Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 24 reacties
Bron: ZDNet, submitter: Mark Timmer

ZDNet schrijft dat Microsoft en RSA Security een alliantie hebben aangekondigd, die onder andere leidt tot het gebruik van RSA's 'SecurID two-factor authentication-software' in een aantal van Microsofts programma's. Onder andere Internet Security en Acceleration Server 2000 worden in dit verband genoemd. Via SecurID is het alleen voor geautoriseerde personen mogelijk om toegang te krijgen tot een netwerk of systeem, via het aanmelden met zowel een digitaal certificaat als een wachtwoord. Ook voor Microsofts besturingssysteem Pocket PC 2002 heeft RSA beveiligingssoftware gemaakt, zodat het apparaat de identiteit van personen kan verifiŽren:

RSA SecurityIn addition, RSA has developed SecurID software for Microsoft's Pocket PC 2002 operating system for handheld computers. This means that Pocket PC-based devices themselves can authenticate a person's identity, eliminating the need for a person to use separate hardware, such as a PC or a smart card, to gain access to a network. The SecurID software for Pocket PC is available as a free download from RSA.

Also on Tuesday, RSA announced a deal with iRevolution to create two-factor authentication so that people with mobile devices can add another layer of security when they sign into a site that uses Microsoft's Passport authentication software. The new software will essentially let people with cell phones or other mobile devices double up on security by adding RSA's Mobile authentication software on top of Passport. The Mobile software generates one-time access codes when people log in and delivers them immediately to mobile phones, pagers, PDAs or e-mail accounts. People then enter their Passport login name and password followed by the one-time access code. iRevolution, a software services company, will act as third-party host of the combined applications and will manage additional credentials.
Moderatie-faq Wijzig weergave

Reacties (24)

komen we er met1 achter of RSA wel zo secure is.

RSA wordt nog niet zo op gehackt als op MS. Dus als je wilt dat menschen echt zwaar aan de slag gaan moet je met MS een alliantie aangaan. Er zijn vast genoeg hackers die dan opeens het recht/plicht menen te hebben om op zoek te gaan naar security breaches.

Ik vind het overigens van beide partijen een perfecte zet. MS goed om op die manier de security eens grondig aan te pakken. Van RSA om eindelijk eens was meer te gaan verdienen.
RSA is een hele zware beveiliging en wordt ook nog eens best vaak (geprobeerd) te hacken.

Het voordeel met een secure-id is dat die gekoppeld is aan je naam, iedere chip is uniek en er bestaat geen 2e van. Als iemand hiermee wil hacken op jouw account moet hij eerst weten wat je username en pin is en dan je secure-id jatten om er in te kunnen. Het grootste probleem zal zijn om er achter te komen hoe je de 3 moet combineren om te beginnen :P
Er zijn vast genoeg hackers die dan opeens het recht/plicht menen te hebben om op zoek te gaan naar security breaches.
Als er security problemen waren bij het RSA inloggen is het waarschijnlijk niet van RSA zelf. Die software is zo goed afgewerkt dat ik me niet kan voorstellen dat daar een fout in zit. De enige fout die ik me echt kan bedenken is human-error waardoor niet zozeer het systeem problemen gaat geven maar meer de mensend die er mee werken...
RSA is inderdaad een heavy beveiliging, zeker gezien de performance. Helaas is de afgelopen jaren al regelmatig gehackt (zelfs met sleutels van 256 bits!), dus wat dat betreft past het prima bij Microsoft: not secure ;-)
Verscheidene standaards geven inmiddels aan, dat voor coroprate gebruik een minimum sleutelgrootte van 1024 bits noodzakelijk is en voor zeer waardevolle sleutels zelfs een grootte van 2048 bits. Dit is dus ook wat RSA Laboratories adviseert.
Het 512-bits getal is al in 1999, in 7 maanden ontbonden in factoren. Dit betekent, dat deze grootte allen nog gebruikt kan worden als vb. sessiesleutel, die na het afsluiten van de sessie wordt weggemikt.

offtopic:
Overigens heeft PGP geen enkele trusted waarde, omdat er geen trusted third party is, die de identiteiten bewaakt.
Gehacked?
Brute force lijkt me waarschijnlijker (RC5). Het algoritme is namelijk nog niet gekraakt. PGP gebruikt trouwens al standaard 1024 (of zelfs 2048) bits sleutels als ik mij niet vergis.
Het voordeel met een secure-id is dat die gekoppeld is aan je naam, iedere chip is uniek en er bestaat geen 2e van.
Dat is slechts ten dele waar. SecurID hoeft niet per sť uit een token met een chip te bestaan, het kan ook een number-generator zijn o.b.v. een 64-bits symm. sleutel, waarbij je een pin hebt + een nummer dat op dat moment in beeld staat (iets van 60 sec en dan weer een nieuwe). Het hangt er vanaf waarvoor je de beveiliging nodig hebt en hoe sterk je authenticatie moet zijn.

Als die 'chip' aan mijn naam zit, heb ik geen userID meer nodig, alleen de PIN. Dit is met een bankpas bvb met regelmaat gemeengoed binnen een gezin. Het enige is dan dat je als extra beveiliging bezit aan kennis hebt toegevoegd.

Verder kan ik me niet veel onderzoekjes herinneren over het testen van de athenticatie servers van RSA. Deze staan meestal binnen het netwerk van een bedrijf, of soms in een DMZ en zijn niet de machines/software die gehacked moeten worden voor toegang. Je pakt altijd de zwakste schakel (tot ziens! :P).
Erm... een algoritme hacken. Nee.

Bij de implementatie zouden wel eens fouten op kunnen treden, die je zou kunnen exploiteren.

Er zijn al zat wiskundigen bezig met het kraken van het RSA-algoritme, maar dat schiet echt niet op.
Wachten is op een algortime dat makkelijk kan factoriseren (of zoiets) geloof ik.
Inderdaad wel goed van MS. Hopelijk komt er dan wat meer veiligheid binnen hun software.

Hopen dat ze wel eerst voordat ze het op de markt brengen alle breaches eruit halen. Gewoon een breachrace uitschrijven en hopen dat zo alle veiligheidslekken eruit komen.
De meeste problemen met security zitten 'm niet zozeer in het authenticatie mechanisme.

Problemen zitten hem meer in het feit dat er langs de authenticatie heen gewerkt wordt, bv door via een stack overflow gebruik te maken van de rechten van een geauthoriseerd component.

Deze stap heeft dus eigenlijk meer een marketing doel dan een beveiligings doel.
iRevolution, a software services company, will act as third-party host of the combined applications and will manage additional credentials.

Liggen dus je gegevens bij minstens 3 verschillende bedrijven. Weet niet of ik dat wel zo veilig vind
iRevolution, a software services company, will act as third-party host of the combined applications and will manage additional credentials.

Liggen dus je gegevens bij minstens 3 verschillende bedrijven. Weet niet of ik dat wel zo veilig vind
Als je hiermee bedoelt dat ze jou keys en passwords opslaan klopt het niet, zo werkt RSA helemaal niet, alleen jijzelf hebt je eigen key, zij hebben slechts jou public key waar men niets aan heeft om data te decoderen, met die keys kun je alleen data encoderen.
Het woord public impliceerd al dat iedereen die mag hebben.
Er staat eigenlijk min of meer dat iRevolution de combinatie MS/RSA gaat beheren en er nog extra dingen bij zullen doen. Je gegevens zullen daar inderdaad niet bekend zijn ;)
In nederland liggen die voor elke persoon bij gemiddeld 30 instanties, en dat zijn alleen nog maar zaken waar je niet eens toestemming aan gegeven hebt.(belastingdienst,justitie,gemeentelijke instanties,etc)

Als ik me dan toch druk zou maken zou ik eerst daar eens gaan kijken hoe veilig dat is.

Daarnaast moet je aan microsoft en consorten nog altijd zelf je gegevens geven.

Ik snap ook niet waar mensen zich druk om maken, je kan moeilijk diensten afhandelen als men niet weet wie je echt bent.

Daarnaast vind ik het fijner als alles op 1 plek ligt dan op 400 verschillende sites die qua security veel minder proffesioneel zijn.
Even voor de duidelijkheid:

SecurID is een "one time password" generator. Je logt in met je login en een combi van pin + "one time password"
Dit wordt twee factor genoemd omdat je buiten een wachtwoord (pin) ook een token nodig hebt (one time password generator).

Dit heeft niets te maken met PKI ( zeg maar de public private key infrastruktuur) Termen als 1024 bits ed zijn dan hier ook niet echt op hun plaats, die horen bij "asynchrone encryptie". (tenzij je wilt vergelijken of authenticeren middels SecurID versus Certificaten (x509v3) veiliger is).

Verdere informatie:

Het algoritme dat RSA gebruikt voor de berekening van het one time password is vrijgegeven. Hun patent is na 10 jaar verlopen en iedereen die een t shirt met daarop het algoritme wil hebben kan er eentje aanvragen bij RSA.
De truuk zit hem in de input voor het algoritme de zogenaamde 'seed' en 64 bits getalletje dat in combinatie met tijd elke minuut een ander wachtwoord tevoorschijn tovert.

Het kunnen geheimhouden van die seed en je pincode zijn dus van belang in dit geval :-)


Nou ik benieuwd hoelang dit bericht bericht te zien is op mijn "huidige nivo"
Je vergeet even dat SecurID ook smart cards kan behelsen. Daarop staat een certificaat en dat heeft alles met PKI en dus sleutelgrootte te maken.

Je info over het SecurID token (het andere deel...) met een uniek 64-bit symmetrische sleutel was al gepost.
Ik vergeet niet dat securid ook op een smartcard kan staan, echter staat dan de 64bits seed op die smartcard, dat je daarop ook een certificaat kan zetten heeft nog steeds niets met securid te maken.

(Dat heeft in het geval van RSA namelijk met Keon te maken, een PKI product)

...sorry
Deze ver(der)gaande samenwerking was natuurlijk niet totaal onverwachts. Microsoft maakt ook al gebruik van de diensten van RSA in haar Messenger-serie.
Via SecurID is het alleen voor geautoriseerde personen mogelijk om toegang te krijgen tot een netwerk of systeem, via het aanmelden met zowel een digitaal certificaat als een wachtwoord.

:? Dit mag confusing genoemd worden ... was een dergelijk principe niet een van de belangrijkste onderdelen van het MyServices Project (voormalig genaamd 'Hailstorm').
Via SecurID is het alleen voor geautoriseerde personen mogelijk om toegang te krijgen tot een netwerk of systeem, via het aanmelden met zowel een digitaal certificaat als een wachtwoord. Ook voor Microsofts besturingssysteem Pocket PC 2002 heeft RSA beveiligingssoftware gemaakt, zodat het apparaat de identiteit van personen kan verifiŽren:
Ik snap de redenen er wel achter maar de doorsnee consument heeft geen zin om maar constant bezig te zijn met het regelen en onderhouden van ID's en certificaten. Het is een stuk software en geen mijoenen transactie.

Als de ontwikkeling betreffende ID's en certificaten door blijft zetten zal het product niet alleen maar duurder kosten, maar het zal ook meer tijd kosten voordat je alles omtrent daaraan geregelgd hebt. Kortom de gebruikersgemak en efficieny gaat omlaag.
Leuk om je logins etc zwaar te securen maar dan moeten wel alle overige gaten ook dicht zijn anders heb je hier niet veel aan.
Worden ze bij Microsoft ook eens wakker
Novell werkt al jaren met RSA voor authentication op de NDS en beveiliging van de database in GroupWise.
;)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True