Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 48 reacties
Bron: eWeek

Microsoft heeft een bedrijf gekocht dat zich bezighoudt met de ontwikkeling van identiteitsbeheer op basis van publieke sleutels. Het softwarepakket IDNexus werd bij Alacris ontwikkeld en gebruikt publieke sleutels in combinatie met biometrische gegevens en smartcards om Windows-netwerken te beveiligen. Analisten zijn van mening dat deze overname door Microsoft een belangrijke stimulans kan zijn om smartcards in bedrijven te gebruiken. Klanten van Alacris zijn vooral actief in de farmaceutische sector, welzijnssector, bank- en verzekeringssector en veiligheidsdienstverlening. In Windows kunnen smartcards gebruikt worden in combinatie met andere authenticatiemiddelen met behulp van Active Directory en Microsoft Certificate Services. Bedrijven hebben echter vaak problemen om het installeren van de smartcards, uitgeven en beheren van digitale certificaten en het monitoren van de activiteiten, gestroomlijnd te combineren en dat is waar IDNexus van pas komt in het verhaal, aldus Michael Alta van Microsoft.

GigaByte GA-6OXM7E smart card reader
Moderatie-faq Wijzig weergave

Reacties (48)

Dit kan je niet "zomaar" kraken. Als je het goed leest: publieke sleutels icm biometrische gegevens. Dus een PKI infrastructuur waarbij je private key is gegenereerd uit biometrische gegevens, met een public key kan je deze decrypten. Ga er maar vanuit dat dit geen 128-bits RSA sleuteltjes zijn, los van het feit dat je jezelf zal moeten authenticaten bij een PKI server om uberhaupt je systeem te kunnen gebruiken.
Het punt bij deze methodes is vaak dat de private key die is gegenereerd uit biometrische gegevens op zichzelf een hele sterke key is. Maar dat de manier waarop die key wordt uitgelezen niet zo heel veilig is.

Voor bijvoorbeeld een vingerafdruk-systeem zijn er al diverse technieken bekend om dit te faken. Stel dat je iemand een glas water geeft kan je in feiten al zijn vingerafdruk bemachtigen (of wat dacht je van een muis?). Die vingerafdruk kan je dan weer misbruiken om in te loggen.

De CCC heeft hier zelfs een howto van: http://www.ccc.de/biometr..._kopieren.xml?language=en

Overigens wil ik hiermee niet de complete techniek om zeep helpen (een tijdje geleden heb ik me in iets vergelijkbaars verdiept). Maar ik wil aangeven dat je meer moet doen dan alleen die x-aantal bit beveiliging. Het meest onveilige blijft methode om de key (of wachtwoord) te bemachtigen. Dus het omzetten van in feite de analoge handeling van de mens naar een digitale sleutel. (Wachtwoord intoetsen of vingeradruk bijv.)
Wij gebruiken deze toegangscontroles zelf ook in het bedrijf om aan te loggen op werkstations. dit zodat alleen bevoegde personen gebruik kunnen maken van de plannings werkstations.

Werkt goed moet ik zeggen en denk niet MS dit zal gebruiken tegen kopieren, maar meer als dienst zodat bedrijven niet gaan zoeken naar alternatieven en zo bij UNIX of varianten terecht komen
Achzo, de volgende stap in kopieerbeveiliging wellicht? :P Koop de nieuwste versie van windows en krijg er nu gratis de installatie sleutel bij in de vorm van een activatie kaartje!
Nou, ik denk dat veel IT managers in het bedrijfsleven staan te springen om een geintegreerde two-factor authenticatie oplossing! want zeg nu zelf, hoe achterhaald zijn wachtwoorden?
Tsja, achterhaald...Het enige dat opvalt is dat er bedrijven zijn waar de wachtwoordpolicies dramatisch zijn ingesteld. Inloggen met pasjes en dan nog een pincode moeten onthouden werkt ook niet makkelijk weet ik uit ervaring.
Dat kun je nauwelijks aan die bedrijven wijten. Het is meer een probleem dat impliciet is aan het systeem voor wachtwoorden. In mijn ervaring heb je namelijk 2 mogelijkheden.

