RSA, de 'security division van EMC', is getroffen door inbraak die ertoe heeft geleid dat er informatie is onttrokken uit de systemen voor 'two-factor'-authenticatie. RSA meldt er zeker van te zijn dat de informatie niet kan leiden tot een succesvolle directe aanval op de gebruikers. Helaas voor de klanten die zich door dit bericht gerust gesteld voelden is de werkelijkheid anders.
Een sterke authenticatievoorziening eist dat de gebruiker iets weet (zijn gebruikersnaam en wachtwoord) en iets bezit (een token) of ís (biometrie). Bedrijven die zich beseffen dat gebruikersnamen en wachtwoorden makkelijk zijn te ontfutselen of via malware gestolen kunnen worden voorzien hun gebruikers van een inlogtoken. RSA secure ID is een voorbeeld van een dergelijk token. Een RSA-token werkt op basis van seeds (unieke sleutels). Bij elk token dat je bij RSA aanschaft krijg je een seed die je naar de authenticatieserver moet kopiëren. Op deze manier kan de authenticatieserver dezelfde eenmalige wachtwoorden genereren als het token, waardoor kan worden vastgesteld of de gebruiker het juiste eenmalige wachtwoord intikt (en dus het token bezit).
Om in te loggen op een via RSA-tokens beschermd bedrijfsnetwerk heb je dus een aantal zaken nodig.
1. De gebruikersnaam (kennis)
2. Een pincode en/of wachtwoord (kennis)
3. Het eenmalige tokenwachtwoord, afgeleid van de seed (bezit)
Indien de inbraak bij RSA ertoe heeft geleid dat derden in het bezit zijn gekomen van de aan klanten verstrekte seeds, wordt de waarde van het component 'bezit' in het inlogproces serieus gereduceerd. Een aanvaller kan op zo'n moment immers de eenmalige wachtwoorden van RSA-klanten genereren en hoeft deze enkel nog aan een gestolen gebruikersnaam en wachtwoord te koppelen. Zodra een aanvaller onder de veelal vele werknemers van een bedrijf een werkende combinatie heeft gevonden kan hij ongestoord inloggen op het bedrijfsnetwerk.
Een van de voordelen van een token boven een wachtwoord is dat verlies of diefstal van een token wordt opgemerkt. Indien een gebruiker slordig met zijn token is omgegaan kan hij niet meer inloggen en dient het token vervangen te worden. Een gestolen wachtwoord is veelal nog maanden (of langer) bruikbaar. Een gestolen token-seed biedt een aanvaller nog jaren de mogelijkheid om onopgemerkt eenmalige wachtwoorden te genereren. Het feit dat de gebruiker zijn fysieke token niet kwijt is biedt hem het valse gevoel van veiligheid dat hij de enige is die de eenmalige tokencodes weet.
Bijzondere reactie
Omdat de kwetsbaarheid van inloggen op basis van enkel een wachtwoord een van de belangrijkste (verkoop)argumenten voor het aanschaffen van tokens is, is de opstelling van RSA op zijn minst opmerkelijk te noemen. Door niet te ontkrachten dat gevoelige seed's zijn gestolen maar wel op voorhand te stellen dat klanten geen risico op een succesvolle 'directe' aanval lopen, neemt RSA eigenlijk de meerwaarde van het eigen product niet serieus. Men geeft klanten in hun schrijven goede tips voor de beveiliging van de infrastructuur, maar gaat te makkelijk voorbij aan het feit dat klanten zich beseffen dat ze op deze punten zo nu en dan faalbaar zijn. En juist daarom aanvullende producten zoals RSA SecureID tokens afnemen.