De recente problemen bij Diginotar zijn voor mij gewoon een bevestiging van wat wij al jaren prediken: 'It's the user, stupid'. Authenticatie en security zijn echt niet alleen maar op te lossen met technische bouwstenen – vroeg of laat komen we echt bij 'het probleem tussen het scherm en het keyboard' terecht: de eindgebruiker.
Wat we daarmee bedoelen is dat online veiligheid met alleen technische-hulpmiddelen, of het nu op websites of in transactionele toepassingen binnen/tussen bedrijven is, op geen enkele manier waterdicht te maken is. We mogen nog zoveel miljoenen als we willen besteden aan moderne PKI-oplossingen, digitale handtekeningen, certificate authorities, enzovoort enzoverder, de techniek blijft altijd kwetsbaar. De Diginotar-case maakt dat overduidelijk: op een of andere manier hebben hackers een exploit gevonden die hen heeft toegelaten om een heel erg centralistisch opgezette beveiligingsinfrastructuur van binnenuit te kraken.
Dit staat in schril contrast met de benadering die mijn collega's en ikzelf voorstaan: wij beweren al jaren dat authenticatie geen technisch probleem mag zijn, en dat het een gebruikersprobleem is, en als dusdanig moet worden opgelost. Het is de eindgebruiker en de manier waarop hij/zij omgaat met authenticatieprocessen die moet veranderen: authenticatie moet minder beschouwd worden als een technisch euvel, maar eerder een rol toebedeeld krijgen in de optimalisatie van operationele werkstromen. Authenticatie moet niet moeilijk zijn, maar moet makkelijk worden – op een praktische, en toch veilige manier.
Het beste voorbeeld dat wij hiertoe altijd hebben aangehaald is de UZI-pas in de zorgsector: technisch zogezegd (de Diginotar case maakt dat pijnlijk duidelijk) een veiliger oplossing, maar vanuit praktisch perspectief voor een zorgverlener een draak van een oplossing. Veel te moeilijk in gebruik, en net daarom (zorgverleners vergeten de pasjes, lenen de pasjes uit, schrijven de pin op de kaart, etc) weer onveiliger. Zorginstellingen zijn veel beter af met een, vanuit theoretisch oogpunt veel onveiliger, maar praktisch gezien net veel veiliger, oplossing op basis van proximity cards of vingerafdrukken. Die oplossingen werken, zijn goedkoper, makkelijker inzetbaar, en erg praktisch veilig.
Let op: dit is geen pleidooi voor het gewoon buiten beschouwing laten van de technische beveiliging. Het is een pleidooi voor een redelijke, praktische en pragmatische aanpak van authenticatie-beveiliging die in de eerste plaats aandacht heeft voor de gebruiker . Want hoe je het ook wendt of keert, zonder de gebruiker aan onze kant blijft beveiliging van authenticatie altijd een zeepbel die vroeg of laat wordt doorgeprikt.
Na 3 keer lezen is het me nog steeds volstrekt onduidelijk wat de bedoeling van dit betoog is.
De Diginotar Certificaten hebben niet tot doel de gebruiker te authenticeren, maar om:
– een verleutelde verbinding op de kunnen zetten (SSL).
– te bewijzen dat de gebruiker inderdaad met bijv. Digid communiceert.
Mensen hebben zeker een eigen verantwoordelijkheid. Maar in dit geval toevallig niet. Van een bedrijf dat beveiligingscertificaten verkopen als corebusiness heeft mag verwacht worden dat ze zelf op dat gebied de zaken op orde hebben. Anders verkopen ze daardoor, wat nu ook gebleken is, domweg een product dat niet deugt. Van bedrijven die certificaten kopen verwachten dat ze het leverend bedrijf door moeten lichten moet niet nodig zijn. En eindgebruikers die een site bezoeken moeten er al helemaal op kunnen vertrouwen dat het slotje dat ze zien deugt. Kortom: een “redelijke, praktische en pragmatische aanpak van authenticatie-beveiliging die in de eerste plaats aandacht heeft voor de gebruiker” moet er minimaal voor gaan zorgen dat bedrijven producten leveren die het goed doen.
