Managed hosting door True
Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

RSA inbraak: (n)iets aan de hand?

 

Computable Expert

Maarten Hartsuijker
Security Consultant, Classity. Expert van Computable voor het topic Security.

RSA, de 'security division van EMC', is getroffen door inbraak die ertoe heeft geleid dat er informatie is onttrokken uit de systemen voor 'two-factor'-authenticatie. RSA meldt er zeker van te zijn dat de informatie niet kan leiden tot een succesvolle directe aanval op de gebruikers. Helaas voor de klanten die zich door dit bericht gerust gesteld voelden is de werkelijkheid anders.

Een sterke authenticatievoorziening eist dat de gebruiker iets weet (zijn gebruikersnaam en wachtwoord) en iets bezit (een token) of ís (biometrie). Bedrijven die zich beseffen dat gebruikersnamen en wachtwoorden makkelijk zijn te ontfutselen of via malware gestolen kunnen worden voorzien hun gebruikers van een inlogtoken. RSA secure ID is een voorbeeld van een dergelijk token. Een RSA-token werkt op basis van seeds (unieke sleutels). Bij elk token dat je bij RSA aanschaft krijg je een seed die je naar de authenticatieserver moet kopiëren. Op deze manier kan de authenticatieserver dezelfde eenmalige wachtwoorden genereren als het token, waardoor kan worden vastgesteld of de gebruiker het juiste eenmalige wachtwoord intikt (en dus het token bezit).

Om in te loggen op een via RSA-tokens beschermd bedrijfsnetwerk heb je dus een aantal zaken nodig.
1. De gebruikersnaam (kennis)
2. Een pincode en/of wachtwoord (kennis)
3. Het eenmalige tokenwachtwoord, afgeleid van de seed (bezit)

Indien de inbraak bij RSA ertoe heeft geleid dat derden in het bezit zijn gekomen van de aan klanten verstrekte seeds, wordt de waarde van het component 'bezit' in het inlogproces serieus gereduceerd. Een aanvaller kan op zo'n moment immers de eenmalige wachtwoorden van RSA-klanten genereren en hoeft deze enkel nog aan een gestolen gebruikersnaam en wachtwoord te koppelen. Zodra een aanvaller onder de veelal vele werknemers van een bedrijf een werkende combinatie heeft gevonden kan hij ongestoord inloggen op het bedrijfsnetwerk.

Een van de voordelen van een token boven een wachtwoord is dat verlies of diefstal van een token wordt opgemerkt. Indien een gebruiker slordig met zijn token is omgegaan kan hij niet meer inloggen en dient het token vervangen te worden. Een gestolen wachtwoord is veelal nog maanden (of langer) bruikbaar. Een gestolen token-seed biedt een aanvaller nog jaren de mogelijkheid om onopgemerkt eenmalige wachtwoorden te genereren. Het feit dat de gebruiker zijn fysieke token niet kwijt is biedt hem het valse gevoel van veiligheid dat hij de enige is die de eenmalige tokencodes weet.

Bijzondere reactie

Omdat de kwetsbaarheid van inloggen op basis van enkel een wachtwoord een van de belangrijkste (verkoop)argumenten voor het aanschaffen van tokens is, is de opstelling van RSA op zijn minst opmerkelijk te noemen. Door niet te ontkrachten dat gevoelige seed's zijn gestolen maar wel op voorhand te stellen dat klanten geen risico op een succesvolle 'directe' aanval lopen, neemt RSA eigenlijk de meerwaarde van het eigen product niet serieus. Men geeft klanten in hun schrijven goede tips voor de beveiliging van de infrastructuur, maar gaat te makkelijk voorbij aan het feit dat klanten zich beseffen dat ze op deze punten zo nu en dan faalbaar zijn. En juist daarom aanvullende producten zoals RSA SecureID tokens afnemen.

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/3851752). © Jaarbeurs IT Media.

?


Lees ook


 

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.