Neowin meldt dat Microsoft en RSA samen tests aan het uitvoeren zijn om traditionele paswoorden te gaan vervangen door wachtwoorden berekend uit een SecurID-sleutel. SecurID is een veiligheidssysteem dat reeds gebruikt wordt in grote bedrijven en is opgebouwd rond twee sleutels. Bij het principe dat momenteel wordt uitgetest, wordt om de zes minuten een nieuwe code van zes karakters gecreëerd die samen met een gemakkelijke PIN-code ingevuld moet worden om toegang tot het systeem te krijgen. De betatest zal ongeveer een maand duren en kort na het einde zal volgens de RSA een commerciële versie beschikbaar worden. Het voordeel voor bedrijven is vooral dat het makkelijker en goedkoper wordt om ervoor te zorgen dat gebruikers geen slechte paswoorden gebruiken of hun wachtwoord vergeten. Volgens analist George Anderson is het reeds geruime tijd merkbaar dat de traditionele veiligheid op basis van een wachtwoord niet volstaat. De integratie van het SecurID-systeem in Windows zou dan ook een ideale oplossing kunnen vormen.
Microsoft en RSA testen SecurID voor veiligere passwords
Lees meer
:strip_exif()/i/1297860238.gif?f=fpa)
RSA neemt meer beveiligingsmaatregelen na SecurID-hack
Nieuws van 7 juni 2011
RSA-hackers verkregen toegang via phishing-mails
Nieuws van 3 april 2011
USB-stick met vingerafdrukherkenning getest
Nieuws van 11 april 2004
Kritiek op passwordprotectie Microsoft Office-documenten
Nieuws van 8 januari 2004
Over wachtwoorden en achterblijvers
Nieuws van 29 december 2003
Reacties (18)
ik vind t een goede ontwikkeling om veiligere passwords te gaan gebruiken, alleen vind ik t een beetje jammer dat MS zich hier mee aan het bemoeien is. MS kennende zal t dan wel weer een closed standaard worden, die alleen onder hun eigen windows werkt. Ik zou t zelf een beter idee vinden als RSA zich niet bezighoudt met monopoliserende bedrijven als MS en gewoon een standaard ontwikkeld onafhankelijk van een platform.
MS fanboys zullen deze reactie wel weer omlaag modereren als flamebait of troll, maar die zien meestal ook niet in dat de maatschappij er niet beter van wordt als iedereen afhankelijk is van 1 commercieel bedrijf die t liefst zo veel mogelijk geld wil hebben.
MS fanboys zullen deze reactie wel weer omlaag modereren als flamebait of troll, maar die zien meestal ook niet in dat de maatschappij er niet beter van wordt als iedereen afhankelijk is van 1 commercieel bedrijf die t liefst zo veel mogelijk geld wil hebben.
Het is maar hoe je het bekijkt. In feite worden slechts passwords met een rechtstreekse vertaling vervangen door slechte passwords die eerst door een apparaat vertaald moet worden. Het zwakke punt is, zoals al eerder is opgemerkt, dat je dat apparaat bij je moet hebben. Als je vergeetachtig bent zal dat apparaat dus voorin de bureaula liggen.
Kortom, een revolutie
.
Voor het 2e probleem (openheid) is bijna de legale weg gereed. Tenminste, het lijkt me geen toeval dat dit gebeurt net nadat softwarepatenten bijna goedgekeurd zijn in Europa. Het zou me verder niets verbazen dat de pc ook nog aangepast moet worden voor het systeem volledig kan werken (EFI, TCPA, etc).
Het zal dus wel niet toegestaan worden een dergelijk systeem buiten Windows om te gebruiken...
En eigenlijk is de vraag of je daar rouwig om moet zijn. Op het moment dat veiligheid altijd vanzelf gaat moet je volgens mij afvragen hoeveel security je in de praktijk nog overhoudt.
