication by an attacker with moderate attack potential can subvert the authentication mechanisms.

High
Level substantial, plus:
The authentication mechanism implements security controls for the verification of the electronic identification means, so that it is highly unlikely that activities such as guessing, eavesdropping, replay or manipulation of
communication by an attacker with high attack potential can subvert the authentication mechanisms.

2.4. Management and organisation

2.4.6. Technical controls

Low

1. The existence of proportionate technical controls to manage the risks posed to the security of the services, protecting the confidentiality, integrity and availability of the information processed.
2. Electronic communication channels used to exchange personal or sensitive information are protected against eavesdropping, manipulation and replay.
3. Access to sensitive cryptographic material, if used for issuing electronic identification means and authentication, is restricted to the roles and applications strictly requiring access. It shall be ensured that such material is never persistently stored in plain text.
4. Procedures exist to ensure that security is maintained over time and that there is an ability to respond to changes in risk levels, incidents and security breaches.
5. All media containing personal, cryptographic or other sensitive information are stored, transported and disposed of in a safe and secure manner.

Substantial
Same as level low, plus:
Sensitive cryptographic material, if used for issuing electronic identification means and authentication is protected from tampering

High
Same as level substantial.

1

§ 2.3.1

Par. 2.3.1 onder
LoA1 punt 3

LoA4 punten 1
t/m 4

De AD MOET in het aanlogscherm tonen bij welke Dienstverlener de Gebruiker gaat aanloggen.

Idem en

1. Het auhenticatiemiddel MOET de Gebruiker notificeren (onafhankelijk van de browser die hij gebruikt) van zijn inlogpoging bij een specifieke dienst of dienstverlener .
2. De notificatie MOET zijn gekoppeld aan het gebruik van diensten op het niveau van het middel.
3. De Deelnemer MAG een optie aanbieden om de notificatiedienst door de gebruiker zelf aan en uit te laten zetten voor diensten op het LoA van het middel of lager.
4. De notificatie ZOU de Gebruiker binnen een tijdsbestek MOETEN bereiken zodat de notificatie zijn beslissing om de inlog voort te zetten of af te breken kan beïnvloeden.

Toelichting: Doel van de eis is om de Gebruiker in staat te stellen een fout of inbreuk in de communicatie te herkennen en bij twijfel de informatietransactie af te breken. Het is altijd mogelijk dat de browser van de Gebruiker gecompromitteerd raakt daarom is voor LoA4 is een extra maatregel opgenomen die bij implementatie gekoppeld mag worden op het middel of op de dienst. Een voorbeeld is verzending van een SMS als een internet browser wordt gebruikt om in te loggen. Bij frequent gebruik van een middel voor diensten op lagere LoA's kan dat door de gebruiker als bezwarend worden ervaren om steeds SMS's te ontvangen daarom mag een optie aangeboden worden om de dienst door de gebruiker zelf uit te laten zetten. Ook mag de optie worden aangeboden de de gebruiker notificatie te koppelen aan het gebruik van diensten op verschillende het LoA van het middel of lager.

2

§ 2.3.1

Par. 2.3.1 onder
LoA3 punt 2

De toegang tot diensten van elke afzonderlijke dienstverlener MOET het aanloggen met behulp van het authenticatiemiddel vereisen.

Idem

Toelichting: Single Sign On voor diensten van een enkele dienstverlener op LoA3 en LoA4 is toegestaan. SSO tussen
dienstverleners is slechts toegestaan op LoA1 en LoA2. Beide situaties uiteraard met handhaving van de beperking dat de LoA van het middel alleen toegang mag geven tot diensten met een zelfde LoA of een lagere LoA. Single Sign On' tussen Dienstverleners moet op LoA3 en LoA4 worden beperkt. Het betrouwbaarheidsniveau wordt met SSO tussen dienstverleners te veel ondermijnd omdat de transactie kwetsbaar wordt voor Man-in-the-front en Man-in-the-browser aanvallen. Daarnaast accepteren Dienstverleners in formeel juridische zin een authenticatie en daarmee kan SSO tussen dienstverleners op LoA3 en LoA4 niet alleen meer een oplossing zijn voor gebruiksgemak.