1. Je hebt hele losse policies (alles als wachtwoord accepteren, nooit verplict veranderen, etc). Dan wordt het gemakkelijk om wachtwoorden te raden of met brute force te kraken en ben je dus onveilig.

2. Je hebt juist zware policies (minimale lengte, cijfers, leestekens en hoofdletters in password, om de zoveel tijd veranderen, etc). Dan hoeft de kraker het wachtwoord alleen maar van de post-it note op de monitor, uit de la of van de onderkant van het toetsenbord af te lezen en ben je dus ook niet veilig.

Er zijn mensen die denken dat optie 2 wel werkt als je je gebruikers maar verteld dat ze dit soort dingen niet moeten doen. dream on...
tja maar een pasje is ook niet veilig... dan hoeft de inbreker gewoon even in het bureau te zoeken waar hij ook het postitje had gezocht.

kans is groot aangezien gebruikers beveiliging als onodig zien en moeilijk en lastig dat het niet ligt aan hoe je het beveiligd maar hoe het nageleefd wordt
hoe lang zal het duren voordat dit achterhaald is?

Identificatie via een chip is natuurlijk erg handig, en ook moeilijk om na te maken/te kopieren, maar denk eens aan de apparatuur die "criminelen" gebruikte op de pin-automaten?

dit is softwarematig ook te maken.....waardoor je bijv. met een worm iemand ID kan stelen ;)
Kan je al lang krijgen hoor :) Mijn laptop accepteerd ook netjes een smartcard....
hoe achterhaald zijn wachtwoorden?
Minder dan je denkt, biometrische kenmerken hebben namelijk een enorm nadeel:
Stel, ik kom erachter dat iemand mijn wachtwoord/pincode kan 'namaken'. Dan is dat geen probleem voor me en kies ik simpelweg een nieuw wachtwoord, en de namaker heeft als het goed is vanaf dan het nakijken.
Stel, ik kom erachter dat iemand m'n biometrische kenmerken (als vingerafdrukken/irispatroon) kan 'namaken'. Dan heb ik een zeer groot probleem, want hoe kom ik aan een nieuw irispatroon of vingerafdruk?
(Let wel, er zijn al rapporten dat vingerafdrukken vrij makkelijk na te maken zijn, zelfs als je alleen een glas hebt vastgepakt)

Kortom, biometrische kenmerken zijn leuk, maar alleen zolang ze niet nagemaakt worden, en alleen in combinatie met een fatsoenlijk wachtwoord. Immers, kijkende naar de paslezer op het fotootje hierboven, kan er zo een paslezertje aan vast geplakt worden (en dat is ook de reden waarom pinautomaten tegenwoordig zo'n plastic doorzichtig kapje hebben). Wachtwoorden kan je natuurlijk filmen of met (fysieke) keyloggers achterhalen (het wordt tijd voor keyboards die geencrypteerd met de computer communiceren), maar je hebt dus allebei nodig, en daarom zijn wachtwoorden zeer zeker niet achterhaald.
Het is biometrie om je privatekey te unlocken. Je hebt dan nog steeds niet de privatekey...

Mocht iemand je pas stelen.. en een kopie van je biometrie hebben dan trek je het certificaat/pas in en creeer je een nieuwe...

De biometrie dief heeft dan wel je biometrie.. maar een oude privatekey en dus nutteloos.
Betekend dit dat de fingerprintreader nu verder ontwikkeld wordt?
Wachtwoorden / SecureID cards zijn handig, maar 9/10 medewerkers plakt dit boven/onder/in/naast de laptop.
Ja , je kan het verbieden, maar dan halen ze de post-it weg als ze langs IT lopen.
En door dat je elke 30 dagen een nieuw complex wachtwoord afdwingt, gaan medewerkers dit gewoon doen.
(en user-id's als DFGT45@34 is niet makkelijk te onthouden)

De fingerprintreader is nu al een handig apparaatje voor stand alone XP machines, maar binnen een domein werkt dit niet.