Kortom, een revolutie
.Voor het 2e probleem (openheid) is bijna de legale weg gereed. Tenminste, het lijkt me geen toeval dat dit gebeurt net nadat softwarepatenten bijna goedgekeurd zijn in Europa. Het zou me verder niets verbazen dat de pc ook nog aangepast moet worden voor het systeem volledig kan werken (EFI, TCPA, etc).
Het zal dus wel niet toegestaan worden een dergelijk systeem buiten Windows om te gebruiken...
En eigenlijk is de vraag of je daar rouwig om moet zijn. Op het moment dat veiligheid altijd vanzelf gaat moet je volgens mij afvragen hoeveel security je in de praktijk nog overhoudt.
Ik denk dat dit een hele goede ontwikkeling is, ik heb reeds ervaring met deze secureID's en heb mij al meerdere malen afgevraagd of het niet enorm handdig zou zijn om deze als wachtwoord te gebruiken voor gebruikers binnen een bedrijfsomgeving.
Alle gebruikers die zwakke wachtwoorden gebruiken zoals hun voornaam en de naam van hun partner al dan niet met een nummertje ertussen hebben dan een simpele manier om hun wachtwoord te gebruiken.
Ik hoop alleen dat ik dan niet van die sleutels met hun gebruikersnaam en wachtwoord ga vinden naast de computer omdat ze het niet zouden kunnen onthouden
Maar een goede ontwikkeling en ik ben van mening dat dit zeker zou moeten worden doorgevoerd. De beheerslast is nu al enorm laag, en ik denk als dit binnen AD van MS kan worden geintegreerd het het beheer en gebruik van de sleutels alleen ten goede zal komen.
Alle gebruikers die zwakke wachtwoorden gebruiken zoals hun voornaam en de naam van hun partner al dan niet met een nummertje ertussen hebben dan een simpele manier om hun wachtwoord te gebruiken.
Ik hoop alleen dat ik dan niet van die sleutels met hun gebruikersnaam en wachtwoord ga vinden naast de computer omdat ze het niet zouden kunnen onthouden
Maar een goede ontwikkeling en ik ben van mening dat dit zeker zou moeten worden doorgevoerd. De beheerslast is nu al enorm laag, en ik denk als dit binnen AD van MS kan worden geintegreerd het het beheer en gebruik van de sleutels alleen ten goede zal komen.
Nee het is niet gek dat gebruikers hun wachtwoorden gaan opschrijven. En ik kan je garanderen dat je die diengen met de pincode erop geschreven gaat vinden. (Heb zelfs wel eens zo'n ding ontvangen van de adminstrator die ze uitdeelt met de code erop geschreven.
Hoeveel codes heeft de gemiddelde gebruiker, stuk of 12 lijkt normaal:
Pin pas
Credit Card
Telefoon
Internet Bankieren
Internet Sparen
Online Beleggen
Toegangscode werk
Inloggen windows werk
Inloggen database/speciale applicatie
Inloggen urenregistratie
Code token thuiswerken
Inloggen isp
ikzelf heb te maken met adminstratoraccounts van verschillende domeinen en meerdere applicaties met een password. Ik denk dat ik aan een stuk of 20 kom (en dat is nog zonder allerlei internet sites) en mij lijkt dat dat geen uitzondering is.
Hoeveel codes heeft de gemiddelde gebruiker, stuk of 12 lijkt normaal:
Pin pas
Credit Card
Telefoon
Internet Bankieren
Internet Sparen
Online Beleggen
Toegangscode werk
Inloggen windows werk
Inloggen database/speciale applicatie
Inloggen urenregistratie
Code token thuiswerken
Inloggen isp
ikzelf heb te maken met adminstratoraccounts van verschillende domeinen en meerdere applicaties met een password. Ik denk dat ik aan een stuk of 20 kom (en dat is nog zonder allerlei internet sites) en mij lijkt dat dat geen uitzondering is.
