Open webportaal SupportContact
Signhost logoSignhost logo
Inloggen

Wat is op kennis gebaseerde authenticatie (KBA)?

Op kennis gebaseerde authenticatie, in het Engels Knowledge-based authentication (KBA), is een verificatie methode. Om precies te zijn een methode voor de verificatie van iemands identiteit[1]  op basis van een reeks persoonlijke vragen. KBA wordt ingezet om ongeautoriseerde toegang te voorkomen, aangezien enkel de eigenaar van deze account het antwoord weet.

Doel en voordelen

Doel

Het doel van KBA is veilig en op afstand de identiteit van een individu verifiëren. KBA-vragen tonen aan of de persoon die toegang wil krijgen, daadwerkelijk is wie deze persoon zegt te zijn. 

Voordelen

  • Fraudepreventie: KBA helpt het tegengaan van frauduleuze activiteiten en identiteitsdiefstal, door informatie te gebruiken die anderen niet kunnen weten.
  • Beveiligde toegang: Het voegt een extra beveiligingslaag toe, buiten de reguliere inloggegevens. Zelfs als een kwaadwillende persoon toegang krijgt tot de informatie van een gebruikersaccount, kunnen ze geen toegang krijgen zonder de vragen juist te beantwoorden.
  • Compliance: KBA helpt organisaties om te voldoen aan de wetgeving ter bescherming van persoonsgegevens in de EU. Waaronder de eIDAS 2.0[2] , PSD2[3] , AML(Wwft) en GDPR (AVG).

Soorten KBA

Statisch

Statische KBA is een veelgebruikte veiligheidsmaatregel. Het gaat om informatie die niet kan veranderen, zoals bijvoorbeeld deze vragen:

  • Wat is de meisjesnaam van je moeder?
  • Wat was de naam van je eerste huisdier?
  • Wat is de straatnaam van het huis waarin je bent opgegroeid?

Tijdens het creëren van een account, kiest de gebruiker zelf een aantal KBA-vragen uit. De antwoorden op deze vragen worden op een database opgeslagen en opgevraagd op het moment van identiteitsverificatie. Het nadeel van statische KBA is dat antwoorden vaak redelijk makkelijk kunnen worden achterhaald via online onderzoek. 

Dynamisch

Dynamische KBA-methodes zijn gebaseerd op iemands transactiegeschiedenis, marketing databases en gedragspatronen. Dit betekent dat de vragen veranderen als er nieuwe transacties plaatsvinden. Voorbeelden van dit soort vragen zijn:

  • Vanuit welke stad vond je laatste online aankoop plaats?
  • Wat was het bedrag van je laatste banktransactie?
  • In welke productcategorie koop je vaak online?

Deze vragen worden op een dynamische manier gecreëerd, op basis van gegevens en de gekoppelde account. In vergelijking met statische KBA, kan het antwoord op deze vragen niet makkelijk worden geraden of achterhaald.

Er is wel een kleine kans dat deze informatie openbaar beschikbaar is, bijvoorbeeld vanwege een datalek.

Statisch + dynamisch

Een verbeterde KBA-methode is de combinatie van statische en dynamische KBA, voor het opstellen van persoonlijke vragen ter beveiliging. Gegevens worden opgehaald van eigen bronnen evenals van derde partijen, en vervolgens beveiligd door firewalls. Met als resultaat een robuuste oplossing voor ID-verificatie.

Hoe werkt KBA?

KBA slaat persoonlijke gegevens van gebruikers op tijdens het creëren van een account. Dit kunnen vragen zijn die de gebruiker zelf kan kiezen, maar het kunnen ook vragen zijn die automatisch worden gegenereerd. Dit is afhankelijk van de gekozen KBA-methode.

Zodra een gebruiker probeert in te loggen of een transactie wil uitvoeren, zal het systeem een vraag tonen die moet worden beantwoord. Enkel als het antwoord overeenkomt met het antwoord dat is opgeslagen in de database, zal de gebruiker toegang krijgen. Indien het antwoord onjuist is, zal de login-poging worden gelabeld als ongeautoriseerd.

In het algemeen worden KBA-vragen niet getoond bij iedere inlogpoging, maar op basis van specifieke criteria. Denk aan het inloggen vanaf een onbekend apparaat of het uitvoeren van een transactie met een groot risico. Wanneer vragen moeten worden beantwoord, verschilt ook van de implementatie van het systeem. 

Voor- en nadelen KBA

Voordelen

  • Gaat wachtwoord diefstal en brute force attacks tegen
  • Geschikt voor verschillende omgevingen, waardoor organisaties methodes kunnen aanpassen op basis van de gevoeligheid van gegevens en gebruikersrechten
  • Maakt voortdurende authenticatie mogelijk, op basis van intervallen voor heridentificatie
  • Kosten effectiever in vergelijking tot alternatieve methodes, zoals biometrische verificatie en hardware tokens
  • Kan worden gebruikt op diverse platformen en apparaten, zonder dat dit de veiligheid in gevaar brengt

Nadelen

  • Antwoorden kunnen worden achterhaald via online onderzoek, met name bij statische KBA
  • Kan de veiligheid van databronnen in gevaar brengen tijdens het genereren van dynamische KBA-vragen
  • Onterechte weigeringen, als gebruikers antwoorden op vragen niet kunnen herinneren
  • Social engineering aanvallen, waaronder phishing en impersonatie, die specifiek gericht zijn op KBA-informatie

Use cases

KBA-software[4]  wordt veel gebruikt in de financiële sector, de gezondheidszorg, e-commerce en overige sectoren waarbij vertrouwelijke informatie van gebruikers wordt opgeslagen. Bij onderstaande processen wordt KBA meestal toegepast: 

  • Onboarding: Het beantwoorden van vragen tijdens het instellen van een account, die in de toekomst worden gebruikt ter verificatie.
  • Inloggen: Tijdens het inloggen vanaf een onbekend apparaat.
  • Uitvoeren van transacties met een hoog risico: Voor het goedkeuren van grote transacties, zoals een dure aankoop of overschrijving.
  • Toegang tot informatie: Voor het inzien en/of wijzigen van persoonlijke gegevens.

*Disclaimer: Deze content is geen juridisch advies. De geschiktheid, afdwingbaarheid of toelaatbaarheid van elektronische documenten zal waarschijnlijk afhangen van vele factoren, zoals het land of de staat waar u opereert, het land of de staat waar het elektronische document zal worden verspreid, en het type elektronisch document in kwestie. Raadpleeg een passende juridische adviseur om mogelijke juridische implicaties en vragen met betrekking tot het gebruik van elektronische documenten te analyseren.