Archief
- De topics van lang geleden
Veilige webidentificatie
16-02-2004, 11:09 door Anoniem, 6 reacties
Ik ben opzoek naar de relatief best beveiligde, en tevens meest economisch
haalbare, beveiligingsmethode.
Eerst wil ik een zeer goed beveiligde (SSL) website maken. Een tweede
stap zou zijn, om dit te koppelen aan een Home Automation System,
waarmee verlichting e.d. via internet aangestuurd kan worden.
Ten eerste zou ik willen weten, welke hardware daarvoor ingezet kan
worden:
- irisherkenning
- vingerafdruk
- handpalmherkenning
- chipkaart
- magneetkaart
- dongle
- Stemherkenning
- Warmtepatronen
Omdat het interessant voor de kleingebruiker moet zijn, lijkt mij de
vingerafdrukherkenning en chipkaart het meest logische. Het is goedkoop.
Maar is het ook veilig genoeg? Waar zou ik op moeten letten.
Uiteraard zou ik ervoor kunnen kiezen om geen hardware te gebruiken,
maar alleen het invullen van username & wachtwoord. Maakt de hardware-
identificatie de zaak echt veiliger, of is het alleen maar makkelijker dan het
onthouden van een username en wachtwoord.
Het lijkt mij overigens, dat je een speciale applicatie moet schrijven om
data uit de, bv. smartcardreader te lezen, die dat vervolgens weer
doorspeelt naar de internetpagina. Dat zou dus betekenen, dat je naast de
smartcard+reader, ook nog altijd de applicatie bij de hand moet hebben. Of
kan een taal als PHP of Javascript direct de hardware van de gebruiker
benaderen?
Bij voorbaad dank voor je reactie!
haalbare, beveiligingsmethode.
Eerst wil ik een zeer goed beveiligde (SSL) website maken. Een tweede
stap zou zijn, om dit te koppelen aan een Home Automation System,
waarmee verlichting e.d. via internet aangestuurd kan worden.
Ten eerste zou ik willen weten, welke hardware daarvoor ingezet kan
worden:
- irisherkenning
- vingerafdruk
- handpalmherkenning
- chipkaart
- magneetkaart
- dongle
- Stemherkenning
- Warmtepatronen
Omdat het interessant voor de kleingebruiker moet zijn, lijkt mij de
vingerafdrukherkenning en chipkaart het meest logische. Het is goedkoop.
Maar is het ook veilig genoeg? Waar zou ik op moeten letten.
Uiteraard zou ik ervoor kunnen kiezen om geen hardware te gebruiken,
maar alleen het invullen van username & wachtwoord. Maakt de hardware-
identificatie de zaak echt veiliger, of is het alleen maar makkelijker dan het
onthouden van een username en wachtwoord.
Het lijkt mij overigens, dat je een speciale applicatie moet schrijven om
data uit de, bv. smartcardreader te lezen, die dat vervolgens weer
doorspeelt naar de internetpagina. Dat zou dus betekenen, dat je naast de
smartcard+reader, ook nog altijd de applicatie bij de hand moet hebben. Of
kan een taal als PHP of Javascript direct de hardware van de gebruiker
benaderen?
Bij voorbaad dank voor je reactie!
Reacties (6)
Ook een leuke methode is die van bijvoorbeeld ABN-AMRO
internetbankieren, waarbij je je chipcard in een apparaat
steekt dat challenges van responses voorziet.
Afhankelijk van de smartcard moet er een
applicatiegeschreven worden, ja.
Als je 2weg SSL toepast kun je gebruik maken van de PKCS#11
implementatie die bij de smartcard geleverd wordt (of zou
moeten worden), of van de CSP, als per se IE nodig is.
Overigens, door het implementeren van SSL wordt je website
niet veiliger, alleen de verbinding ermee.
internetbankieren, waarbij je je chipcard in een apparaat
steekt dat challenges van responses voorziet.
Afhankelijk van de smartcard moet er een
applicatiegeschreven worden, ja.
Als je 2weg SSL toepast kun je gebruik maken van de PKCS#11
implementatie die bij de smartcard geleverd wordt (of zou
moeten worden), of van de CSP, als per se IE nodig is.
Overigens, door het implementeren van SSL wordt je website
niet veiliger, alleen de verbinding ermee.
16-02-2004, 15:17 door
SirDice
Heb je al eens aan (RSA) tokens gedacht?
Verder lijkt mij de meest goedkope (en redelijke veilige) oplossing de 2weg
SSL (client + server certificaten) zoals hierboven beschreven.
En inderdaad wordt je website niet veiliger door het gebruik van SSL. Zo
kun je bijvoorbeeld nog steeds vatbaar zijn voor SQL injection, XSS en nog
meer.
Verder lijkt mij de meest goedkope (en redelijke veilige) oplossing de 2weg
SSL (client + server certificaten) zoals hierboven beschreven.
En inderdaad wordt je website niet veiliger door het gebruik van SSL. Zo
kun je bijvoorbeeld nog steeds vatbaar zijn voor SQL injection, XSS en nog
meer.
Bedankt voor jullie reacties. Het lijkt me ook het beste om in dit geval voor
softwarematige beveiliging te kiezen. Het moet redelijk simpel in gebruik
zijn, maar wel heel veilig.
Ik heb nu iets gevonden hoe RSA werkt. Dat is heel interessant. In
combinatie met SSL zou dat een goede beveiliging opleveren lijkt mij.
softwarematige beveiliging te kiezen. Het moet redelijk simpel in gebruik
zijn, maar wel heel veilig.
Ik heb nu iets gevonden hoe RSA werkt. Dat is heel interessant. In
combinatie met SSL zou dat een goede beveiliging opleveren lijkt mij.
Als je toch al met ssl(certificaten) bezig bent, kun je
natuurlijk meteen doorgaan met client-authenticatie op basis
van een certificaat.
Dan kun je alles in software gaan doen, maar ook het
implementeren van een smartcard + reader biedt dan
oplossingen om de toegang te regelen.
natuurlijk meteen doorgaan met client-authenticatie op basis
van een certificaat.
Dan kun je alles in software gaan doen, maar ook het
implementeren van een smartcard + reader biedt dan
oplossingen om de toegang te regelen.
Wacht dacht je van PKI? ealladin biedt (USB)etokens aan die pincode
beveiligd zijn. Hierop kan je vervolgens je certificaat zetten. Middels SSL en
Integrated Authentication kan je de domein users toegang geven tot de
website. Alleen mensen in het bezit van de unieke eToken kunnen dan
inloggen op de website. De Kosten hiervan blijven ook beperkt, daar eleke
pc tegenwoordig is voorzien van een USB poort
Een alternatief is een RSA/ACE server met securID. Ik heb ervaringen met
diverse systemen. Vingerafdrukherkenning is overigens af te raden, daar
deze niet helemaal veilig zijn.
beveiligd zijn. Hierop kan je vervolgens je certificaat zetten. Middels SSL en
Integrated Authentication kan je de domein users toegang geven tot de
website. Alleen mensen in het bezit van de unieke eToken kunnen dan
inloggen op de website. De Kosten hiervan blijven ook beperkt, daar eleke
pc tegenwoordig is voorzien van een USB poort
Een alternatief is een RSA/ACE server met securID. Ik heb ervaringen met
diverse systemen. Vingerafdrukherkenning is overigens af te raden, daar
deze niet helemaal veilig zijn.
Door Anoniem
Wacht dacht je van PKI? ealladin biedt (USB)etokens aan die pincode
beveiligd zijn. Hierop kan je vervolgens je certificaat zetten. Middels
SSL en
Integrated Authentication kan je de domein users toegang geven tot
de
website. Alleen mensen in het bezit van de unieke eToken kunnen
dan
inloggen op de website. De Kosten hiervan blijven ook beperkt, daar
eleke
pc tegenwoordig is voorzien van een USB poort
Een alternatief is een RSA/ACE server met securID. Ik heb ervaringen
met
diverse systemen. Vingerafdrukherkenning is overigens af te raden,
daar
deze niet helemaal veilig zijn.
Wacht dacht je van PKI? ealladin biedt (USB)etokens aan die pincode
beveiligd zijn. Hierop kan je vervolgens je certificaat zetten. Middels
SSL en
Integrated Authentication kan je de domein users toegang geven tot
de
website. Alleen mensen in het bezit van de unieke eToken kunnen
dan
inloggen op de website. De Kosten hiervan blijven ook beperkt, daar
eleke
pc tegenwoordig is voorzien van een USB poort
Een alternatief is een RSA/ACE server met securID. Ik heb ervaringen
met
diverse systemen. Vingerafdrukherkenning is overigens af te raden,
daar
deze niet helemaal veilig zijn.
Dit lijkt mij een goed idee. Vroeger met alleen PIN is eigenlijk
achterhaalt. Vingerafdrukken-affaire: helaas heb ik ook gezien hoe
makkelijk dat systeem is te omzeilen. Volgens mij is de beste
methode een combinatie van security-lagen, die elkaar in voldoende
maten aanvullen en verstrerken.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
