Microsoft koopt maker identiteitsmanagementsoftware

Microsoft heeft een bedrijf gekocht dat zich bezighoudt met de ontwikkeling van identiteitsbeheer op basis van publieke sleutels. Het softwarepakket IDNexus werd bij Alacris ontwikkeld en gebruikt publieke sleutels in combinatie met biometrische gegevens en smartcards om Windows-netwerken te beveiligen. Analisten zijn van mening dat deze overname door Microsoft een belangrijke stimulans kan zijn om smartcards in bedrijven te gebruiken. Klanten van Alacris zijn vooral actief in de farmaceutische sector, welzijnssector, bank- en verzekeringssector en veiligheidsdienstverlening. In Windows kunnen smartcards gebruikt worden in combinatie met andere authenticatiemiddelen met behulp van Active Directory en Microsoft Certificate Services. Bedrijven hebben echter vaak problemen om het installeren van de smartcards, uitgeven en beheren van digitale certificaten en het monitoren van de activiteiten, gestroomlijnd te combineren en dat is waar IDNexus van pas komt in het verhaal, aldus Michael Alta van Microsoft.

IT-banen

Reacties (48)

Verwijderd 23 september 2005 09:27

Wij gebruiken deze toegangscontroles zelf ook in het bedrijf om aan te loggen op werkstations. dit zodat alleen bevoegde personen gebruik kunnen maken van de plannings werkstations.

Werkt goed moet ik zeggen en denk niet MS dit zal gebruiken tegen kopieren, maar meer als dienst zodat bedrijven niet gaan zoeken naar alternatieven en zo bij UNIX of varianten terecht komen

Verwijderd 23 september 2005 09:32

Dit kan je niet "zomaar" kraken. Als je het goed leest: publieke sleutels icm biometrische gegevens. Dus een PKI infrastructuur waarbij je private key is gegenereerd uit biometrische gegevens, met een public key kan je deze decrypten. Ga er maar vanuit dat dit geen 128-bits RSA sleuteltjes zijn, los van het feit dat je jezelf zal moeten authenticaten bij een PKI server om uberhaupt je systeem te kunnen gebruiken.

LauPro @Verwijderd • 23 september 2005 14:22

Het punt bij deze methodes is vaak dat de private key die is gegenereerd uit biometrische gegevens op zichzelf een hele sterke key is. Maar dat de manier waarop die key wordt uitgelezen niet zo heel veilig is.

Voor bijvoorbeeld een vingerafdruk-systeem zijn er al diverse technieken bekend om dit te faken. Stel dat je iemand een glas water geeft kan je in feiten al zijn vingerafdruk bemachtigen (of wat dacht je van een muis?). Die vingerafdruk kan je dan weer misbruiken om in te loggen.

De CCC heeft hier zelfs een howto van: http://www.ccc.de/biometr..._kopieren.xml?language=en

Overigens wil ik hiermee niet de complete techniek om zeep helpen (een tijdje geleden heb ik me in iets vergelijkbaars verdiept). Maar ik wil aangeven dat je meer moet doen dan alleen die x-aantal bit beveiliging. Het meest onveilige blijft methode om de key (of wachtwoord) te bemachtigen. Dus het omzetten van in feite de analoge handeling van de mens naar een digitale sleutel. (Wachtwoord intoetsen of vingeradruk bijv.)

BaRF 23 september 2005 08:46

Achzo, de volgende stap in kopieerbeveiliging wellicht?

Koop de nieuwste versie van windows en krijg er nu gratis de installatie sleutel bij in de vorm van een activatie kaartje!

Verwijderd @BaRF • 23 september 2005 09:02

Nou, ik denk dat veel IT managers in het bedrijfsleven staan te springen om een geintegreerde two-factor authenticatie oplossing! want zeg nu zelf, hoe achterhaald zijn wachtwoorden?

Pewwy @Verwijderd • 23 september 2005 09:54

Tsja, achterhaald...Het enige dat opvalt is dat er bedrijven zijn waar de wachtwoordpolicies dramatisch zijn ingesteld. Inloggen met pasjes en dan nog een pincode moeten onthouden werkt ook niet makkelijk weet ik uit ervaring.

locke960 @Pewwy • 23 september 2005 12:44

Dat kun je nauwelijks aan die bedrijven wijten. Het is meer een probleem dat impliciet is aan het systeem voor wachtwoorden. In mijn ervaring heb je namelijk 2 mogelijkheden.

1. Je hebt hele losse policies (alles als wachtwoord accepteren, nooit verplict veranderen, etc). Dan wordt het gemakkelijk om wachtwoorden te raden of met brute force te kraken en ben je dus onveilig.

