Overslaan en naar de inhoud gaan
Achtergrond PRO
31 januari 2002 leestijd 3 minuten 0 reacties

Token RSA opstapje naar smartcardlezer

Tokens zijn al jaren een beproefde beveiligingsmethode voor bedrijfsnetwerken en andere IT-systemen. Het zijn apparaatjes in zakformaat die een voortdurend wisselend wachtwoord produceren. De gebruiker krijgt daarnaast een vaste pincode. De combinatie van beide getallen is uniek.
GKE
GKEMeer van deze auteur
Carriere
Shutterstock
Shutterstock

Een serverapplicatie genereert dezelfde wachtwoorden en controleert of de invoer van de gebruiker correct is voordat deze toegang krijgt tot het systeem. De server raadpleegt hiertoe een database met pincodes en andere gebruikersgegevens. Dit proces wordt authenticatie genoemd. De beveiliging met pincode en code-genererend token heet ook wel authenticatie met twee factoren omdat de toegang is gebaseerd op twee zaken: iets dat de gebruiker weet (de pincode) en iets dat de gebruiker bezit (het token). Een hardware-token ziet er doorgaans uit als een zakcalculator of bankpas met een numeriek toetsenbordje. Het apparaatje toont op het ingebouwde LCD-schermpje een code die frequent – bijvoorbeeld eens per minuut – verandert. Van tijd tot tijd worden de klokken gesynchroniseerd om te voorkomen dat token en server te ver uit de pas gaan lopen. Encryptie RSA Security geldt als een van de grootste specialisten op het gebied van informatiebeveiliging. Het twintig jaar oude bedrijf rekent 88 procent van de duizend grootste ondernemingen ter wereld tot zijn klantenkring. De door RSA bedachte encryptiealgoritmen zijn inmiddels meer dan een miljard keer toegepast in allerlei hard- en software, van de webbrowsers van Microsoft en Netscape tot de Playstation van Sony. Veertien jaar geleden bracht RSA zijn eerste authenticatieproduct onder de naam SecurID op de markt. Deze activiteit is nu verantwoordelijk voor het leeuwendeel van de omzet (280 miljoen dollar in 2001) van het bedrijf uit Bedford in de staat Massachusetts. Het kraken van wachtwoorden is doodsimpel, betoogt productmanager Ted Kamionek van RSA Security. Op sommige websites, waaronder die van adviesbureau @stake, zijn zelfs gratis tools te vinden die misbruikt kunnen worden voor het aanvallen van een beveiligd systeem. Kamionek doelt daarmee op het programmaatje L0phtcrack – de laatste versie heet LC3 – dat eufemistisch als ‘password auditing and recovery application’ wordt omschreven. “Voor een server op basis van Windows NT kun je daarmee in luttele uren nagenoeg honderd procent van alle versleutelde passwords raden, hoe lang of complex ze ook zijn. Letters, cijfers, combinaties van beide, het maakt niet uit. Het is echt verbluffend.” Tunnel Ook communicatiesystemen die op zichzelf moeilijk doordringbaar zijn, zoals Virtual Private Networks (VPN’s), bieden bij gebruik van passwords voor de toegangscontrole alleen schijnveiligheid. “Vergelijk het met een tunnel van het ene naar het andere gebouw. Onder de grond is zo’n tunnel heel veilig, want je kunt de wanden moeilijk doordringen. Maar als je de ingangen van die tunnel alleen met een wachtwoord afschermt, laat je hem in feite wagenwijd openstaan.” Deze achilleshiel verklaart ook dat de SecurID-divisie het merendeel van zijn omzet behaalt met de beveiliging van VPN’s. De intelligente chipkaart of smartcard is tot dusver voor authenticatie niet echt doorgebroken. “Smartcards hebben hun belofte nooit ingelost”, constateert Kamionek. “De technologie was onvoldoende ontwikkeld, er waren geen standaarden, de prijzen waren te hoog en ondernemingen zagen geen toepassingen.” Sindsdien is op al deze punten veel verbeterd. Zo zijn er ISO-standaarden voor de fysieke en elektronische eigenschappen en heeft Microsoft de PCSC-standaard ontwikkeld zodat recente versies van Windows nu met smartcards overweg kunnen. De prijs is gedaald van 25 à 30 dollar naar 15 dollar. Een kaartlezer kostte een paar jaar geleden 80 dollar, nu nog 45 dollar. Drempel De laatste twee jaar krijgen bedrijven dan ook meer oog voor de smartcard als authenticatiemiddel. De kosten van de kaartlezer vormen nog steeds een drempel. RSA Security acht de tijd daarom rijp voor de zogeheten SecurID ComboReader waarin een draagbare smartcardlezer en een token zijn samengebracht. Een kabeltje vormt de verbinding met de USB- of seriële poort van een pc. Kamionek: “Onze huidige afnemers houden vast aan tokens, nieuwe klanten willen vaak meteen smartcards. Maar er is een derde groep bedrijven die nu een oplossing wil maar ook een pad naar de toekomst. In dat tussengebied valt de ComboReader. Daarmee kopen ze nu een token en over een paar jaar prikken ze gewoon het kabeltje in de pc en werkt het als een standaard-kaartlezer.” Namen van klanten voor het apparaat kan Kamionek nog niet noemen. Bij een handvol grote Europese en Amerikaanse ondernemingen in de telecom, gezondheidszorg en olie- en gaswinning zijn evaluaties aan de gang.

Lees dit PRO artikel gratis

Maak een gratis account aan en geniet van alle voordelen:

  • Toegang tot 3 PRO artikelen per maand
  • Inclusief CTO interviews, podcasts, digitale specials en whitepapers
  • Blijf up-to-date over de laatste ontwikkelingen in en rond tech

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in