Heerlijk, nieuwe user, loop even langs it, vinger op de reader, en vanaf nu hoeven ze geen user-id/password te onthouden.
Tuurlijk, er is misbruik van te maken.
Maar als je hierdoor 90% minder post-it;s hebt , is je beveiliging een heel stuk beter.

edit:
Overbodig,omdat ik niet flame op ms :)

Beveiliging is een groot issue, en MS is daar nu hard met bezig. Als ze hierdoor externe partijen overnemen - wat voor MS net zo gewoon is als voor een normaal bedrijf externe inhuren - zijn ze toch goed bezig?
Je snapt het principe niet helemaal. Uiteindelijk kan je met zo'n identiteitskaart bijvoorbeeld je auto starten daarna bij je werk de deur kan openen en vervolgens in kan loggen op je systeem.

Dit is het doel van een dergelijke 'ID-card'. De overheid heeft bijvoorbeeld al zo'n kaart worden ingevoerd voor haar werknemers (nog lang niet allemaal maken daar ook gebruik van nog). Dit wordt nu gebruikt om veilig te kunnen e-mailen tussen bijvoorbeeld een notaris en het kadaster. Maar er zijn natuurlijk nog meer mogelijkheden.
Ik gebruik thuis in mijn netwerk smartcard login van Gemplus ( native 2003 ).

dit werkt goed, en ik kan nu mijn vrouw achter de pc zetten zonder dat deze zaagt over het "moeilijk" paswoord.

Smartcards kunnen helpen om complexe paswoorden simpeler te maken door een digit code. Zo hoeven zij de complexiteit niet te kennen!
Ik heb dat zien draaien in productie omgeving voor 20.000 gebrukers. Windows 2000 smartcard logon.

Werkt best aardig voor een MS product.
Analisten zijn van mening dat deze overname door Microsoft een belangrijke stimulans kan zijn om smartcards in bedrijven te gebruiken.
Dus als het van MS is, is t interressanter dan als het van IDNexus is? Dan is imho de IT wereld wel heel erg snel af aan t stompen... |:( }:O
Wie heeft er een groter bereik en welk bedrijf ligt beter/groter in de markt? Dus wie kan het beter bekend maken/toepassen bij bedrijven, MS of IDN?

Ooit weleens van een 'markt' gehoord?
Microsoft kan ook met ofline tokens werken. RSA SecurID is daar een voorbeeld van

Ik zie Smartcard als achterhaald. Waar type jij je PIN in van de smartcard? Waarschijnlijk op je normale toetsenbord. Met de meest eenvoudige keylogger heb ik jou PIN dus achterhaald.
Reactie op BaRF!:
Of het nou een serial nummer is die je in moet vullen, of een kaartje die je in je PC moet douwen, het valt beiden vast en zeker te kraken ;)

Het zal echter gebruikt worden voor het identificeren van jezelf. Is dit niet achterlopen op de technologie? Waarom geen vingerafdruk gebruiken?
om met een serial iets te installeren ben je internet en een printer (niet eens in alle gevalen) nodig. (voor de illegale serial).
als je met een smartcard moet certivieren, dan moet je eerst een soort "image" van internet plukken, dan met je Smarcard WRITER (die redelijk schaars zijn bij mij in de buurt) de image op het kaartje zetten, en dan hopen dat het werkt.
je kunt natuurlijk ook (als de reader via usb word aangesloten) op een manier een USB image maken, of een memoristick zo veranderen dat hij word herkent als smartcardreader met goeie smartcard. maar dan is de vraag weer, hoe mount je zo iets zonders OS (dan kun je alleen windows installeren d.m.v upgrade).

of tewel:
ik denk zeker dat het wel gaat werken op deze manier.. immers is het veel makkelijker om een serial uit te printen en in te voeren, dan een smartcard te bewerken.
Net zo makkelijk als jij het internet en die printer gebruikt voor je serial, kun je de usb stick die je wilt modden in diezelfde pc gebruiken om de image mee te maken :)
Dus, je hebt je eigen vraag al beantwoord, en het is dus eigenlijk net zo gemakkelijk.
Vergeet niet dat de activatie van Windows niet even met een serial is te kraken, maar met een patch nadat je windows hebt geinstalleerd.
Huhh??????