2. Je hebt juist zware policies (minimale lengte, cijfers, leestekens en hoofdletters in password, om de zoveel tijd veranderen, etc). Dan hoeft de kraker het wachtwoord alleen maar van de post-it note op de monitor, uit de la of van de onderkant van het toetsenbord af te lezen en ben je dus ook niet veilig.

Er zijn mensen die denken dat optie 2 wel werkt als je je gebruikers maar verteld dat ze dit soort dingen niet moeten doen. dream on...

Verwijderd @Pewwy • 23 september 2005 14:06

tja maar een pasje is ook niet veilig... dan hoeft de inbreker gewoon even in het bureau te zoeken waar hij ook het postitje had gezocht.

kans is groot aangezien gebruikers beveiliging als onodig zien en moeilijk en lastig dat het niet ligt aan hoe je het beveiligd maar hoe het nageleefd wordt

KatirZan @Verwijderd • 23 september 2005 10:01

hoe lang zal het duren voordat dit achterhaald is?

Identificatie via een chip is natuurlijk erg handig, en ook moeilijk om na te maken/te kopieren, maar denk eens aan de apparatuur die "criminelen" gebruikte op de pin-automaten?

dit is softwarematig ook te maken.....waardoor je bijv. met een worm iemand ID kan stelen

Tadango @Verwijderd • 23 september 2005 12:12

Kan je al lang krijgen hoor

Mijn laptop accepteerd ook netjes een smartcard....

kidde @Verwijderd • 23 september 2005 14:55

hoe achterhaald zijn wachtwoorden?

Minder dan je denkt, biometrische kenmerken hebben namelijk een enorm nadeel:
Stel, ik kom erachter dat iemand mijn wachtwoord/pincode kan 'namaken'. Dan is dat geen probleem voor me en kies ik simpelweg een nieuw wachtwoord, en de namaker heeft als het goed is vanaf dan het nakijken.
Stel, ik kom erachter dat iemand m'n biometrische kenmerken (als vingerafdrukken/irispatroon) kan 'namaken'. Dan heb ik een zeer groot probleem, want hoe kom ik aan een nieuw irispatroon of vingerafdruk?
(Let wel, er zijn al rapporten dat vingerafdrukken vrij makkelijk na te maken zijn, zelfs als je alleen een glas hebt vastgepakt)

Kortom, biometrische kenmerken zijn leuk, maar alleen zolang ze niet nagemaakt worden, en alleen in combinatie met een fatsoenlijk wachtwoord. Immers, kijkende naar de paslezer op het fotootje hierboven, kan er zo een paslezertje aan vast geplakt worden (en dat is ook de reden waarom pinautomaten tegenwoordig zo'n plastic doorzichtig kapje hebben). Wachtwoorden kan je natuurlijk filmen of met (fysieke) keyloggers achterhalen (het wordt tijd voor keyboards die geencrypteerd met de computer communiceren), maar je hebt dus allebei nodig, en daarom zijn wachtwoorden zeer zeker niet achterhaald.

exyll @kidde • 23 september 2005 16:59

Het is biometrie om je privatekey te unlocken. Je hebt dan nog steeds niet de privatekey...

Mocht iemand je pas stelen.. en een kopie van je biometrie hebben dan trek je het certificaat/pas in en creeer je een nieuwe...

De biometrie dief heeft dan wel je biometrie.. maar een oude privatekey en dus nutteloos.

weeraanmelden 23 september 2005 10:56

Betekend dit dat de fingerprintreader nu verder ontwikkeld wordt?
Wachtwoorden / SecureID cards zijn handig, maar 9/10 medewerkers plakt dit boven/onder/in/naast de laptop.
Ja , je kan het verbieden, maar dan halen ze de post-it weg als ze langs IT lopen.
En door dat je elke 30 dagen een nieuw complex wachtwoord afdwingt, gaan medewerkers dit gewoon doen.
(en user-id's als DFGT45@34 is niet makkelijk te onthouden)

De fingerprintreader is nu al een handig apparaatje voor stand alone XP machines, maar binnen een domein werkt dit niet.

Heerlijk, nieuwe user, loop even langs it, vinger op de reader, en vanaf nu hoeven ze geen user-id/password te onthouden.
Tuurlijk, er is misbruik van te maken.
Maar als je hierdoor 90% minder post-it;s hebt , is je beveiliging een heel stuk beter.

edit:
Overbodig,omdat ik niet flame op ms

Beveiliging is een groot issue, en MS is daar nu hard met bezig. Als ze hierdoor externe partijen overnemen - wat voor MS net zo gewoon is als voor een normaal bedrijf externe inhuren - zijn ze toch goed bezig?