<brain-spank>
Ok dan moeten we alle communicatieprotocollen tunnellen in draadloos IP en dan kunnen we eenvoudigweg OpenLDAP met keys implementeren voor unified cryptographic id's..
</brain-spank>
seriously though.. wellicht komt er een betaalde ID dienst op basis van passport? >yawn<
Ok dan moeten we alle communicatieprotocollen tunnellen in draadloos IP en dan kunnen we eenvoudigweg OpenLDAP met keys implementeren voor unified cryptographic id's..
</brain-spank>
seriously though.. wellicht komt er een betaalde ID dienst op basis van passport? >yawn<
je kan veel zwakke paswoorden al weigeren door bv verplicht te stellen cijfers + hoofdletter te gebruiken.
of dergelijke combinaties.
Smart-Cards en systeem calculators (speciale code reken machientjes) kunnen al meer security eisen.
soms 3 verschillende tokens (bv password, username + smartcard kan bv het nog beter maken.
mensen zijn lui en na 5 codes is de gemiddelde digibeet de tel kwijt ze schrijven het op verstandaarden het. etc etc
ik ken er zelfs 1 die alles op zijn beveiligde PDA heeft staan
of dergelijke combinaties.
Smart-Cards en systeem calculators (speciale code reken machientjes) kunnen al meer security eisen.
soms 3 verschillende tokens (bv password, username + smartcard kan bv het nog beter maken.
mensen zijn lui en na 5 codes is de gemiddelde digibeet de tel kwijt ze schrijven het op verstandaarden het. etc etc
ik ken er zelfs 1 die alles op zijn beveiligde PDA heeft staan
Kun je dat dan niet beter koppelen aan een vingerafdruk ofzo ? Die scanapparaten moeten toch niet meer zo duur zijn onderhand ? 
@kevinp: de code op de sleutel veranderd circa om de minuut, momentje, ik let er nu even op, Ja, ca 1 minuut voor de nieuwe code er komt.
@mephiso1982:
Ik ben met je eens dat het niet goed is MS er een closed standard van zou maken.
Ook ben ik hier niet zo heel erg bang voor omdat RSA dit toch al goed heeft ontwikkeld en weet dat ze een goed product hebben en MS niet nodig hebben om dit te laten blijken.
Dit houd wel in dat ze met evt contracten of whatver ze gaan afsluiten met MS goed op kleine lettertjes moeten letten.
Ik zou zelfs niet graag zien dat MS hieraan ging ontwikkelen, maar dat ze ermee zouden gaan ontwikkelen
Het enige wat ik wel belangrijk vind is dat MS dit voor beheerders zoals ikzelf heel erg makkelijk zou kunnen gaan integreren in hun management tools, ik mag dan misschien heel lui zijn, maar er is toch niets heerlijker dan 1 tool waarmee je alles mbt gebruikers kunt managen.
@mephiso1982:
Ik ben met je eens dat het niet goed is MS er een closed standard van zou maken.
Ook ben ik hier niet zo heel erg bang voor omdat RSA dit toch al goed heeft ontwikkeld en weet dat ze een goed product hebben en MS niet nodig hebben om dit te laten blijken.
Dit houd wel in dat ze met evt contracten of whatver ze gaan afsluiten met MS goed op kleine lettertjes moeten letten.
Ik zou zelfs niet graag zien dat MS hieraan ging ontwikkelen, maar dat ze ermee zouden gaan ontwikkelen
Het enige wat ik wel belangrijk vind is dat MS dit voor beheerders zoals ikzelf heel erg makkelijk zou kunnen gaan integreren in hun management tools, ik mag dan misschien heel lui zijn, maar er is toch niets heerlijker dan 1 tool waarmee je alles mbt gebruikers kunt managen.
Ik kan me nog goed herinneren van een stage, ik moest inloggen bij een van de gebruikers, maar de gebruiker was weg dus ik had geen wachtwoord.
