SURFnet experimenteert met inloggen per smartphone

Educatieve ict-dienstverlener SURFnet heeft een experiment lopen waarbij gebruikers met behulp van een smartphone op diensten kunnen inloggen. De smartphone dient als 'random reader', zoals bij internetbankieren wordt toegepast.

Via een applicatie op de smartphone kan het inloggen op twee manieren verlopen. Bij de eerste manier wordt op het scherm van desktop of laptop een qr-code getoond. Deze bevat een random code en kan gescand worden met een smartphone-applicatie van SURFnet. De applicatie berekent vervolgens via een algoritme welke code moet worden teruggestuurd om in te loggen.

Bij de andere methode wordt de smartphone gebruikt als extra beveiliging bij het inloggen. Na het invoeren van gebruikersnaam en wachtwoord op desktop of laptop wordt een push-melding naar de smartphone gestuurd. Daarna moet de gebruiker op het toestel op inloggen drukken om zich te identificeren. De smartphone dient dan als 'token' om aan te tonen dat de gebruiker is wie hij is. Beide methodes werken via een applicatie op smartphones. In de demonstratievideo is een iPhone-applicatie te zien.

De beide systemen zijn opvolgers van een 'Mobile PKI'-experiment uit 2009, waarin de gebruiker door middel van zijn simkaart wordt geïdentificeerd. Nadeel daarvan is dat de providers medewerking moeten verlenen om die authenticatie mogelijk te maken, terwijl dat nu niet het geval is.

Het huidige project startte in september 2010. Binnen vijf maanden moet een pilot met gebruikers starten, zegt technisch productmanager Roland van Rijswijk van SURFnet. "We dienen de iPhone-app volgende week in bij de App Store. Omdat hij werkt met cryptografie kan de goedkeuring iets langer duren. De Android-versie is ook bijna klaar." Ontwikkelaar Egeniq maakt de applicaties.

De techniek is ontwikkeld door SURFnet, maar wordt opensource gemaakt. "We hebben het ontwikkeld met publiek geld, dus de techniek hoort in het publieke domein. Zowel de serverkant als de bron van de apps wordt via opensource beschikbaar gesteld onder een BSD-licentie." Alle gebruikte technieken zijn ook open standaarden, zegt Van Rijswijk.

SURFnet verzorgt onder meer diensten voor universiteiten, hogescholen, bilbiotheken en onderzoekslaboratoria van bedrijven.

Helaas!
De video die je probeert te bekijken is niet langer beschikbaar op Tweakers.net.

Reacties (22)

Carino 28 januari 2011 13:51

ik zou de basis beveiliging zoals die hier beschreven wordt nooit gebruiken.
Het grootste probleem zit 'm in het feit dat een smartphone behoorlijk makkelijk te stelen is. Wanneer dat gebeurt heeft die persoon direct toegang tot alle sites waar ik een login voor ingesteld heb via dit systeem.

de two-way authentication is dan wel weer een stuk veiliger, voornamelijk omdat er eerst ingelogd moet worden op de website. Al is het belangrijkste doel, wat ik uit het filmpje op kan maken, niet geïmplementeerd. Namelijk het niet meer hoeven onthouden van alle gebruikersnamen en wachtwoorden.

eymey

@Carino • 28 januari 2011 13:54

Ik neem aan dat er, ook in het scenario met de QR code, een two-factor authenticatie is. Bv. dat je je normale wachtwoord nodig hebt in combinatie met de QR code om de goede combinatie te berekenen.

Carino @eymey • 28 januari 2011 14:37

zoals je kan zien in de video is het echt alleen het scannen van de code en op de telefoon op login klikken, vandaar ook de naam 'single factor authentication'.

Als het echt zo gaat werken dan is het systeem, of eigenlijk alleen de 'single factor authentication' nog voor de release al gedoemd te mislukken.

Verwijderd @Carino • 28 januari 2011 15:25

Als ik het goed begrijp gaat het er niet alleen om wat de informatie in de qr code is, maar ook een unieke id van de telefoon die je gebruikt.

het eerste voorbeeld is inderdaad 'single factor authentication' met alleen 'somthing we own', dus alleen de unieke id van de telefoon. Dit lijkt me niet zo veilig omdat je telefoon makkelijk gestolen kan worden.

Het tweede voorbeeld is echter met zowel een gebruikersnaam + wachtwoord en ook de unieke id die in je telefoon, dus 'two factor autenciation' met 'somthing we know' en 'somthing we own'.

Turtle @Verwijderd • 28 januari 2011 21:20

Wanneer de smartphone normaal gesproken echter gelocked is met een wachtwoord is hier toch wel sprake van two factor authentication. Smartphone unlocken & deze bezitten om "login" op te kunnen klikken "Touchen".
something you have & something you know.

De 3e authenticatie methode zit er dan nog niet in, alhoewel dit voor sommige mensen & hun omgang met hun telefoon bijna wel zo lijkt. "something you are" (biometrie).

[Reactie gewijzigd door Turtle op 23 juli 2024 09:00]

Verwijderd @eymey • 28 januari 2011 16:35

In het demo scenario is er sprake van een single factor; inmiddels hebben we het uitgebreid naar 2-factor authenticatie (dat waren we al van plan maar hadden we in de proof-of-concept niet gedaan)

Carino @Verwijderd • 28 januari 2011 18:12

de 2 factor authenticatie vind ik wel zeer interessant! In feite is het een universele random-reader wat de beveiliging van een groot aantal websites goed kan vergroten! Echter is het eerste probleem wat beschreven wordt in de video, namelijk het niet meer hoeven onthouden van tientallen username/password combinaties daarmee niet opgelost.

Via deze methode is het overigens veiliger om voor al die accounts dezelfde combinatie te gebruiken, omdat de app voor de 2e en dan ook veiligere authenticatie zorgt. Ik ben in ieder geval zeer benieuwd waar dit naartoe gaat en vooral wat het voor het web kan betekenen.

FloRadix @Carino • 28 januari 2011 13:55

tegenwoordig kun je smartphone ook op afstand wipen mits je de nodige apps hebt geïsntalleerd, een simple sms tekst code kan ik mn eigen android wipen indien ie gestolen is.

SinergyX 28 januari 2011 14:16

Bij de eerste manier wordt op het scherm van desktop of laptop een qr-code getoond. Deze bevat een random code en kan gescand worden met een smartphone-applicatie van SURFnet. De applicatie berekent vervolgens via een algoritme welke code moet worden teruggestuurd om in te loggen.

Maar wordt deze algoritme-resultaat dan gemaakt op basis van de telefoon? Als het open source is, is de algoritme bekend en kan je dat zo weer na maken. Net zoals B.net authenticator-codes worden gemaakt icm serienummer van het apparaatje, zelfs als je de algoritme weet, kan je er nog niets mee.

Andere kant, een wachtwoord kan je niet fysiek van mij stelen, mijn telefoon echter wel. Neem aan dat het programma iets van 'history' opslaat welke sites je met de methode inlogt, kunnen ze daar meteen ook in.

Maar als het dan combineren (eerste user/WW dan met de telefoon), vind ik het wel beeje dubbelop werk, en hoe snel kan je zoiets over zetten/uit laten zetten als je telefoon kapot is/gestolen?

An sich een erg leuk concept, maar in mijn geval (ik wissel enorm veel van ROM's) nog niet echt functioneel.

Verwijderd @SinergyX • 28 januari 2011 16:37

Onder water gebruiken we (open) standaard protocollen voor challenge/response authenticatie, in dit geval OATH/OCRA.

De use-case eerst username/password dan telefoon als tweede factor is met name interessant voor ons in de SURFfederatie; als we sterkere authenticatie nodig hebben voegen we de telefoon toe als tweede factor.

Inmiddels hebben we ook 2-factor ingebouwd op de telefoon; je moet dan voordat je kunt inloggen een PIN code ingeven op de telefoon.

PcDealer @Verwijderd • 29 januari 2011 09:56

Wij implementen ook two factor authenticatie op basis van een remote access appliance die een een sms stuurt naar de mobiele telefoon van de user die deze moet ingeven op de pc, smartphone, laptop etc. naast een username/password.

eymey

28 januari 2011 13:50

Hmmm, leuk initiatief! Vooral de versie met het scannen van de QR code.

Maar verder lijkt zeker de eerste beschreven techniek me niet heel nieuw: Dat lijkt me namelijk geowon een geval van "One Time Password" authenticatie en daar bestaan al langer allerlei toepassingen voor om ook je smartphone als OTP calculator te gebruiken.

Midpitch 28 januari 2011 13:47

Leuk dat het open source is, maar dit wordt door batlenet toch al jaren gedaan?

MSalters

Nederland

@Midpitch • 28 januari 2011 19:21

Nee. Het scannen van een qr code van het scherm is een essentieel verschil. Dat maakt een aantal mitm attacks onmogelijk.

jordi.c 28 januari 2011 14:34

Hmmm... doe mij maar Lastpass met Yubikey is ook two way authentication en veel makkelijker. Ik ga echt niet met een phone voor mijn beelscherm zitten nogal omslachtig (fail).

Houtenklaas @jordi.c • 28 januari 2011 17:25

Met een phone voor je beeldscherm omslachtig??? Zeg je nou dat je te lui bent om je arm op te tillen???

Wat ik hier HET grote prettige voordeel vind is dat het opensource is. Gaten (als die er al in zouden zitten, zijn direct aantoonbaar, net als de sterkte van de autenticatie. Dat kan ik van Lastpass niet zeggen. Ik heb geen idee hoe goed hun applicatie beveiligd is ... En dan Yubikey, op mijn werk zou dat onbruikbaar zijn vanwege de USB poorten die daar potdicht zitten (security). Vanuit security oogpunt is de camera/scherm optie een briljant idee en worden keyloggers direct buiten spel gezet.

Leuk idee: met een dubbele camera zou je ook nog met gezichtherkenning kunnen werken naast de in het artikel genoemde toepassing.

Ruudjah 28 januari 2011 13:49

"We hebben het ontwikkeld met publiek geld, dus de techniek hoort in het publieke domein. Zowel de serverkant als de bron van de apps wordt via opensource beschikbaar gesteld onder een BSD-licentie."

Hulde! Kunnen veel (semi-) overheidsinstellingen een voorbeeld aan nemen.

Verwijderd 28 januari 2011 14:32

COOL... ik had in verlengde hiervan ook een mooi systeem bedacht in de zin van gat in de markt.
Misschien snel eens even contact opnemen, want het is gelukkig een Nederlandse firma.

Verwijderd 28 januari 2011 15:41

Leuke techniek

Bij mij op de opleiding (Windesheim) moet ik drie keer inloggen om bij m'n opdrachten te komen, heb dan liever zoiets als dit!

pheppy 28 januari 2011 18:03

Waarom zou ik dit niet met een andere telefoon (of sim) kunnen doen dan de telefoon (of sim) die geregistreerd is voor betreffende persoon. Zit er bijvoorbeeld een goed beveiligde sleutel op de sim?

Killerbert 29 januari 2011 02:46

ik vind dit een erg mooie nieuwe manier van 'Access Control' en ik hoop dat deze manier in de toekomst door vele websites wordt toegepast $_/-\o_$

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (22)

Sorteer op:

Weergave: