Hoe kun je het beste je [digitale] identiteit beschermen? Een terugkerend onderwerp in ‘de wereld van de ict-beveiliging’ is het traditionele wachtwoord. We zien regelmatig artikelen en nieuwsberichten over hoe een persoon of bedrijf in de problemen komt omdat een hacker erin geslaagd is om een wachtwoord te kraken. Ondergeschikt in het artikel is of de crimineel het wachtwoord heeft weten te kraken óf gewoon heeft kunnen raden.
Incidenten als deze, samen met de angst voor toekomstige beveiligingrisico’s, zorgen ervoor dat veel organisaties serieus naar de mogelijkheden van beter beveiligde authenticatie kijken. De toename van smartphones en de adoptie van clouddiensten en -toepassingen draagt hier ook aan bij. De keuze valt dan ook steeds vaker op two-factor authenticatie. Voor veel mensen houdt dit in dat ze een pincode en een kaartlezer hebben waarmee ze na het insteken van hun pas en het intypen van hun pincode met één druk op de knop een éénmalig wachtwoord krijgen.
Deze traditionele authenticatiemethoden – hardware tokens – lopen een potentieel risico om verdrongen te worden door de snelle opkomst van authenticatie met soft-tokens.
Steeds meer aanbieders van two-factor authenticatie promoten sms-authenticatie als de oplossing voor de toekomst. Sommige aanbieders hebben zich hier zelfs volledig op toegelegd. Sms kan inderdaad een geweldige manier zijn om mensen te kunnen verifiëren. Het is gemakkelijk, snel en bezorgt de ict-beheerder geen hoofdpijn bij de implementatie. Samengevat, sms werkt soepel en efficiënt (op voorwaarde dat er voldoende dekking en snelheid van de sms-provider is) en hard-tokens niet. Echter, sms is niet de enige authenticatie via soft-tokens. En het is zeker niet de goedkoopst beschikbare optie voor wie zich bewust is van de kosten.
Andere soft -oken mogelijkheden zijn onder andere applicaties voor iPhones en Blackberry's, grids en eenvoudige software voor pc's. Ook deze kunnen net zo eenvoudig zijn als sms, met dezelfde voordelen, bieden soms meer gebruikersgemak maar hebben niet hetzelfde prijskaartje.
Dus, hebben hard-tokens nu hun langste tijd gehad met de komst van al deze 'gelikte' authenticatie methoden? Zijn sms en andere manieren van authenticatie via soft-tokens een grote stap vooruit?
Naar mijn mening is sms authenticatie een erg mooie oplossing. Helaas wordt deze ook vaak ondoordacht ingezet, waardoor de uiteindelijke gebruikskosten hoog zijn. De implementatie is voordeliger omdat er geen hardware tokens aangeschaft hoeven te worden, maar er worden wel bij ieder sms-bericht kosten gemaakt. Daarnaast moet de ontvanger natuurlijk wel bereid zijn om de [privé] telefoon hiervoor te gebruiken. Sms-berichten komen soms niet direct aan, is de techniek hierop ingericht? Hoe veilig ten opzichte van hardware tokens zijn eenmalige wachtwoorden die verstuurd worden via sms? Kortom een van de vele mogelijk goede oplossingen, mits goed ingezet (al dan niet in combinatie met andere tokens).
Ik zou ook echt graag uw mening hierover horen.
Wat ik me al een tijdje zit af te vragen: wat gebeurt er als je wisselt van mobiel nummer (is gelukkig steeds minder noodzakelijk maar komt nog steeds geregeld voor).
Moet je dan iedereen langs om je mobiele nummer veranderd te krijgen? En hoe gaat dat dan? Moet je dan inloggen middels een token op je oude nummer en de nummer verandering bevestigen middels een token op je nieuwe nummer? Voor hoeveel aanbieders moet dat eigenlijk?
Hoi Simon,
het systeem wat de OTP’s (eenmalige wachtwoorden) stuurt naar het mobiele nummer moet dit nummer kennen. Als dat dus verandert zal het systeem dit moeten weten. Vaak gebeurd het user beheer in een directory en staat het mobiel nummer hier ook in. Indien men dat in de directory verandert veranderd dit mee(mits je een systeem gebruikt welke dat ondersteund) in het OTP systeem.