Ik even rondkijken op het bureau....en...ik dacht: Het zal toch niet waar zijn?
ik pluk daar een geboortekaartje van het bureau, doe hem open, zie de naam, vul hem in. Potverdorie, het werkte ook nog. Ik had van deze fabeltjes gehoord, maar nu heb ik het zelf meegemaakt.
Ik even rondkijken op het bureau....en...ik dacht: Het zal toch niet waar zijn?
ik pluk daar een geboortekaartje van het bureau, doe hem open, zie de naam, vul hem in. Potverdorie, het werkte ook nog. Ik had van deze fabeltjes gehoord, maar nu heb ik het zelf meegemaakt.
Mee eens, een integratie met bijvoorbeeld radius zou mooier zijn.
Waarschijnlijk heeft RSA een flink bedrag neergelegd.
Een foutje in de koptekst, het gaat niet om twee sleutes maar om 1 "seed value".
Mbt het algoritme, daar is niets mis mee, het is alleen een bekend algoritme ( het patent is na 10 jaar verlopen en ze moesten het dus vrijgeven.) maar goed de nieuwe ACE servers gebruiken nu AES. (en dat is ook een bekende encryptie methode)
Het is dus zaak de floppy's met 'seed value's' goed op te bergen. want mbv die seed kan je de 'tokencode' uitrekenen.
Een goede admin zal de mensen zelf een pin code laten verzinnen en dus voorkomen dat iemand een nieuwe pin uit zijn hoofd hoeft te leren.
Waarschijnlijk heeft RSA een flink bedrag neergelegd.
Een foutje in de koptekst, het gaat niet om twee sleutes maar om 1 "seed value".
Mbt het algoritme, daar is niets mis mee, het is alleen een bekend algoritme ( het patent is na 10 jaar verlopen en ze moesten het dus vrijgeven.) maar goed de nieuwe ACE servers gebruiken nu AES. (en dat is ook een bekende encryptie methode)
Het is dus zaak de floppy's met 'seed value's' goed op te bergen. want mbv die seed kan je de 'tokencode' uitrekenen.
Een goede admin zal de mensen zelf een pin code laten verzinnen en dus voorkomen dat iemand een nieuwe pin uit zijn hoofd hoeft te leren.
/u/23545/yuma2.png?f=community){kind=small}
In Windows 2000 en 2003 domeinen kun je als administrator gebruikers afdwingen om complexe paswoorden te gebruiken. Daarnaast kun je ze desnoods iedere maand een ander paswoord laten genereren.
:strip_exif()/u/82642/porsche-993-gt2.gif?f=community){kind=small}
Is het niet juist een groot voordeel dat je niet meer zo'n F&12)(__8-achtig wachtwoord meer hoeft te verzinnen? Want ikzelf erger me daar altijd mateloos aan. Vooral als het gedwongen wordt.
Waarom zou microsoft een commeriele versie van dit uitbrengen, als er al een goedkope versie beschikbaar is gebruikt toch niemand die dingen.
En ik vind het raar dat er 6 minuuten staat voordat die nummers veranderen, want dat is toch echt wel een stuk sneller. Hooguit 4 min.
Verder werkt het inderdaad erg goed. Dus een goede ontwikkeling voor bedrijven met gevoellige info. Maar je heb daarvoor een nummer nodig wat veranderd. Dit word dus vergeten, en kan een persoon niet inloggen in de pc. Niet zo erg gebruikersvriendelijk. En als je die dingen 1x krijgt liggen ze gewoon naast de pc op een papiertje. Dat schiet dus niet op.
En ik vind het raar dat er 6 minuuten staat voordat die nummers veranderen, want dat is toch echt wel een stuk sneller. Hooguit 4 min.