Tsja, normaal ben ik altijd zo bescheiden om eerst aan mezelf te twijfelen, maar in dit geval twijfel ik daar zelfs aan.......

Even los van de inhoud (waar ook het een en ander op aan te merken is.....) Wat hebben internet en printers en illegale serials in vredesnaam te maken met dit bericht??? Sorry maar ik zie het echt ff niet.....

En als ik op de site kijk kom ik er ook al niet achter......

http://www.alacris.com/pr...cts_idNexus_microsoft.htm
dit gebruiken ze bij microsoft intern ook daar heeft ook iedereen een ID kaartje wat tevens in de pc gestopt moet worden als je bepaalde dingen wil doen of accessen waarom ze geen vinger afdruk gebruiken? geen id misschien dat mensen die niet zo snel willen afgeven (digitaal) privacy etc
Als zo'n kaartje gejat wordt is het een kwestie van de key op dat kaartje intrekken de de medewerker een nieuw kaartje geven. Als z'n vingerafdruk "gejat" wordt kan je niet even je medewerker een nieuwe vinger geven. Daarom is biometrische beveiliging een slecht idee.
Biometrische identificatie is er nog niet klaar voor. Een systeem maakt redelijk wat fouten als hij aan de hand van een vingerafdruk iemand wil herkennen, zeker als er veel gebruikers in de database zitten (een fout van 1 op de 1000 is al niet acceptabel, als 100 medewerkers elke dag inloggen denkt de computer elke twee weken een keer dat hij iemand anders voor zich heeft, waardoor een administratief medewerker opeens de rechten van een ceo krijgt oid).
Aan de hand van een vingerafdruk icm een pasje kijken of de gebruikers echt is wie hij beweert te zijn is wel mogelijk. Iemand moet dan 1000 pasjes stelen om met dezelfde foutmarge een reeele kans te hebben dat het systeem er een keer in trapt.
Het softwarepakket IDNexus werd bij Alacris ontwikkeld en gebruikt publieke sleutels in combinatie met biometrische gegevens en smartcards om Windows-netwerken te beveiligen.
Biometrische gegevens zijn o.a. fingerprints en iris-scan's.

Een smartcard is ook een handige optie omdat zo'n kaartje voor meerdere doeleinden binnen een bedrijf kan worden gebruikt (beveiligingspas, chipknip voor de kantine, foto + naam erop, etc.)
Waarom weet mijn PC niet dmv mijn bluetooth telefoon wie ik ben? Ik zie op de foto een SIM kaart (ik zie tenminste GSM staan), dus de informatiedrager is dezelfde. Niet alleen is mijn identeit bekend bij de PC, ik kan alleen mijn identiteit verzenden aan PC waar ik vooraf een partnership mee heb. Lijkt me iig veiliger dan de geschetste oplossing.

Pasjes zijn zo "20th century" :P

(Wie gaat er mee een smartcarddriver bouwen die een virtuele smartcard reader via bluetooth/gsm simuleert? :P)

[edit] om daarna de boel voor veel geld aan MS te verkopen (of om toe te kijken hoe het gejat wordt) :Y)
Het kan aan mij liggen, maar ik zie geen GSM/SIMkaart op die foto staan hoor :+
kijk eens goed naar de tekst op het pasje zelf :z
daar staat GSM
Oh ja, en dat plaatje is heus echt helemaal zoals dat systeem werkt.

Echt.

|:(
Fingerreaders als biometri in combinatie met een user name is nagenoeg niet te kraken. je hebt 2 gegevens nodig die je kan encrypte. daarnaast. is een smartcard voor mensen waar een een vingerscan noagenoeg niet werkzaam is.

een voordeel van een smart card is dat je hem dubbel encrypt 1x op de kaart 1x op je server. + naam en dan nog een wachtwoord. wie hem binnen 48 uur kan kraken is op dit moment een kanp iemand! volgens mij nagenoeg niet haalbaar!
Offtopic: Ik heb er weer een woord bij voor Scrabble :)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True