3

§ 2.3.1

Par. 2.3.1 onder
LoA 3 punt 1

Bij gebruik van het authenticatiemiddel MOET de Gebruiker expliciet duidelijk gemaakt worden dat hij een authenticatie in de context van een Stelselmerk uitvoert, ook wanneer zijn applicatie (o.a. de browser) of platform (o.a. PC) waarop de applicatie actief is gecorrumpeerd is. Indien het middel buiten de Stelselcontext wordt gebruik MAG een Stelselmerk NIET getoond worden.

Idem

Toelichting: Authenticatie onder een merk van het AS wil zeggen onder Idensys respectievelijk eHerkenning. Als het middel wordt gebruikt in een andere context moet het middel die notificatie achterwege laten of de andere context aangeven. Doel is om hiermee het transactierisico voor de gebruiker verminderen in het geval dat zijn applicatie/browser is gecorrumpeerd.

4

§ 2.3.1

Par. 2.2.1 onder LoA3

Het authenticatiemiddel MOET slechts een response geven na een expliciete handeling van de Gebruiker. De handeling van de Gebruiker MOET buiten de werkingssfeer van de applicatie (o.a. browser) plaatsvinden.

Idem

Toelichting: Dit betekent dat:

• de Gebruiker op betrouwbare wijze informatie wordt getoond die bevestigd moet worden met een
  response van de Gebruiker, of;
• de gebruiker voert zelf informatie in op middel en maakt zo deel uit maakt van de response.

In deze eis bedoelde handelingen van de Gebruiker zijn bijvoorbeeld:

• Het door de gebruiker invoeren van een ontvangen OTP die op een ander device dan waar het op is ontvangen wordt ingevoerd in de applicatie;
• Het door de gebruiker invoeren van een PIN op een separate cardlezer waarmee het certificaat als authenticatiefactor wordt ingezet;
• Het door de gebruiker presenteren en laten 'lezen' van zijn biometrische kenmerk als authenticatiefactor.
  Als de zowel authenticatie-afhandeling als de inlog op het zelfde device kan plaats vinden moet de MU/AD dit risico- gedetecteerd hebben en compenserende maatregelen treffen zoals:
• het de gebruikers wijzen op de risico's van het gebruik van het zelfde device voor de inlog via de browser en risico voor de ontvangst en gebruik van de informatie die nodig is voor de afhandeling van de authenticatie.
  Voorbeeldsituaties:
• Inloggen via browser van een smartphone en ontvangst en gebruik op het zelfde toestel van een sms- code voor de afhandeling van de authenticatie.
• Inloggen via de browser van een tablet waar ook de OTP app op staat.

§2.2.1

Par 2.2.1 onder LoA4

n.v.t.

Het correct functioneren van het authenticatiemiddel moet weerstand bieden tegen fysieke en logische manipulatie door een aanvaller met een 'High attacker' potentieel in de zin van Annex B van de Common Criteria (ISO 1508-3 en evaluatie norm ISO/IEC 18045).

Toelichting: De eis omvat de doelstellingen:

• het authenticatie-middel MAG NIET gebruikt kunnen worden zonder expliciete actie van de gebruiker in lijn met het multi-factor gebruik;
• het authenticatie-middel MAG NIET andere gegevens bevestigen dan wat de gebruiker verwacht; De toekomstige response van het middel MAG NIET vooraf te bepalen zijn;
• Specifiek voor LoA3: Het middel MAG NIET bij eventueel klonen in combinatie met het authenticatiemechanisme bruikbaar zijn.
• Specifiek voor LoA4: Het middel MAG NIET te klonen zijn.

Par 3.2.1 onder
LoA4 punt 5

n.v.t.

Het authenticatiemiddel MOET een betrouwbaar (trusted) kanaal bevatten ten behoeve van betrouwbare notificatie en bevestiging, ook wanneer zijn voor inlog gebruikte applicatie of het platform (o.a. PC) waarop de applicatie actief is gecorrumpeerd is. Dit kanaal MOET de mogelijkheid bevatten om de gebruiker elementen in het authenticatieverzoek te laten bevestigen.