Verder werkt het inderdaad erg goed. Dus een goede ontwikkeling voor bedrijven met gevoellige info. Maar je heb daarvoor een nummer nodig wat veranderd. Dit word dus vergeten, en kan een persoon niet inloggen in de pc. Niet zo erg gebruikersvriendelijk. En als je die dingen 1x krijgt liggen ze gewoon naast de pc op een papiertje. Dat schiet dus niet op.
"Dit word dus vergeten, en kan een persoon niet inloggen in de pc."
Dat nummer wordt gegenereerd door een apparaatje dat je bij je moet hebben.
Dat is het heel erg zwakke punt van dit systeem; als je dat ding niet bij je hebt kun je niet in je systeem. Als dat apparaatje onder een bus komt of het batterijtje leeg is, dan kun je niet in je systeem. Als de klok van je server niet gelijk loopt met dat apparaatje, dan kun je niet in je systeem.
Uiteindelijk blijven er altijd een aantal administrator accounts waar je dit echt absoluut niet op wilt gebruiken.
Voor gebruikers is het nuttig, erg gebruikersonvriendelijk, maar nuttig. Voor administrators is een een risico dat je niet kunt nemen.
Dat nummer wordt gegenereerd door een apparaatje dat je bij je moet hebben.
Dat is het heel erg zwakke punt van dit systeem; als je dat ding niet bij je hebt kun je niet in je systeem. Als dat apparaatje onder een bus komt of het batterijtje leeg is, dan kun je niet in je systeem. Als de klok van je server niet gelijk loopt met dat apparaatje, dan kun je niet in je systeem.
Uiteindelijk blijven er altijd een aantal administrator accounts waar je dit echt absoluut niet op wilt gebruiken.
Voor gebruikers is het nuttig, erg gebruikersonvriendelijk, maar nuttig. Voor administrators is een een risico dat je niet kunt nemen.
Die dingen verlopen na een tijdje, dit is ruim binnen de marge van de battery. Het nadeel is dat die dingen nu nog regelmatig kapot gaan.(heb er wel wat ervaring mee). en dan ben je nu weer 2 dagen verder voordat er een nieuwe gebruikt kan worden(als je pech hebt)
Het was mooier geweest als voor een open architecuur was gekozen of dat microsoft zich had aangesloten bij
http://www.openauthentication.org/.
zodat klanten zelf hun authenticatie mechanisme in hun systemen kunnen hangen. Rsa SecureID is het windows van de authenticatie. Rsa rekent stevige prijzen voor zijn ACE servers én authenticatie tokens. Een vriend van me kreeg een keer een prijs van 8 Euro per user per maand voorgelegd, bij gebruik voor een periode van 3 jaar. Ook schijnt de betrouwbaarheid van het algoritme dat gebruikt wordt door SecureId en de ACE servers onder vuur te liggen:
http://www.linuxsecurity.com/resource_files/cryptography/initial_secur id_analysis.pdf
http://www.openauthentication.org/.
zodat klanten zelf hun authenticatie mechanisme in hun systemen kunnen hangen. Rsa SecureID is het windows van de authenticatie. Rsa rekent stevige prijzen voor zijn ACE servers én authenticatie tokens. Een vriend van me kreeg een keer een prijs van 8 Euro per user per maand voorgelegd, bij gebruik voor een periode van 3 jaar. Ook schijnt de betrouwbaarheid van het algoritme dat gebruikt wordt door SecureId en de ACE servers onder vuur te liggen:
http://www.linuxsecurity.com/resource_files/cryptography/initial_secur id_analysis.pdf
Als de patenten eraf zijn betekent dat elke hts-er techische informatica/electronica zo'n token kan/mag maken 
:strip_icc():strip_exif()/u/12778/lotus.jpg?f=community){kind=small}
RSA SecureID in combinatie met RSA-cleartrust en dan met Single-sign-on wordt het leven een stuk makkelijker.
Nog maar een ID voor alle toepassingen.
Nog maar een ID voor alle toepassingen.
Op dit item kan niet meer gereageerd worden.