Soms is het mogelijk dat gebruikers in een self service portal een mobiel nummer kunnen veranderen.
Zoals nu blijkt met de trojan SMS/OTP interceptor die in the wild op blackberries bestaat, is dit een koers die niet zonder meer goed is: smartphones zijn ook een kwestbaar scenario en daarmee niet gelijkwaardig aan een klassieke nonce.
Rob,
Je geeft een technocratisch antwoord, terwijl ik een antwoord op mijn zorg (is dat doorgekomen of ben ik niet duidelijk geweest) had verwacht.
Fundamenteel: er wordt gewerkt met een variabele in de keten waar een constante wordt verondersteld. Is dat een ontwerpfout of zie ik het verkeerd?
hoi Simon,
Kun je op een andere manier uitleggen wat je wilt weten, ik begrijp het niet
Ok, een poging mezelf te verduidelijken.
Ik ben aangemeld bij service ‘X’. Die hebben een authenticatiemethode gebaseerd op een SMS-token.
Ik ga ervanuit dat ik – eenmaal geauthenticeerd – mijn eigen profiel kan wijzigen.
Nu krijg ik een nieuw mobiel nummer. Ik meld me aan bij de site van ‘X’ – met SMS token naar mijn oude nummer – en wijzig mijn mobiele nummer in mijn profiel. Hiervan zal bevestiging worden gevraagd middels een SMS-token – naar mijn nieuwe nummer!
In het gunstigste geval heb ik een oud toestel met een oud nummer en een nieuw toestel met een nieuw nummer. Dan is het geen probleem. Maar wat te doen bij SIM-kaart wisseling. Dan moet je gedurende bovenstaande exercitie van SIM-kaart wisselen.
Vandaar mijn vraag: bij hoeveel services heb ik dadelijk zo’n profiel staan? Of werkt het allemaal via DigiD?
Hoi Simon,
bedankt voor je uitleg.
Wat denk ik belangrijk is om te weten is dat de eenmalige wachtwoorden gestuurd worden naar 1 en hetzelfde mobiel nummer. Een sms token als zodanig bestaat niet, dit is uitsluitend een (marketing) naam.
Een sms token zou je kunnen zien als een mobiele telefoon waarnaar je eenmalig wachtwoorden kunt sturen via sms. Daarmee word je mobiele telefoon icm met je persoonlijke mobiele nummer (06) je (sms) token.
Het maakt dus niet uit wat voor telefoon je gebruikt (oud of nieuw), indien deze telefoon sms berichten kan ontvangen dan werkt het systeem.
Dus als je sim kaarten gaat wisselen wat tot gevolg heeft dat je een ander mobiel telefoon nummer gebruikt, dan werkt het sturen van eenmalige wachtwoorden naar je “oude’ mobiel nummer niet meer. Immers, je gebruikt een nieuw mobiel nummer.
DigiD staat hier los van.
Het idee is wel aardig maar echt heel veilig kun je het niet noemen.
Het kraken van de beveiliging gaat nu wat anders dan met een netwerk sniffertje maar de veiligheid van GSM verbindingen en zeker die van SMSjes staat tegenwoordig toch wel behoorlijk onder druk.
Ik heb wel de middelen maar helaas niet de tijd (nog intresse) om me hierin te verdiepen, maar genoeg anderen zijn daar wel mee bezig.
Hoi Pascal,
Je hebt zeker een goed punt. SMS verkeer is in basis niet veilig. Je moet wat moeite doen, je hebt wat (betaalde) apperatuur nodig en dan kun je de eenmalige wachtwoorden afvangen en lezen. Dan heb je de gegevens van de inlog op de vpn of applicatie nodig en dan zou je in theorie in kunnen loggen met een gestolen identiteit.
Als je dit afzet tegen een statisch gebruikersnaam en wachtwoord dan moet je toch wel heel wat meer moeite doen om in te loggen obv iemand anders zijn gebruikers gegevens. T.o.v. statisch gebruikersnaam/wachtwoord is het dus wel een stuk veiliger.