Toelichting: De eis omvat de doelstellingen:
het authenticatie-middel MAG NIET gebruikt kunnen worden zonder expliciete actie van de gebruiker in lijn met het multi-factor gebruik;
het authenticatie-middel MAG NIET andere gegevens bevestigen dan wat de gebruiker verwacht; De toekomstige response van het middel MAG NIET vooraf te bepalen zijn;
Specifiek voor LoA3: Het middel MAG NIET bij eventueel klonen in combinatie met het authenticatiemechanisme bruikbaar zijn.. Specifiek voor LoA4: Het middel MAG NIET te klonen zijn.

5

§ 2.2.1

Par. 2.2.1 onder LoA 3 punt 1

De authenticatie MOET het gebruik van minimaal twee van de volgende authenticatiefactoren omvatten:

• kennis van de gebruiker,
• uniek bezit van de gebruiker, of
• een biometrische eigenschap van de gebruiker.

6

§ 2.2.1

Par 2.2.1 onder LoA2 punt 1

Als de authenticatiesessie een wachtwoord omvat dat in de browser van de gebruiker wordt ingevoerd dan MOET dat wachtwoord een zogenaamd ‘afgedwongen’ en ‘sterk’ wachtwoord of betreffen.

Idem

Toelichting: In het geval van multifactormiddelen moet de sterkte van de wachtwoordcomponent in de risicocontext worden bepaald.

8

§ 2.3.1

Par. 2.3.1 onder LoA3 punt 5 respectievelijk LoA4 punt 7

Het correct functioneren van het authenticatiemeachanisme moet weerstand bieden tegen fysieke en logische manipulatie door een aanvaller met een 'moderate attacker' potentieel in de zin van Annex B van de Common Criteria (ISO 15408-3 en valuatie norm ISO/IEC 18045).

Het correct functioneren van een authenticatiemechanisme moet weerstand bieden tegen fysieke en logische manipulatie door een aanvaller met een 'High attacker' potentieel in de zin van Annex B van de Common Criteria evaluatie norm (ISO/IEC 18045).

Toelichting: Dit omvat de doelstellingen:

1. het authenticatie-middel MAG NIET niet gebruikt kunnen worden zonder bewuste actie van de gebruiker in lijn met het multi-factor gebruik;
2. het authenticatie-middel MAG NIET andere gegevens bevestigen dan wat de gebruiker verwacht; * toekomstige response van het middel MAG NIET vooraf te bepalen zijn;
3. het middel MAG NIET te klonen zijn.

9

§ 3.2.1

Par 3.2.1 onder LoA3 punt 4

De MU/AD MOET jaarlijks het authenticatiemechanisme onderwerpen aan een risico analyse daarbij rekening houdend met (nieuwe) aanvalstechnieken en kwetsbaarheden. Dit omvat een vergelijking van de gebruikte cryptografische algoritmen en sleutellengtes met de actuele 'good practice'. Indien de analyse daar aanleiding toe geeft worden middelen aangepast en/of vervangen.

10

§ 2.4.7

Par 2.4.7 onder
LoA3 punt 1

De MU/AD moet een actueel overzicht kunnen opleveren van de aan het authenticatiemiddel en autenticatiemechanisme, uitgevoerde wijzigingen, met daarbij een beschrijving van de impact op de
conformiteit aan de gestelde eisen.

Idem

Opmerking: maak bijvoorbeeld onderscheid tussen major changes, minor changes en maintenance.

11

§ 2.4.7

Par 2.4.7 onder
LoA3 punt 2

Bij de conformiteitsbeoordeling wordt onderscheid gemaakt tussen verschillende typen onderzoek, te weten: een initieel onderzoek, een herhalingsonderzoek en een
heronderzoek.

1. 1. Een initieel onderzoek is een eerste beoordeling over de volledige scope van het object van onderzoek op basis van de gestelde eisen.
   2. Een herhalingsonderzoek vindt uitsluitend plaats bij uitgevoerde wijzigingen aan het object van onderzoek die van invloed (kunnen) zijn op de conformiteit aan de gestelde eisen. De scope is beperkt tot de wijzigingen aan het object van onderzoek.
   3. Een heronderzoek vindt minimaal binnen drie jaar na uitgifte van de rapportage initieel onderzoek plaats over de volledige scope van het object van onderzoek.

Idem

Toelichting:

Op LoA3: De MU/AD toont conformiteit van het authenticatiemechanisme aan de gestelde eisen aan door het overleggen van een rapportage van een conformiteitsbeoordelaar.

Op LoA4: De MU/AD toont conformiteit van het authenticatiemechanisme en het authenticatiemiddel aan de gestelde eisen aan door het overleggen van een rapportage van een conformiteitsbeoordelaar.

12

§ 2.4.7

Par. 2.4.7 onder
LoA3 punt 3

De conformiteitsbeoordelaar die de conformiteitsbeoordeling uitvoert:

1. 1. heeft aantoonbaar ruime ervaring met het uitvoeren van technische beoordelingsopdrachten van authenticatiemiddelen, - mechanismen of vergelijkbare objecten van onderzoek.
   2. zal voor de opdracht personeel inzetten met ruime ervaring en de voor de beoordeling benodigde competenties
   3. is bij het uitvoeren van de beoordeling en in haar oordeelsvorming geheel onafhankelijk van haar opdrachtgever en de MU/AD
   4. heeft een intern kwaliteitssysteem en/of vaktechnische richtlijnen en 

      procedures voor het uitvoeren van beoordelingsopdrachten, met inbegrip van registratie van ondersteunend bewijs, rapportering aan opdrachtgever en aan derden en – waar nodig - interne (peer) review.

   5. verstrekt toestemming dat toezichthouder op elk moment, binnen 7 jaar na het uitbrengen van de rapportage van conformiteitsbeoordelaar inzage kan vorderen in de rapportage en in het bijbehorende dossier waarin het ondersteunend bewijs is vastgelegd.

   6. levert voorafgaand aan de opdrachtverstrekking aan de opdrachtgever of de MU/AD een formele verklaring op waarin conformiteit aan sub 1 tot en met sub 5 op het moment van opdrachtverstrekking en gedurende de conformiteitsbeoordeling verklaard en onderbouwd wordt.

   7. Een testlaboratorium ingevolge ISO 17025 voor de scope "testing of information technology products" wordt vermoed aan sub 2 tot en met sub 4 te voldoen.

   8. 
      

      De conformiteitsbeoordeelaar beschikt over een bedrijfs- of beroepsaansprakelijkheidsverzekering.

Idem

Toelichting bij sub g: Indien van een conformiteitsbeoordelaar zoals bedoeld in sub g gebruik wordt gemaakt blijven sub a, e, f en h wel onverkort van toepassing.

13

§ 2.4.7

Par. 2.4.7 onder
LoA3 punt 4

Een onderzoek van de conformiteitsbeoordelaar wordt zodanig gepland en uitgevoerd dat een redelijke mate van zekerheid kan worden verkregen dat het object van onderzoek op het in de rapportage aangegeven moment aan de gestelde eisen voldoet.

Idem

14

§ 2.4.7

Par 2.4.7 onder
LoA3 punt 5

De rapportage van de conformiteitsbeoordelaar bevat minimaal:

1. 1. De doelstelling van de opdracht, een beschrijving van het object van onderzoek (uniek identificerend, met datum en versienummer), de eisen op basis waarvan het object van onderzoek is beoordeeld en het plan van aanpak met de gevolgde stappen en de gehanteerde onderzoeksmethoden en aanvalstechnieken.
   2. Het eindoordeel over de mate waarin het object op het aangegeven moment aan de gestelde eisen voldoet, met onderbouwing.
   3. Belangrijkste bevindingen en aanbevelingen.
   4. Detailbevindingen, met vermelding van referenties naar het geregistreerde bewijs over de conformiteit aan de betreffende eis.

Idem