Toegangsbeheer moet eenvoudiger
Er blijkt al geruime tijd een fout in Passport te zitten, waardoor onbevoegden gegevens van anderen konden raadplegen. Gebruikers kunnen bij Passport een nieuw wachtwoord kiezen als ze het oude vergeten zijn, maar het systeem bleek ook het mailadres van anderen te accepteren, waardoor allerlei gegevens op straat kwamen te liggen. Microsoft heeft het beveiligingslek gedicht, maar de onrust is er niet minder om. Het incident speelt Microsofts belangrijkste concurrent, het Liberty Alliance Project, in de kaart. Deze organisatie, waarvan Sunoprichter Scott McNeally de aanjager is, bestaat uit onder meer Sun Microsystems, Nokia, Sony, American Express en RSA Security. De organisatie werkt aan technologie waarmee gebruikers zich maar een keer hoeven aan te melden om toegang tot allerlei webdiensten te krijgen. De belangrijkste drijfveer van de organisatie is te voorkomen dat Microsoft als enige via zijn Passport gegevens over miljoenen potentiële klanten in handen heeft en deze kan gebruiken voor allerlei marketingdoeleinden. Succesvol Toegangsbeveiliging staat al enige tijd hoog op de agenda van bedrijven. Softwareleverancier RSA Security Benelux sloot om die reden onlangs een van zijn succesvolste kwartalen af. Volgens RSA willen ondernemingen zich beter kunnen beschermen tegen inbraken, en zoeken zij oplossingen voor de complexiteit van het toegangsbeheer zelf. "Telkens als een bedrijf reorganiseert, moeten de toegangsrechten worden veranderd", zegt Harm Jan Arendshorst van RSA Security. "Oude gebruikers moeten worden afgemeld, en nieuwe aangemeld." Om ingewikkelde procedures tot een minimum te beperken, heeft RSA zijn huidige portfolio, waaronder ClearTrust, Keon en Mobile, geïntegreerd als Nexus. RSA is vooral bekend geworden door zijn SecurIDkaartje, een calculator in de vorm van een sleutelhanger die om de minuut een andere code genereert. Samen met een vaste pincode kunnen gebruikers daarmee op het bedrijfsnetwerk inloggen. Met deze technologie, die tegenwoordig zelfs in zakcomputers en horloges is verwerkt, hebben gebruikers automatisch toegang tot alle applicaties of diensten binnen het netwerk zodat zij niet telkens opnieuw hoeven in te loggen. "Ons motto is: keep the bad guys out, let the good guys in", zegt Arendshorst. Hackers Risico’s moeten daarbij zo veel mogelijk beperkt worden. Hackers slagen er soms in om op bedrijfsnetwerken te komen door op slecht beveiligde servers naar inlognamen en wachtwoorden te zoeken. Met het onlangs geïntroduceerde pakket Nightingale behoren dergelijke inbraken volgens RSA tot het verleden: de toegangsrechten worden met behulp van encryptie gesplitst en op twee verschillende servers bewaard. Om iets met de gegevens te kunnen doen, moeten ze eerst worden samengevoegd. Een hacker kan theoretisch nog steeds een versleuteld bestand op een server aantreffen, maar hij kan niets met het ene bestand zolang hij het andere bestand niet heeft. Een belangrijke rol is volgens RSA straks ook weggelegd voor digitale handtekeningen. Onafhankelijke partijen kunnen persoonsgegevens aan een digitale code koppelen, zodat om maar eens wat te noemen consumenten zich kunnen identificeren bij webwinkels en webwinkels zich bij consumenten. In Nederland hebben deze certificaten sinds kort dezelfde (juridische) status als een geschreven handtekening, wat de ontwikkeling van elektronische handel zou kunnen versnellen. Arendshorst: "Nu kunnen consumenten nog ontkennen dat ze bij een webwinkel hebben besteld, ook als blijkt dat een geldige creditcard is gebruikt." Trusted computing RSA is van plan om deze certificaten ook in te gaan zetten voor webdiensten. In dat geval zullen computersystemen via middleware elkaar toegangsrechten verstrekken. Bedrijven als Advanced Micro Devices, HP, IBM, Intel en Microsoft spreken in dit verband over ‘trusted computing’; computergebruik dat je kunt vertrouwen. Zij hebben onlangs de Trusted Computing Group in het leven geroepen, een consortium dat technische standaarden gaat ontwikkelen om bedrijven te beschermen tegen virussen en hackers. RSA denkt dat daarbij vooral moet worden gekeken naar WLAN (draadloos internet). "De beveiliging van WLAN is zwaar onvoldoende", zegt RSAdirecteur Radboud Beumer. "Onlangs hebben we geconstateerd dat 60 procent van de WLAN’s niet beveiligd was. Dat verschilde nauwelijks met een meting die we een jaar eerder hadden gedaan. En dat terwijl het WLANgebruik in de tussentijd met ruim 300 procent is gegroeid."