image

Pro's verliezen vertrouwen in hardware tokens

maandag 12 december 2011, 16:33 door Redactie, 11 reacties

Bijna een kwart van de Britse bedrijven heeft vanwege een verloren of gestolen hardware token, met een beveiligingsincident te maken gekregen. Restaurants, wasmachines, toiletten, treinen en taxi's zijn plekken waar regelmatig tokens worden gevonden. Driekwart van de honderd ondervraagde IT-beslissers heeft het vertrouwen in hardware tokens dan ook verloren. Niet door het eigen personeel dat de apparaten verliest, maar vooral de inbraak bij token-aanbieder RSA zorgt ervoor dat bedrijven aan de technologie twijfelen.

Vier van de vijf grote organisaties gebruiken hardware tokens als authenticatiemiddel. Een derde heeft echter geen alternatieve authenticatiemethode. 38% van deze bedrijven zegt nooit over een alternatief te hebben nagedacht, terwijl 38% de kosten van een alternatief als grootste obstakel noemt, aldus onderzoek van Entrust.

Reacties (11)
12-12-2011, 17:09 door Anoniem
Hmm, sterke authenticatie is ook het combineren van iets wat je hebt (bv. een token) met iets wat je weet (typisch een wachtwoord). Dus je hebt een dubbele bescherming, als het een gecompromitteerd raakt kom je nog steeds niet binnen.
12-12-2011, 17:10 door spatieman
no shit.
maar USB sticks mogen wel verloren gaan..
12-12-2011, 18:17 door Anoniem
Door Anoniem: Hmm, sterke authenticatie is ook het combineren van iets wat je hebt (bv. een token) met iets wat je weet (typisch een wachtwoord). Dus je hebt een dubbele bescherming, als het een gecompromitteerd raakt kom je nog steeds niet binnen.

Je vergeet er een : iets wat je bent (bijvoorbeeld irisscan, vingerafdruk)
Alle drie worden ook wel three way authentication genoemd.
12-12-2011, 18:49 door Anoniem
Redenatie is niet mijn sterkste punt, maar als je eerst schrijft dat tokens vaak in publieke gebieden gevonden worden en 75% van IT-beslissers het vertrouwen dan ook in de tokens heeft verloren...hoe kan dat dan plots eigenlijks door de inbraak bij RSA komen....

Nmm heeft het verlies van al die tokens er kennelijk helemaal niets mee te maken? Persoonlijk zou ik dat zeer op prijs stellen, want ik heb liever dat die beslissers een oncontroleerbaar bagatelliserend verhaaltje van een commercieel bedrijf als RSA niet vertrouwen dan dat ze twijfelen aan het systeem zelf - waar het verlies van die tokens zelf in is ondervangen. Het verlies van de gegevens bij RSA is een heel ander verhaal.
12-12-2011, 18:59 door Anoniem
Ik vraag me af of ze single factor tokens bedoelen, of 2 factor tokens of zelfs meer factoren? Ik krijg het idee dat het single factor tokens zijn. Als je die op straat verliest, en je zet de naam van het bedrijf er ook nog op, ja dan heb je wel een probleem. Maar als je 2 factor tokens hebt, heb je aan het hardware device zelf nog niets. Dan moet je al iemand gaan observeren en gericht dat betreffende token stelen, voordat het zin heeft. Brute force attacks hebben weinig zin, want ze blokkeren allemaal na een aantal pogingen. En daarnaast kun je de tokens min of meer blanco laten, waardoor de vinder geen idee heeft waarvoor het token bruikbaar is.

Kortom, beetje weinig informatie in dit artikel. Misschien moet ik dat rapport van Entrust maar even gaan lezen...
12-12-2011, 19:06 door Anoniem
Nou, ook na het lezen van het oorspronkelijke artikel, weet je nog niet veel meer. Het zal dus wel single factor tokens betreffen.
Overigens ben ik het wel eens dat het zinvol is om ook naar alternatieve tokens te kijken. Uiteindelijk wordt elk authenticatiemiddel een keer gebroken, en dan is het toch wel prettig om nog een manier te houden om je werknemers (of klanten) op een enigszins veilige manier toegang te kunnen geven. Zo niet, dan kan dat wel eens het einde van je bedrijf betekenen (afhankelijk van het type bedrijf natuurlijk).
12-12-2011, 21:54 door Anoniem
Daar komt bij dat je individuele tokens ongeldig kunt maken zodra ze vermist zijn. Dit in tegenstelling tot usb sticks.
En mocht men willen weten welke tokens vermist zijn, kun je inventariseren wel tokens nog wél aanwezig zijn. De vermiste invalidaar je dan gewoon. Dit in tegenstelling tot wachtwoorden, waarvan je de "vermissing" lastig kunt vaststellen.
Niet dat ik ooit zo'n inventarisatie heb meegemaakt, dat dan weer wel.
13-12-2011, 07:28 door [Account Verwijderd]
[Verwijderd]
13-12-2011, 09:32 door N4ppy
Wat een onzin weer. Die lopen ook zeker te zeuren dat ze geen vertrouwen hebben in sleutels die mensen kwijt raken.

Nou ik heb geen vertrouwen meer in blacjberries, mobiele telefoons, laptops, papier. Raken mensen ook allemaal kwijt. ;)

Het is een combinatie van usernaam, password (dat regelmatig aangepast moet worden), token (zodat er niet (makelijk) een sessie elders opgezet kan worden), blocken na x mislukte pogingen, logfiles, daadwerkelijk nakijken van die logfiles en opleiding van je gebruikers: Twijfel over je token (of andere asset) dan, tijdelijk, blokeren. Niet gevonden uit de pool en een nieuwe.
13-12-2011, 17:24 door Night
Iets hebben impliceert eigenlijk al dat je iets ook kunt kwijtraken, hetzij door verlies hetzij door diefstal.
Maar meer factor authenticatie systemen zijn toch ontworpen met dat in het achterhoofd. Token kwijt -> blokkeren

Misschien snap ik de boodschap niet...
16-12-2011, 21:34 door Anoniem
Niet teveel tijd aan besteden. Slager keurt zijn eigen vlees. Concurrent RSA is slecht en Entrust heeft natuurlijk de oplossing...Risk based authenticatie, maar dat biedt RSA, CA en nog vele anderen. Wij van WC eend...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.