Samenwerking Microsoft en RSA Security

ZDNet schrijft dat Microsoft en RSA Security een alliantie hebben aangekondigd, die onder andere leidt tot het gebruik van RSA's 'SecurID two-factor authentication-software' in een aantal van Microsofts programma's. Onder andere Internet Security en Acceleration Server 2000 worden in dit verband genoemd. Via SecurID is het alleen voor geautoriseerde personen mogelijk om toegang te krijgen tot een netwerk of systeem, via het aanmelden met zowel een digitaal certificaat als een wachtwoord. Ook voor Microsofts besturingssysteem Pocket PC 2002 heeft RSA beveiligingssoftware gemaakt, zodat het apparaat de identiteit van personen kan verifiëren:

RSA SecurityIn addition, RSA has developed SecurID software for Microsoft's Pocket PC 2002 operating system for handheld computers. This means that Pocket PC-based devices themselves can authenticate a person's identity, eliminating the need for a person to use separate hardware, such as a PC or a smart card, to gain access to a network. The SecurID software for Pocket PC is available as a free download from RSA.

Also on Tuesday, RSA announced a deal with iRevolution to create two-factor authentication so that people with mobile devices can add another layer of security when they sign into a site that uses Microsoft's Passport authentication software. The new software will essentially let people with cell phones or other mobile devices double up on security by adding RSA's Mobile authentication software on top of Passport. The Mobile software generates one-time access codes when people log in and delivers them immediately to mobile phones, pagers, PDAs or e-mail accounts. People then enter their Passport login name and password followed by the one-time access code. iRevolution, a software services company, will act as third-party host of the combined applications and will manage additional credentials.

Door Mark Timmer

Feedback • 10-10-2002 10:24 24

10-10-2002 • 10:24

24

Bron: ZDNet

Lees meer

RSA neemt meer beveiligingsmaatregelen na SecurID-hack
RSA neemt meer beveiligingsmaatregelen na SecurID-hack Nieuws van 7 juni 2011
Microsoft past Passport-dienst aan voor web services
Microsoft past Passport-dienst aan voor web services Nieuws van 3 mei 2003
Trustworthy Computing: de score na 1 jaar
Trustworthy Computing: de score na 1 jaar Nieuws van 17 januari 2003
Kopieerbeveiliging cd's zinloos
Kopieerbeveiliging cd's zinloos Nieuws van 7 november 2002
Microsoft BroadBand Networking producten bekeken
Microsoft BroadBand Networking producten bekeken Nieuws van 27 oktober 2002
Microsoft meest waardevolle bedrijf ter wereld
Microsoft meest waardevolle bedrijf ter wereld Nieuws van 16 oktober 2002
Interview met Microsofts CEO Steve Ballmer
Interview met Microsofts CEO Steve Ballmer Nieuws van 12 oktober 2002
Passport sourcecode vanaf november deels open
Passport sourcecode vanaf november deels open Nieuws van 12 oktober 2002
SEC stelt onderzoek in naar boekhouding RSA
SEC stelt onderzoek in naar boekhouding RSA Nieuws van 29 januari 2002
RSA ontwikkelt beveiliging tegen 'drive-by hacking'
RSA ontwikkelt beveiliging tegen 'drive-by hacking' Nieuws van 18 december 2001
RSA ontwikkelt oplossing voor DDoS attacks
RSA ontwikkelt oplossing voor DDoS attacks Nieuws van 14 februari 2000
Meer producten en artikelen
Software

Reacties (24)

-Moderatie-faq
24
21
18
3
1
0
Wijzig sortering
boner 10 oktober 2002 10:30
komen we er met1 achter of RSA wel zo secure is.

RSA wordt nog niet zo op gehackt als op MS. Dus als je wilt dat menschen echt zwaar aan de slag gaan moet je met MS een alliantie aangaan. Er zijn vast genoeg hackers die dan opeens het recht/plicht menen te hebben om op zoek te gaan naar security breaches.

Ik vind het overigens van beide partijen een perfecte zet. MS goed om op die manier de security eens grondig aan te pakken. Van RSA om eindelijk eens was meer te gaan verdienen.
Felicia @boner10 oktober 2002 11:29
RSA is een hele zware beveiliging en wordt ook nog eens best vaak (geprobeerd) te hacken.

Het voordeel met een secure-id is dat die gekoppeld is aan je naam, iedere chip is uniek en er bestaat geen 2e van. Als iemand hiermee wil hacken op jouw account moet hij eerst weten wat je username en pin is en dan je secure-id jatten om er in te kunnen. Het grootste probleem zal zijn om er achter te komen hoe je de 3 moet combineren om te beginnen :P
Er zijn vast genoeg hackers die dan opeens het recht/plicht menen te hebben om op zoek te gaan naar security breaches.
Als er security problemen waren bij het RSA inloggen is het waarschijnlijk niet van RSA zelf. Die software is zo goed afgewerkt dat ik me niet kan voorstellen dat daar een fout in zit. De enige fout die ik me echt kan bedenken is human-error waardoor niet zozeer het systeem problemen gaat geven maar meer de mensend die er mee werken...
PageFault @Felicia10 oktober 2002 11:57
RSA is inderdaad een heavy beveiliging, zeker gezien de performance. Helaas is de afgelopen jaren al regelmatig gehackt (zelfs met sleutels van 256 bits!), dus wat dat betreft past het prima bij Microsoft: not secure ;-)
Stemband @PageFault10 oktober 2002 12:37
Verscheidene standaards geven inmiddels aan, dat voor coroprate gebruik een minimum sleutelgrootte van 1024 bits noodzakelijk is en voor zeer waardevolle sleutels zelfs een grootte van 2048 bits. Dit is dus ook wat RSA Laboratories adviseert.
Het 512-bits getal is al in 1999, in 7 maanden ontbonden in factoren. Dit betekent, dat deze grootte allen nog gebruikt kan worden als vb. sessiesleutel, die na het afsluiten van de sessie wordt weggemikt.

offtopic:
Overigens heeft PGP geen enkele trusted waarde, omdat er geen trusted third party is, die de identiteiten bewaakt.
Verwijderd @PageFault10 oktober 2002 12:26
Gehacked?
Brute force lijkt me waarschijnlijker (RC5). Het algoritme is namelijk nog niet gekraakt. PGP gebruikt trouwens al standaard 1024 (of zelfs 2048) bits sleutels als ik mij niet vergis.
Stemband @Felicia10 oktober 2002 11:57
Het voordeel met een secure-id is dat die gekoppeld is aan je naam, iedere chip is uniek en er bestaat geen 2e van.
Dat is slechts ten dele waar. SecurID hoeft niet per sé uit een token met een chip te bestaan, het kan ook een number-generator zijn o.b.v. een 64-bits symm. sleutel, waarbij je een pin hebt + een nummer dat op dat moment in beeld staat (iets van 60 sec en dan weer een nieuwe). Het hangt er vanaf waarvoor je de beveiliging nodig hebt en hoe sterk je authenticatie moet zijn.

Als die 'chip' aan mijn naam zit, heb ik geen userID meer nodig, alleen de PIN. Dit is met een bankpas bvb met regelmaat gemeengoed binnen een gezin. Het enige is dan dat je als extra beveiliging bezit aan kennis hebt toegevoegd.

Verder kan ik me niet veel onderzoekjes herinneren over het testen van de athenticatie servers van RSA. Deze staan meestal binnen het netwerk van een bedrijf, of soms in een DMZ en zijn niet de machines/software die gehacked moeten worden voor toegang. Je pakt altijd de zwakste schakel (tot ziens! :P).
Verwijderd @boner10 oktober 2002 12:30
Erm... een algoritme hacken. Nee.

Bij de implementatie zouden wel eens fouten op kunnen treden, die je zou kunnen exploiteren.

Er zijn al zat wiskundigen bezig met het kraken van het RSA-algoritme, maar dat schiet echt niet op.
Wachten is op een algortime dat makkelijk kan factoriseren (of zoiets) geloof ik.
Verwijderd @boner10 oktober 2002 23:24
Inderdaad wel goed van MS. Hopelijk komt er dan wat meer veiligheid binnen hun software.

Hopen dat ze wel eerst voordat ze het op de markt brengen alle breaches eruit halen. Gewoon een breachrace uitschrijven en hopen dat zo alle veiligheidslekken eruit komen.
bassekeNL 10 oktober 2002 11:50
De meeste problemen met security zitten 'm niet zozeer in het authenticatie mechanisme.

Problemen zitten hem meer in het feit dat er langs de authenticatie heen gewerkt wordt, bv door via een stack overflow gebruik te maken van de rechten van een geauthoriseerd component.

Deze stap heeft dus eigenlijk meer een marketing doel dan een beveiligings doel.
Verwijderd 10 oktober 2002 10:32
iRevolution, a software services company, will act as third-party host of the combined applications and will manage additional credentials.

Liggen dus je gegevens bij minstens 3 verschillende bedrijven. Weet niet of ik dat wel zo veilig vind
Jefrey Lijffijt @Verwijderd10 oktober 2002 11:13
iRevolution, a software services company, will act as third-party host of the combined applications and will manage additional credentials.

Liggen dus je gegevens bij minstens 3 verschillende bedrijven. Weet niet of ik dat wel zo veilig vind
Als je hiermee bedoelt dat ze jou keys en passwords opslaan klopt het niet, zo werkt RSA helemaal niet, alleen jijzelf hebt je eigen key, zij hebben slechts jou public key waar men niets aan heeft om data te decoderen, met die keys kun je alleen data encoderen.
Het woord public impliceerd al dat iedereen die mag hebben.
Verwijderd @Jefrey Lijffijt10 oktober 2002 11:34
Er staat eigenlijk min of meer dat iRevolution de combinatie MS/RSA gaat beheren en er nog extra dingen bij zullen doen. Je gegevens zullen daar inderdaad niet bekend zijn ;)
raptorix @Verwijderd10 oktober 2002 10:47
In nederland liggen die voor elke persoon bij gemiddeld 30 instanties, en dat zijn alleen nog maar zaken waar je niet eens toestemming aan gegeven hebt.(belastingdienst,justitie,gemeentelijke instanties,etc)

Als ik me dan toch druk zou maken zou ik eerst daar eens gaan kijken hoe veilig dat is.

Daarnaast moet je aan microsoft en consorten nog altijd zelf je gegevens geven.

Ik snap ook niet waar mensen zich druk om maken, je kan moeilijk diensten afhandelen als men niet weet wie je echt bent.

Daarnaast vind ik het fijner als alles op 1 plek ligt dan op 400 verschillende sites die qua security veel minder proffesioneel zijn.
mindwise 10 oktober 2002 15:38
Even voor de duidelijkheid:

SecurID is een "one time password" generator. Je logt in met je login en een combi van pin + "one time password"
Dit wordt twee factor genoemd omdat je buiten een wachtwoord (pin) ook een token nodig hebt (one time password generator).

Dit heeft niets te maken met PKI ( zeg maar de public private key infrastruktuur) Termen als 1024 bits ed zijn dan hier ook niet echt op hun plaats, die horen bij "asynchrone encryptie". (tenzij je wilt vergelijken of authenticeren middels SecurID versus Certificaten (x509v3) veiliger is).

Verdere informatie:

Het algoritme dat RSA gebruikt voor de berekening van het one time password is vrijgegeven. Hun patent is na 10 jaar verlopen en iedereen die een t shirt met daarop het algoritme wil hebben kan er eentje aanvragen bij RSA.
De truuk zit hem in de input voor het algoritme de zogenaamde 'seed' en 64 bits getalletje dat in combinatie met tijd elke minuut een ander wachtwoord tevoorschijn tovert.

Het kunnen geheimhouden van die seed en je pincode zijn dus van belang in dit geval :-)


Nou ik benieuwd hoelang dit bericht bericht te zien is op mijn "huidige nivo"
Stemband @mindwise10 oktober 2002 15:57
Je vergeet even dat SecurID ook smart cards kan behelsen. Daarop staat een certificaat en dat heeft alles met PKI en dus sleutelgrootte te maken.

Je info over het SecurID token (het andere deel...) met een uniek 64-bit symmetrische sleutel was al gepost.
mindwise @Stemband10 oktober 2002 16:03
Ik vergeet niet dat securid ook op een smartcard kan staan, echter staat dan de 64bits seed op die smartcard, dat je daarop ook een certificaat kan zetten heeft nog steeds niets met securid te maken.

(Dat heeft in het geval van RSA namelijk met Keon te maken, een PKI product)

...sorry
bobsnl 10 oktober 2002 10:45
Deze ver(der)gaande samenwerking was natuurlijk niet totaal onverwachts. Microsoft maakt ook al gebruik van de diensten van RSA in haar Messenger-serie.
cablepokerface 10 oktober 2002 15:35
Via SecurID is het alleen voor geautoriseerde personen mogelijk om toegang te krijgen tot een netwerk of systeem, via het aanmelden met zowel een digitaal certificaat als een wachtwoord.

:? Dit mag confusing genoemd worden ... was een dergelijk principe niet een van de belangrijkste onderdelen van het MyServices Project (voormalig genaamd 'Hailstorm').
Verwijderd 10 oktober 2002 20:46
Via SecurID is het alleen voor geautoriseerde personen mogelijk om toegang te krijgen tot een netwerk of systeem, via het aanmelden met zowel een digitaal certificaat als een wachtwoord. Ook voor Microsofts besturingssysteem Pocket PC 2002 heeft RSA beveiligingssoftware gemaakt, zodat het apparaat de identiteit van personen kan verifiëren:
Ik snap de redenen er wel achter maar de doorsnee consument heeft geen zin om maar constant bezig te zijn met het regelen en onderhouden van ID's en certificaten. Het is een stuk software en geen mijoenen transactie.

Als de ontwikkeling betreffende ID's en certificaten door blijft zetten zal het product niet alleen maar duurder kosten, maar het zal ook meer tijd kosten voordat je alles omtrent daaraan geregelgd hebt. Kortom de gebruikersgemak en efficieny gaat omlaag.
Verwijderd 10 oktober 2002 10:30
Leuk om je logins etc zwaar te securen maar dan moeten wel alle overige gaten ook dicht zijn anders heb je hier niet veel aan.
Verwijderd 10 oktober 2002 21:40
Worden ze bij Microsoft ook eens wakker
Novell werkt al jaren met RSA voor authentication op de NDS en beveiliging van de database in GroupWise.
;)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq