Een computergebruiker heeft tegenwoordig voor van alles en nog wat inloggegevens nodig. Inloggen is alleen veilig als de gebruiker telkens unieke inlognamen of wachtwoorden gebruikt. Vasco biedt met de DigiPass SmartPack een gebruiksvriendelijke oplossing voor het onthouden van al die inloggegevens.
Een Vasco DigiPass SmartPack bestaat uit software, twee smartcards voor eindgebruikers en optioneel ook usb-chipkaartlezers. De usb-chipkaartlezer moet in ieder geval in het systeem geïnstalleerd zijn voor de installatie van de DigiPass SmartPack software begint. Daarna kun je de DigiPass-smartcard gebruiken voor alle inlogprocedures waarbij je een naam en wachtwoord of eventueel alleen een wachtwoord moet intikken.
DigiPass past een zogenaamde tweefactor-authenticatie toe: zowel het insteken van de kaart als het intikken van een pincode zijn noodzakelijk om je succesvol aan te melden. Als de kaart er eenmaal insteekt, is voor nieuwe inlogs alleen het intikken van de kaartpincode nodig. De software vult dan automatisch het bij het inlogvenster horende wachtwoord en de gebruikersnaam in. De gebruikersnaam- en wachtwoordcombinaties slaat het systeem versleuteld op de kaartchip op. Je kunt de inloggegevens en sleutels dus ook meenemen naar een andere pc of notebook door de kaart gewoon daar in de lezer te stoppen (natuurlijk moet dan wel de software actief zijn). Vasco voorziet ook in een ‘single sign-on’ (een enkele inlog voor alle diensten).
Gebruik
Omdat de kaartlezer en software op individuele pc’s staan, werkt de beveiliging ook als een pc van het netwerk afgekoppeld wordt. Het systeem werd ontworpen om alle vormen van inloggen aan te kunnen. Voor complexere inlogprocedures (zoals die van SAP) is er een speciale macrorecorder om toetsenbord- en muisevents aan te leren. Verder kun je configureren wat er moet gebeuren als een kaart verwijderd wordt uit de lezer. Het werkstation kan vergrendeld of uitgeschakeld worden, of de gebruiker uitgelogd. De roll-out vereist een minimaal beheer, omdat gebruikersauthenticatiegegevens automatisch vergaard en gesynchroniseerd worden wanneer er voor de eerste keer wordt ingelogd. Systeemlogons kunnen naast de gebruikelijke naam/wachtwoordcombinaties ook certificaatgebaseerd zijn. Dan moet je een ‘Smart Certificate Store’ (certificatenopslag) hebben en dat is dus ook mogelijk met de SmartPack. Je moet wel kiezen tussen beide systemen, want ze kunnen niet gelijktijdig gebruikt worden.
Pin en puk
Voor het dagelijks gebruik werk je met de pincode. Alleen als de kaart misbruikt zou worden en iemand meermaals een verkeerde pincode invoert, blokkeert het systeem de pincode op de kaart en moet je een speciale pukcode (personal unblocking key) invoeren om die weer te deblokkeren. Voer je ook de pukcode meermaals verkeerd in, dan wordt de hele kaart geblokkeerd. Zo zou het risico van diefstal van authenticatiegegevens zo goed als uitgesloten moeten zijn. In feite krijg je twee soorten pincodes en pukcodes: een voor encryptie en een voor digitale ondertekeningen. Om in te loggen gebruik je de encryptie-pincode, omdat de gegevens versleuteld bewaard worden op de chip. De ‘Signature pin’ dient voor het digitaal ondertekenen van documenten en e-mails.
Praktijk
Als alle inloggegevens in het systeem zijn ingevoerd (dit kan gewoon terwijl de pc gebruikt wordt), blijkt het zeer eenvoudig om alleen maar de kaart en een eenmalige pincode te hoeven gebruiken. Je kunt zelfs verschillende inlogs op meerdere pc’s bijhouden. Ook het inloggen op webpagina’s met IE werkt prima. We hebben het ook met Firefox geprobeerd, maar dat bleek niet te werken. In tegenstelling tot IE herkent de DigiPass software bij Firefox niet zelf de inlogvelden op een webpagina. We probeerden het vervolgens met de applicatiebeheerder. Die bevat een soort navigatieroos die je kunt slepen naar de inlogvelden en dan herkent hij die wel. Met behulp van een macrorecorder kan de inlogprocedure dan vastgelegd worden. Probleem is echter dat bij een webpagina veel teksten en titels niet constant blijven. Daardoor komt het er uiteindelijk op neer dat de inlog onder Firefox dus toch nog zelf ingetikt moet worden. Het systeem is dus niet compatibel met Firefox. Dat vinden we tegenwoordig toch niet meer acceptabel. Zeker gezien het feit dat het marktaandeel van Firefox nog dagelijks stijgt en veel gebruikers en beheerders juist de voorkeur geven aan deze browser om veiliger te kunnen surfen! Vasco zou daar iets aan moeten doen. Aangezien Firefox een gestandaardiseerd soort applicatieplugins ondersteunt voor alle producten van de Mozilla-groep, zou het geen groot probleem mogen zijn om de benodigde ondersteuning in te bouwen.
Conclusie
DigiPass SmartPack blijkt een handige en goed werkende methode voor het automatisch inloggen op computers, netwerken, websites en applicaties. Voor websites is het helaas alleen maar compatibel met IE en niet met Firefox. Als Vasco dat weet toe te voegen, zijn we helemaal gelukkig. Digitaal ondertekenen van documenten en e-mails is met deze oplossing ook mogelijk.
Productinfo
Product: DigiPass SmartPack for Windows
Producent: Vasco Nederland, ‘s-Hertogenbosch, 073 691 88 88, www.vasco.com
Hoofdverdeler NL: E92+, 0252 43 09 40, www.e92plus.nl
Adviesprijs (excl. BTW): 150 euro (evaluatiekit met 2 lezers en 2 kaarten); 800 euro (basis 10-pack zonder lezers of kaarten)
Systeemvereisten: Microsoft Windows 2000 Professional of Server, Windows XP, Windows 2003 Server plus IE 5.5 SP2 of hoger; voor DigiPass SmartPack for Citrix: Citrix MetaFrame 1.8 / XP FR2 of Citrix Presentation Server 3.0 of hoger plus Citrix ICA-client 7.00 of hoger
De kern
* DigiPass SmartPack biedt ‘single sign-on’ en digitale ondertekening met usb-kaartlezer en smartcard.
* Het systeem werkt erg gemakkelijk met Windows en biedt behoorlijk wat functionaliteit, maar is helaas niet compatibel met Firefox.
