Organisatieadviesbureau Andersson Elffers Felix (AEF) zocht naar authenticatiemethoden waarbij de medewerkers niet alleen een wachtwoord, maar ook een fysieke token moeten gebruiken voordat ze op locatie met hun notebook het bedrijfsnetwerk op kunnen.
Hoe zorgen we ervoor dat alleen onze medewerkers toegang hebben tot hun notebooks en het netwerk van ons bedrijf? Het is een veelgestelde vraag die ook speelde bij organisatieadviesbureau Andersson Elffers Felix (AEF). Consultants van het Utrechtse bedrijf werken vaak onderweg en op locatie bij opdrachtgevers in de overheid en semi-overheid. AEF vond de oplossing voor mobiele authenticatie in een usb-smartcard met ingebouwde rfid-chip en een geïntegreerde verstrekker van eenmalige wachtwoorden (one-time passwords, OTP).
Niet alleen een wachtwoord
"We zochten naar een methode waarbij de identiteit van de gebruiker niet alleen met behulp van een wachtwoord wordt vastgesteld", vertelt Sjoerd Ypma. Hij is binnen AEF verantwoordelijk voor de ict en dus voor de implementatie van de authenticatie-oplossing. "Het is veel beter om het te combineren met iets wat je bij je draagt. Een token bijvoorbeeld." Uiteindelijk koos het adviesbureau voor de oplossing van Aladdin. Dat is een leverancier van fysieke en softwarematige beveiligingsproducten.
Ypma: "We hebben altijd sterk ingezet op veilige authenticatie bij bedrijfstoegang via internet. De eerdere tokens die we hadden, waren onvoldoende gebruiksvriendelijk. Bovendien waren ze alleen gebaseerd op de verstrekking van eenmalige wachtwoorden. Daarbij krijg je elke keer dat je inlogt een nieuwe reeks getallen toegewezen. Onze nieuwe tokens zijn gebruiksvriendelijker en bieden de gebruiker de mogelijkheid zich op meerdere manieren te authenticeren: via eenmalige wachtwoorden, via een certificaat op de usb-kaart en met behulp van de rfid-chip in de kaart."
Paspoort
Op de smartcard zit een usb-slot met een authenticerend certificaat. "Zie het als een soort paspoort. Samen met het unieke wachtwoord verleent deze de gebruiker toegang tot het bedrijfsnetwerk en de laptop", aldus Ypma. De rfid-chip geeft fysiek toegang tot het kantoor. Dat laatste is volgens de ict-manager belangrijk in verband met de voortdurende in- en uitstroom van werkstudenten en stagiairs. "De token heeft diverse sleutelfuncties in één card. Dit werkt makkelijker dan het hebben van 3 losse apparaten."
In oktober 2008 begon AEF met de gefaseerde invoering van de authenticatiemethode. Het bureau werd daarbij geadviseerd door B-able. Om een korte doorlooptijd te realiseren, maakte dat bedrijf voor de implementatie gebruik van de diensten van Avnet.
Facultatief
De consultants van het adviesbureau gebruiken nu in elk geval de eenmalige wachtwoorden voor het op afstand inloggen op het bedrijfsnetwerk. Het gebruik van de usb-smartcard op notebooks en werkstations is nog facultatief. "Uiteindelijk wordt de combinatie van smartcard en wachtwoord verplicht bij het inloggen", zegt Ypma. Hij verwacht dat dat in het tweede kwartaal van 2009 gebeurt.
Het de bedoeling dat het adviesbureau in de tweede helft van 2009 alle extra wachtwoorden heeft uitgebannen en dat gebruikers alle bedrijfstoepassingen kunnen openen na één enkele inloghandeling (single sign-on). De ict-manager verwacht echter dat dit nog de nodige voeten in de aarde zal hebben.
Smartphones
Een andere uitdaging voor Ypma vormen mobiele apparaten als pda's en smartphones. "De authenticatie-oplossingen voor notebooks zijn redelijk uitgekristalliseerd, maar voor pda's en smartphones nog niet. En dat terwijl die steeds vaker worden gebruikt. Er is een langzame trend naar smartphones."
Medewerkers van het adviesbureau die een pda hebben, gebruiken voor de beveiliging van hun gegevens de software van Utimaco Safeguard. "Safeguard versleutelt het apparaat totdat je een wachtwoord ingeeft. Als je het toestel langere tijd niet gebruikt, zet het programma hem weer op slot", aldus de ict-manager. Volgens hem is Utimaco Safeguard echter nog niet ver genoeg doorontwikkeld voor gebruik op smartphones zonder touchscreen. Daarom worden nu steeds procedurele afspraken gemaakt met medewerkers die een smartphone gebruiken. Ze worden gewezen op de gevaren van onbeveiligde mobiele apparaten.
Bluetooth
Voor de toekomst hoopt Ypma op een authenticatieoplossing die op korte afstand contactloos werkt. Hij denkt daarbij aan een token die bijvoorbeeld via Bluetooth de pda of smartphone ontgrendelt, zodra de gebruiker hem binnen bereik houdt. "Zoiets is in de zorg wel al in gebruik, maar volgens mij nog niet bij mobiele apparaten."
“We zochten naar een methode waarbij de identiteit van de gebruiker niet alleen met behulp van een wachtwoord wordt vastgesteld”
Big Brother wants your fingerprint, retina scan, voice and body signature and brainwaves als authentification, zolang ze nog niet in staat zijn om – bij wet? – de verichip ge-implanteerd te krijgen in je lijf 🙂
Mark my words Grasshopper.. Biometric$$..
Het security en authentificatie middel voor de toekomst. Dus bereid je ict afdeling er nu maar vast op voor 😉
Iedere vorm van sterke authenticatie heeft zo zijn voor- en nadelen. De gekozen smart USB token oplossing biedt zeker mogelijkheden op het gebied van Near Field Communciation, digitale handtekening en ook meervoudige authenticatie op basis van een-malige wachtwoorden en PKI. Ik vraag me alleen wel af of deze samengang van authenticatie technieken het resultaat is van een security visie en strategie. Uit het artikel is niet te halen waar rekening mee is gehouden, zoals bijvoorbeeld levensduur van deze oplossing en overige huidige en toekomstige trends en ontwikkelingen op dit security vlak met daarbijhorende kansen en mogelijkheden versus het minimaliseren van risico’s en dreigingen.
Beste Hans,
Ik wil graag reageren op je vraag of de oplossing een resultaat van security visie en strategie is. En dat ik combinatie met de levensduur van fysieke authenticatie oplossingen.
Allereerst, de levensduur is op te delen in twee stukken. Namelijk het stuk waarbij een eenmalig wachtwoord wordt gegenereerd (OTP), hiervoor is in huidige oplossing een batterij benodigd. De levensduur van de batterij is tussen de 5 en 7 jaar, afhankelijk van het gebruik. De batterij is te vervangen.
Voor wat betreft de USB geconnecteerde mode om de smartcard te kunnen aanspreken, daarbij is geen beperking aan de levensduur. Hierbij spreek je over mogelijk defect door onjuist gebruik.
In mijn ogen is een ICT oplossing waarbij je voor vijf jaar een kostenplaatje (TCO) kunt maken, zeer netjes.
Gezien de aanwezige technieken in de oplossing welke AEF gebruikt is een “hybride token” voorzien van de maximale, huidige mogelijkheden. De martkt zoals wij deze zien ontwikkelen zal meer en meer gebruik maken van digitale certificaten voor sterke authenticatie.
En hiervoor is de oplossing juist gemaakt, reeds 9 jaar geleden.