Skip to main content
Het einde van beveiligingsvragen: waarom KBA dood is

Het einde van beveiligingsvragen: waarom KBA dood is

March 12, 2025

6

min read

Beveiligingsstrategie

Het einde van beveiligingsvragen
Figuur 1: de teruggang van statische kenniscredentials

De paradox van “de meisjesnaam van je moeder”

Al 30 jaar leunen banken en telecombedrijven op kennisgebaseerde authenticatie (KBA).
“Wat was je eerste auto?”
“In welke straat ben je opgegroeid?”

In 2010 was dit “geheime” informatie.
In 2025 is het publiek domein.

De dreiging van scraping door LLM’s

Generatieve AI-agents kunnen nu 15 jaar aan socialmediageschiedenis in seconden scrapen.

  • Die foto van je eerste Honda Civic op Instagram (2014)? AI weet wat je eerste auto was.
  • Die “Throwback Thursday”-post over je ouderlijk huis? AI weet in welke straat je woonde.

Statische vs. dynamische credentials

Wachtwoorden en antwoorden zijn statisch. Eenmaal gestolen (of geraden) blijven ze voor altijd geldig totdat ze worden gewijzigd.
De stem is dynamisch.

  • Ze kan niet uit een database worden gestolen.
  • Ze vereist “liveness” om te werken.
  • Ze verandert subtiel met de tijd en de context, waardoor het onmogelijk is haar effectief te “replayen” tegen moderne detectoren.

De kosten van frictie

Naast beveiliging is KBA de #1-oorzaak van klantfrustratie.

  • Gemiddelde tijd om 3 KBA-vragen te beantwoorden: 45-60 seconden.
  • Faalpercentage: 15-20% (legitieme klanten die hun antwoorden vergeten).
  • Tijd voor stemauthenticatie: 3 seconden (passief).

Vooruitkijken

De sector verschuift van “kennisfactoren” (wat je weet) naar “inherentiefactoren” (wie je bent).
Als je beveiliging afhangt van het geheugen van je klant, ben je al gehackt.

Stap over op biometrie.

Tags:

KBAAuthenticatieSocial engineeringCyberbeveiliging