LauPro @weeraanmelden • 23 september 2005 14:31

Je snapt het principe niet helemaal. Uiteindelijk kan je met zo'n identiteitskaart bijvoorbeeld je auto starten daarna bij je werk de deur kan openen en vervolgens in kan loggen op je systeem.

Dit is het doel van een dergelijke 'ID-card'. De overheid heeft bijvoorbeeld al zo'n kaart worden ingevoerd voor haar werknemers (nog lang niet allemaal maken daar ook gebruik van nog). Dit wordt nu gebruikt om veilig te kunnen e-mailen tussen bijvoorbeeld een notaris en het kadaster. Maar er zijn natuurlijk nog meer mogelijkheden.

tc982 23 september 2005 12:08

Ik gebruik thuis in mijn netwerk smartcard login van Gemplus ( native 2003 ).

dit werkt goed, en ik kan nu mijn vrouw achter de pc zetten zonder dat deze zaagt over het "moeilijk" paswoord.

Smartcards kunnen helpen om complexe paswoorden simpeler te maken door een digit code. Zo hoeven zij de complexiteit niet te kennen!

bolke @tc982 • 23 september 2005 13:09

Ik heb dat zien draaien in productie omgeving voor 20.000 gebrukers. Windows 2000 smartcard logon.

Werkt best aardig voor een MS product.

kozue 23 september 2005 11:23

Analisten zijn van mening dat deze overname door Microsoft een belangrijke stimulans kan zijn om smartcards in bedrijven te gebruiken.

Dus als het van MS is, is t interressanter dan als het van IDNexus is? Dan is imho de IT wereld wel heel erg snel af aan t stompen...

Verwijderd @kozue • 23 september 2005 11:35

Wie heeft er een groter bereik en welk bedrijf ligt beter/groter in de markt? Dus wie kan het beter bekend maken/toepassen bij bedrijven, MS of IDN?

Ooit weleens van een 'markt' gehoord?

bolke @kozue • 23 september 2005 13:13

Microsoft kan ook met ofline tokens werken. RSA SecurID is daar een voorbeeld van

Ik zie Smartcard als achterhaald. Waar type jij je PIN in van de smartcard? Waarschijnlijk op je normale toetsenbord. Met de meest eenvoudige keylogger heb ik jou PIN dus achterhaald.

Nordlys 23 september 2005 08:50

Reactie op BaRF!:
Of het nou een serial nummer is die je in moet vullen, of een kaartje die je in je PC moet douwen, het valt beiden vast en zeker te kraken

Het zal echter gebruikt worden voor het identificeren van jezelf. Is dit niet achterlopen op de technologie? Waarom geen vingerafdruk gebruiken?

kid1988 @Nordlys • 23 september 2005 08:58

om met een serial iets te installeren ben je internet en een printer (niet eens in alle gevalen) nodig. (voor de illegale serial).
als je met een smartcard moet certivieren, dan moet je eerst een soort "image" van internet plukken, dan met je Smarcard WRITER (die redelijk schaars zijn bij mij in de buurt) de image op het kaartje zetten, en dan hopen dat het werkt.
je kunt natuurlijk ook (als de reader via usb word aangesloten) op een manier een USB image maken, of een memoristick zo veranderen dat hij word herkent als smartcardreader met goeie smartcard. maar dan is de vraag weer, hoe mount je zo iets zonders OS (dan kun je alleen windows installeren d.m.v upgrade).

of tewel:
ik denk zeker dat het wel gaat werken op deze manier.. immers is het veel makkelijker om een serial uit te printen en in te voeren, dan een smartcard te bewerken.

SnakeMind @kid1988 • 23 september 2005 09:03

Net zo makkelijk als jij het internet en die printer gebruikt voor je serial, kun je de usb stick die je wilt modden in diezelfde pc gebruiken om de image mee te maken

Dus, je hebt je eigen vraag al beantwoord, en het is dus eigenlijk net zo gemakkelijk.
Vergeet niet dat de activatie van Windows niet even met een serial is te kraken, maar met een patch nadat je windows hebt geinstalleerd.

bszz @kid1988 • 23 september 2005 09:29

Huhh??????

Tsja, normaal ben ik altijd zo bescheiden om eerst aan mezelf te twijfelen, maar in dit geval twijfel ik daar zelfs aan.......

Even los van de inhoud (waar ook het een en ander op aan te merken is.....) Wat hebben internet en printers en illegale serials in vredesnaam te maken met dit bericht??? Sorry maar ik zie het echt ff niet.....

En als ik op de site kijk kom ik er ook al niet achter......

http://www.alacris.com/pr...cts_idNexus_microsoft.htm

oZy @Nordlys • 23 september 2005 09:01

Het softwarepakket IDNexus werd bij Alacris ontwikkeld en gebruikt publieke sleutels in combinatie met biometrische gegevens en smartcards om Windows-netwerken te beveiligen.

Biometrische gegevens zijn o.a. fingerprints en iris-scan's.

Een smartcard is ook een handige optie omdat zo'n kaartje voor meerdere doeleinden binnen een bedrijf kan worden gebruikt (beveiligingspas, chipknip voor de kantine, foto + naam erop, etc.)

Verwijderd @Nordlys • 23 september 2005 09:03

dit gebruiken ze bij microsoft intern ook daar heeft ook iedereen een ID kaartje wat tevens in de pc gestopt moet worden als je bepaalde dingen wil doen of accessen waarom ze geen vinger afdruk gebruiken? geen id misschien dat mensen die niet zo snel willen afgeven (digitaal) privacy etc

The Noid @Verwijderd • 23 september 2005 09:41

Als zo'n kaartje gejat wordt is het een kwestie van de key op dat kaartje intrekken de de medewerker een nieuw kaartje geven. Als z'n vingerafdruk "gejat" wordt kan je niet even je medewerker een nieuwe vinger geven. Daarom is biometrische beveiliging een slecht idee.

84hannes @The Noid • 23 september 2005 09:56

Biometrische identificatie is er nog niet klaar voor. Een systeem maakt redelijk wat fouten als hij aan de hand van een vingerafdruk iemand wil herkennen, zeker als er veel gebruikers in de database zitten (een fout van 1 op de 1000 is al niet acceptabel, als 100 medewerkers elke dag inloggen denkt de computer elke twee weken een keer dat hij iemand anders voor zich heeft, waardoor een administratief medewerker opeens de rechten van een ceo krijgt oid).
Aan de hand van een vingerafdruk icm een pasje kijken of de gebruikers echt is wie hij beweert te zijn is wel mogelijk. Iemand moet dan 1000 pasjes stelen om met dezelfde foutmarge een reeele kans te hebben dat het systeem er een keer in trapt.

Kama 23 september 2005 10:16

Waarom weet mijn PC niet dmv mijn bluetooth telefoon wie ik ben? Ik zie op de foto een SIM kaart (ik zie tenminste GSM staan), dus de informatiedrager is dezelfde. Niet alleen is mijn identeit bekend bij de PC, ik kan alleen mijn identiteit verzenden aan PC waar ik vooraf een partnership mee heb. Lijkt me iig veiliger dan de geschetste oplossing.

Pasjes zijn zo "20th century"

(Wie gaat er mee een smartcarddriver bouwen die een virtuele smartcard reader via bluetooth/gsm simuleert?

)

[edit] om daarna de boel voor veel geld aan MS te verkopen (of om toe te kijken hoe het gejat wordt)

Whollabilla @Kama • 23 september 2005 10:22

Het kan aan mij liggen, maar ik zie geen GSM/SIMkaart op die foto staan hoor

Meekoh @Whollabilla • 23 september 2005 10:54

kijk eens goed naar de tekst op het pasje zelf

daar staat GSM

Ackermans1973 @Meekoh • 23 september 2005 15:44

Oh ja, en dat plaatje is heus echt helemaal zoals dat systeem werkt.

Echt.

Verwijderd 23 september 2005 13:57

Offtopic: Ik heb er weer een woord bij voor Scrabble

Verwijderd 24 september 2005 00:24

Ik hoor hier een hoop mensen klagen over de kwetsbaarheide van zaken zoals een smartcard.

Niemand weet hoe de huidige beveiliging in combinatie met het overgenomen bedrijf eruit gaan zien. Redelijke permature reacties lijkt me.

Something you have, something you know en something you are zouden hier redelijk bekend moeten zijn. Ik ga er vanuit dat microsoft niet voor een single login principe gaat maar voor een combinatie van een van deze factoren. Dwz dat bij diefstal iemand niet direct toegang tot het systeem heeft maar ook het bijbehorende wachtwoord moet weten. Laten we eerlijk wezen.. dit is al veiliger dan de huidige login systemen die in 90% van de gevallen nog wordt gebruikt.Bijv een bruteforce aanval heeft geen zin wanneer er uiteindelijk ook om een smart card wordt gevraagd.

Dit sluit aan bij het volgende artikel:
http://www.security.nl/ar...en_in_2007_overbodig.html

niet dat Gartner altijd gelijk heeft, maar ik denk toch dat ze hier een punt hebben.

Op dit item kan niet meer gereageerd worden.

Microsoft koopt maker identiteitsmanagementsoftware

Lees meer

IT-banen

Reacties (48)

Sorteer op:

Weergave: