Access control

Hoe uitgebreid of geavanceerd de beveiliging van een computersysteem ook is, authenticatie blijft altijd een kritieke schakel. Is de persoon of het systeem wat zich probeert aan te melden ook werkelijk de persoon of het systeem waarvoor hij zich uitgeeft? Toegang verlenen op basis van de juiste gegevens aan de verkeerde persoon of systeem maakt elke verdere vorm van beveiliging nutteloos.

De meest eenvoudige en meest gebruikte methode van authenticatie is de gebruikersnaam en wachtwoord. Deze methode kent echter grote zwakheden, zoals eenvoudig te achterhalen wachtwoorden, het opschrijven van wachtwoorden en het delen van wachtwoorden. In theorie worden deze zwakheden voorkomen door het afdwingen van lange, complexe wachtwoorden die periodiek veranderd moeten worden.

In de praktijk blijken deze maatregelen het probleem alleen maar te verslechteren. Een gebuiker is eenvoudig niet in staat om al deze wachtwoorden te onthouden, zeker niet als de gebruiker beschikt over meerdere accounts voor toegang tot verschillende systemen. Hierdoor zullen gebruikers een (eenvoudig te raden) systematiek tussen hun wachtwoorden aanbrengen en/of de wachtwoorden opschrijven.

Het meest serieuze beveiligingsrisico ontstaat wanneer gebruikers overal hetzelfde wachtwoord gaan gebruiken, zowel privé als zakelijk: een willekeurige websitebeheerder beschikt plotseling over de juiste authenticatiegegevens die toegang geven tot uw bedrijfsnetwerk!

Multi-factor authenticatie

    Deze status quo tussen beveiliging en bruikbaarheid is eenvoudig te doorbreken door de toepassing van multi-factor (strong) authenticatie. Multi-factor maakt gelijktijdig gebruik van minimaal twee van de volgende factoren:
  • Something you know - bijvoorbeeld een wachtwoord of een PIN code
  • Something you have - bijvoorbeeld een smartcard of een electronisch token
  • Something you are - bijvoorbeeld een biometrisch kenmerk zoals vingerafdruk of irrisscan
  • Where you are - bijvoorbeeld locatie afhankelijke authenticatie en/of authorisatie

Een alledaags voorbeeld is Internet bankieren. Hierbij wordt gebruik gemaakt van something you know (uw pincode) en something you have (uw bankpas/calculator), die samen een unieke éénmalige authenticatiecode genereren. Een voorbeeld van locatie afhankelijke authenticatie is dat op authenticatie over het Internet zwaardere eisen worden gesteld dan authenticatie binnen de muren van de organisatie. Tevens kunnen beperkingen opgelegd worden welke informatie via het Internet beschikbaar is, zoals wel toegang tot e-mail maar geen toegang tot een gevoelig financiëel systeem.


eXcellence & Difference heeft ruime ervaring met het toepassen van multi-factor authenticatie binnen computernetwerken. Dit kunnen wij als onderdeel van een volledig Identity & Access Management traject, maar ook als puntoplossing in uw huidige omgeving. Afhankelijk van uw voorkeuren, kunt u denken aan secure authenticatie op basis van biometrie (vingerafdruk), smartcards of RSA tokens. Met relatief beperkte middelen wordt uw toegangscontrole sterk verbeterd en neemt het gebruiksgemak toe.

Enterprise Single Sign-On (eSSO)

Enterprise Single Sign-On betekend dat, nadat een gebruiker éénmalig is geauthenticeerd, alle verdere toegang tot applicaties en gegevens binnen (en soms buiten) de organisatie transparant kan plaatsvinden (zonder verdere authenticatie zoals wachtwoord prompts). Vanuit gebruikersoogpunt is dit een zegen, terwijl ook de beveiliging toeneemt doordat wachtwoorden niet meer worden vastgelegd op 'geeltjes', vastgeplakt op de monitor. Uiteraard dient de initiele authenticatie veilig, en dus multi-factor, plaats te vinden.


Binnen een volledige Identity & Access Management framework wordt al bij het ontwerp rekening gehouden met eSSO. Op de achtergrond spelen technieken als Kerberos, Federation en account/password synchronisation een rol.


SSO kan ook zonder volledig IAM framework, dus als puntoplossing, worden toegepast. Hierdoor krijgt de gebruiker de mogelijkheid om verdere authenticatiegegevens veilig op te slaan. Bij het eerste bezoek aan een beveiligde applicatie of website zal het systeem de authorisatiegegevens vragen. Bij alle verdere bezoeken zal het systeem automatisch, vanuit een beveiligde en versleutelde cache, de juiste authenticatiegegevens invoeren. Deze authenticatiegegevens zitten direct gekoppeld aan de initiële identiteit en komen dus pas beschikbaar na een succesvolle initiéle authenticatie.

Authasas strong authentication middleware

X'nD heeft goede ervaringen met de middleware van Authasas, zoals bij een gecombineerde smartcard en biometrische autthenticatie implementatie voor de Hoge Raad der Nederlanden.

De Authasas software integreert naadloos in een Microsoft Active Directory omgeving. Na uitrol kan een gebruiker op eenvoudige en natuurlijke, maar zeer veilige wijze, inloggen met bijvoorbeeld een vingerafdruk, een smartcard of een SMS one-time password. Ook Enterprise SSO behoort tot de mogelijkheden.

[Authasas flash video toevoegen]

Highlights

  • Authenticatie = Identiteit vaststellen
  • Zwakke authenticatie maakt elke verdere beveiliging nutteloos
  • Username/password = zwakke authenticatie
  • Indien intern/extern zelfde wachtwoord gebruikt wordt ontstaat een zeer groot beveiligingsrisico, doordat externe webmaster over interne authenticatiegegevens beschikt!
  • Multi-factor (strong) authenticatie
  • Enterprise Single Sign-On (eSSO)
  • Authasas middleware