Handhelds hebben echter ook ingebouwde elementen die pc's doorgaans niet hebben, zoals touch screens, microfoons en uitbreidingsslots voor geheugenkaarten. Dit zet de deur open voor verschillende nieuwe methoden van beveiliging en identificatie. Er zijn drie fundamentele vormen van identificatie: gebaseerd op kennis, zoals een pincode, wachtwoord of een ander soort code; gebaseerd op persoonlijke eigenschappen, zoals een handtekening of een vingerafdruk; en gebaseerd op iets dat je in je bezit hebt, zoals bijvoorbeeld een smartcard of token. Deze kunnen individueel of in combinatie worden gebruikt om een meer waterdichte identificatie te verkrijgen, hetzij in combinatie met elkaar, hetzij gecombineerd met een secundair aspect van beveiliging, zoals bijvoorbeeld een locatie. Kennis Iemand die over de schouder meekijkt, kan gemakkelijk de pincode stelen. Om dit te voorkomen zijn er verschillende alternatieve, op kennis gebaseerde systemen beschikbaar. Eén ervan is cued recall, waarbij de code bestaat uit een reeks plaatjes in plaats van letters en cijfers. Dit systeem is geïntroduceerd door Pointsec en heet PicturePIN - het idee hierbij is dat je een verhaaltje verzint als geheugensteun bij de reeks van icoontjes waaruit je wachtwoord bestaat. Zo kunnen een poppetje, een kopje en een pc samen de reeks 'man morst koffie over zijn laptop' voorstellen. Uit onderzoek blijkt dat cued recall erg goed aansluit bij de wijze waarop mensen zich iets herinneren. Het is tevens mogelijk om de grootte van het 'alfabet' uit te breiden door gepaarde plaatjes te gebruiken, waarbij één van de plaatjes fungeert als shift-toets voor de andere. Ook kan het wachtwoord grafisch van aard zijn, wat betekent dat je je kunt registreren op het apparaat door middel van het tekenen van een geheim symbool, welke je moet reproduceren om in te loggen. Microsoft heeft een testapplicatie genaamd Let Me In voor pocket-pc's, waarbij je op een grid moet krabbelen om in te loggen. Een beperkende factor bij deze benadering is de grootte van de cellen en de grootte van de oppervlakte die je met een pen kunt aanraken. Een andere mogelijkheid is het gebruik van gezichten, in plaats van karakters of icoontjes, zoals Real User in zijn Passfaces-applicatie gebruikt. Het menselijk brein is buitengewoon goed in het herkennen van gezichten, dus deze methode gebruikt een grid van één passface en acht valse gezichten. Persoonlijke kenmerken Biometrie is een stuk eenvoudiger te beheren dan wachtwoorden, maar het is een stuk moeilijker om te meten, niet in de laatste plaats omdat ze ter plekke wordt gemeten en er daarbij valse positieve of negatieve waarden kunnen optreden (acceptaties of afwijzingen). Sommige handcomputers beschikken inmiddels over een vingerafdruklezer, het bekendste biometrische identificatiemiddel. Dit is echter een gebied waar de rekensnelheid - of beter gezegd het gebrek aan rekensnelheid op een apparaat dat op batterijen loopt - een grote rol speelt: sommige algoritmen kunnen langdurig veel geheugenruimte in beslag nemen. Een handtekening kan ook als een biometrisch identificatiemiddel worden gebruikt, waarbij de handcomputer de dynamiek van het schrijven meet, en niet naar het eindresultaat kijkt. Dit heeft als voordeel dat het volledig softwarematig, en potentieel dus minder kostbaar is. Een handtekening is echter gevoelig voor stemmingswisselingen, dus zou iemand zich telkens voor de geest moeten halen in welke bui hij was toen hij registreerde. Nu steeds meer handheldcomputers voorzien zijn van een camera ontstaan de eerste applicaties die gezichtsherkenning gebruiken. Iets dat je in je bezit hebt Tokens zijn een erg populair en probaat middel bij de beveiliging van een pc, zo gebruikt men bijvoorbeeld een usb-token of een smartcard, normaal gesproken in combinatie met een pincode. Maar zeer weinig handcomputers hebben ofwel een usb-poort, ofwel de mogelijkheid om een smartcard te lezen. Een rsa-token, die een pincode genereert, kan wel worden gebruikt maar dit type beveiliging heeft normaliter een link terug naar de server nodig, dus is deze minder bruikbaar voor het controleren van de toegang op bijvoorbeeld een pda. Beveiligingsexperts werken daarom aan alternatieve tokens die beter passen bij pda's en smartphones. CSRC heeft bijvoorbeeld een prototype ontwikkeld van een verwijderbare smartcard die tevens over een bluetooth-chip beschikt, en waarmee dus draadloos verbinding gemaakt kan worden. Een andere mogelijkheid waar CSRC zich in heeft verdiept, is het bouwen van een programmeerbare sd/mmc-card. Hierbij wordt een smartcard-chip aan een standaard geheugenkaart gekoppeld, waardoor deze in een token verandert. Gekwalificeerde beveiliging Een andere factor die goed op handcomputers van toepassing kan zijn is lokatie, ofwel om toegang te verlenen of te weigeren, ofwel om de mate van toegankelijkheid te bepalen. Sommige toepassingen kunnen bijvoorbeeld op diverse lokaties worden gebruikt, terwijl andere (zoals draadloos toegang tot een bedrijfsdatabase) alleen op kantoor toegankelijk zijn. De beveiligingsmogelijkheden zullen ook verschillen afhankelijk van het feit of de infrastructuur of het apparaat de locatie bepaalt. De infrastructuur is hiertoe in staat als het apparaat traceerbaar is - bijvoorbeeld door zijn wifi-zender. Een andere mogelijkheid is het plaatsen van bakens die een signaal naar het apparaat zenden, zodat het weet of het zich binnen of buiten de grenzen van de organisatie bevindt. Hiervoor zijn echter beleidscontrolesystemen in het apparaat nodig om de resultaten te verwerken. Een andere mogelijkheid is het gebruik van persoonlijke bakens die zich dicht bij het apparaat moeten bevinden. Deze zouden dan misschien kunnen communiceren dmv near-field magneten of Bluetooth. Zeker van je zaak zijn Identificatie en toegangsbeveiliging zijn samen slechts één aspect van de beveiliging van handcomputers. Met voldoende doorzettingsvermogen en geld zal een apparaat uiteindelijk kunnen worden gekraakt, dus dient de content eveneens te worden versleuteld. Bovendien is er software beschikbaar die een handcomputer kan opdragen zichzelf te wissen, bijvoorbeeld wanneer deze verbinding probeert te maken met het hoofdkantoor nadat deze als vermist of gestolen is opgegeven, of wanneer deze nalaat binnen een bepaalde tijd verbinding te maken. Buiten dat is het een kwestie van het maken van een risicoanalyse en een kosten- en batenanalyse. Vanaf het moment dat informatie het kantoor verlaat, zal het gevaar lopen, dus is het de vraag hoeveel iemand bereid is te betalen om zijn handen erop te kunnen leggen; verder is het natuurlijk de vraag op welk punt het goedkoper en gemakkelijker voor de concurrent wordt om in plaats daarvan eenvoudigweg een staflid van de organisatie om te kopen. Bron: Techworld