Dit is vermoedelijk de vaagste column die ik ooit gelezen heb – het wordt totaal niet duidelijk wat het verband is met de diginotar zaak.
Naar mijn idee worden twee dingen door elkaar gehaald.
De gebruiker is verantwoordelijk voor de middelen (wachtwoord, token, smartcard) die hij heeft gekregen voor (online) authenticatie. De meeste problemen met authenticatie spelen op dat vlak: gebruiker vergeet z’n wachtwoord, schrijft ’t ergens op, verliest een smarcard. De schuld hierval ligt volledig bij de gebruiker zelf.
Aan de andere kant hebben we de infrastructuur waar gebruikers op kunnen inloggen en de infrastructuur die nodig is voor de uitreiking van de authenticatiemogelijkheden van de gebruiker (wachtwoord, smartcard, ed). De gebruiker draagt op geen enkele wijze verantwoordelijkheid voor de veiligheid van beide infrastructuren. In het geval van de DigiNotar hack betrof het meerdere fouten in de beveiliging van zo’n infrastructuur. Stellen dat de gebruiker schuldig is aan de inbraak op die infrastuctuur vind ik nogal stomzinnig klinken.
Ik sluit me volledig aan bij het commentaar van Ron. Het betoog van de ‘security expert’ Rik van Bruggen, raakt kant noch wal en bevat feitelijk zelfs nogal wat onjuistheden. De vergelijking tussen UZI pas, proximity cards en authenticatie m.g.v. vingerafdrukken is helemaal uit de lucht gegrepen. Er worden zaken vergeleken die onvergelijkbaar zijn, al was het maar omdat er sprake is van verschillende technieken, beveiligingseisen en -behoeften.Jammer om te constateren dat Computable zich bedient van ‘experts’ die op deze wijze blijk geven er helemaal niets van te begrijpen.
Het is per definitie geen gebruikers probleem maar een technisch probleem. De gebruiker wil gewoon inloggen bij de belastingdienst om aangifte te doen. Hiervoor tikt hij een URL in. Dat de techniek vervolgens faalt en de URL zomaar vertaald kan worden naar het IP adres van een valse website in een heel ander land die vervolgens ook nog met valse certificaten werkt, daar kan de gebruiker helemaal niets aan doen. het certificaat zou geeneens nodig moeten zijn indien DNS veilig was geweest.
De gebruiker die tussen scherm en keybord zit heeft volgens mij grotere problemen dan zijn online veiligheid.
Belangrijkste punt in mijn optiek is het feit dat we vanuit de techniek een oplossing bedenken die gebruikers niet kennen en niet kunnen beoordelen. Fysieke sloten moet je kapot maken als je geen sleutel hebt. Als je een sleutel kwijt bent dan mis je hem. Deze signalen heb je niet als gebruiker bij elektronische sloten.
Zou me niets verbazen als de volgende hack een hack van de browser is waarbij gewoon betrouwbare slotjes, kleurtjes en certificaatinformatie wordt gepresenteerd in de browser van de gebruiker maar we te maken hebben met een man-in-the-middle attack (snappen gewone gebruikers dit nog?).
Het spijt me echt, maar ik heb het artikel een paar keer doorgelezen, maar ik begrijp echt niet wat de strekking hier is. De gebruiker schuldig aan de problemen? Of toch niet?
Maar uiteindelijk denk ik te begrijpen wat er hier wordt gepoogd. In de laatste alinea staat “Het is een pleidooi voor een redelijke, praktische en pragmatische aanpak van authenticatie-beveiliging die in de eerste plaats aandacht heeft voor de gebruiker.” Na een bezoek te hebben gebracht aan de website van het bedrijf van deze “EMEA VP” is het duidelijk: dit is een aanbeveling van zijn/haar diensten! Maar om dat niet te veel te laten opvallen, is het nodige ge(ver?)sleuteld aan het artikel!
Volgende keer misschien iets beter opletten, geachte redactie :-)?
Encryptie en authenticatie door elkaar halen gebeurt wel eens door schoolverlaters die hun eerste MS-certificaat aan het halen zijn. Ik heb helemaal dubbel gelegen van dit artikel. Het zegt ook iets over het IT-niveau in Nederland momenteel. De “gebruikers” hebben hier geen enkele schuld aan.