Superveilige authenticatie lijkt wel een mythe: iedereen denkt dat het bestaat, maar in de praktijk blijkt niemand dat echt in huis te hebben.

Zodra beheerders beslissen om de inlogprocedures veiliger te maken, begint immers de gruwel voor de gebruiker. Zeker als willekeurige wachtwoorden van een bepaalde minimumlengte toegewezen worden aan de gebruikers. Dat is veilig, maar gebruikers kunnen zoiets niet onthouden. En dus zullen ze het wachtwoord op een papiertje schrijven en op hun werkplek bewaren. Dan heb je wel een superveilig wachtwoord, maar even goed geen veiligheid.

Een alternatief is bijvoorbeeld een usb-token. Dat token vervangt dan het intikken van een gebruikersnaam en -wachtwoord. Dat werkt prima, alleen weet u niet of het token ook door een geautoriseerd persoon wordt gebruikt.

Vandaar dat een token vaak toch weer gecombineerd wordt met een inlogprocedure met pincode of eenvoudig wachtwoord. Alleen werkt dat dan met twee onveranderlijkheden: het token zelf en de extra inlog. Beide kunnen dus gestolen worden en dan bent u weer bij af.

Tijdgesynchroniseerde tokens

RSA gebruikt een ander concept, namelijk dat van een tijdgesynchroniseerd token. Het token zelf dient niet fysiek voor de authenticatie, maar toont op een lcd-schermpje een zescijferige code die verandert om de minuut verandert.

Het idee is dat een gebruiker een pincode plus die zescijferige tokencode gebruikt om in te loggen. De zescijferige tokencode is veilig omdat die om de minuut verandert en dus niet nagemaakt kan worden en de bijkomende pincode garandeert dat de gebruiker is wie hij moet zijn.

Een pincode is voor de meeste gebruikers vrij gemakkelijk te onthouden, waardoor ze minder vlug in de verleiding zullen komen die te noteren. Omdat het RSA-token niet in een pc gestoken maar wel bekeken hoeft te worden, is de ideale plek voor veel gebruikers voor dat token de sleutelbos. Het token heeft dan ook een ringetje bovenaan speciaal om het aan een sleutelbos te hangen. Zoiets zou al moeten garanderen dat gebruikers er zorgvuldiger mee zullen omgaan: verlies van het token betekent immers ook het verlies van hun hele sleutelbos.

De tokens gebruiken een door RSA ontworpen algoritme om elke minuut een nieuwe unieke zescijferige code te berekenen. De RSA SecurID-appliance heeft datzelfde algoritme aan boord en kan dus aan de hand van het identificatienummer van een token berekenen welke cijfercode momenteel zichtbaar is op het lcd-paneeltje van dat token. Dat werkt alleen maar als de RSA SecurID-appliance een nauwkeurige tijdsinstelling heeft, want alleen dan is die gesynchroniseerd met de tijdsmeting in de SecurID-tokens.

Appliance

Het hele systeem werkt met behulp van de RSA SecurID-appliance. Dat is een één 19-inchrekeenheid hoge appliance die u in uw computerruimte kunt monteren of desgewenst op een andere locatie. Er is immers geen enkel contact tussen de tokens en de appliance, u hoeft dus ook nergens rekening mee te houden.

De appliance heeft uiteraard een netwerkaansluiting en daarmee kan een beheerder de ingebouwde webinterface bereiken om het systeem mee te beheren. Verder zal een op de te beveiligen systemen geïnstalleerde RSA Authentication Agent contact opnemen met die appliance via die netwerkaansluiting.

De RSA SecurID appliance blijkt als besturingssysteem een Windows 2003 Server te gebruiken. Eenmaal dat de appliance geconfigureerd is en draait, zult u als beheerder alleen via de webinterface met het toestel werken.

Installatie

De initiële configuratie verloopt via een webwizard die alle benodigde instellingen doorloopt. U mag die instellingen overigens afbreken wanneer u maar wil en de appliance onthoudt dan wat u al ingesteld hebt: u hoeft dus niet iedere keer opnieuw te beginnen.

De basisinstellingen omvatten de netwerkinstellingen, configuraties voor een tijdserver (zeer belangrijk voor de goede werking van het tokensysteem), de licenties voor het systeem en de toewijzing van één token voor de beheerder van het systeem nadat de SecurID-'zaden' voor de aangekochte tokenverzameling van een cd zijn ingelezen.

Bij die toewijzing wordt ook de server met het token gesynchroniseerd. Dat werkt doordat de beheerder bij de toewijzing van zijn token twee opeenvolgende getoonde codes moet doorgeven aan de appliance. Daarmee heeft de appliance alle gegevens om zelf met succes de juiste codes voor alle tokens in de verzameling te genereren.

Configuratie

Nadat de beheerder zichzelf een token en een pincode heeft toegewezen, zal de appliance voortaan deze tokeninlog verlangen voor het inloggen op de beheerwebinterface.

De volgende stap is het toevoegen van gebruikers. U definieert voor elke gebruiker die u een token wil toekennen een voor- en familienaam plus een gebruikersnaam en dan het serienummer van het token dat u toewijst. Er is standaard helaas geen manier voorzien om de gebruikersnamen uit het directorysysteem van het bedrijfsnetwerk te halen. Dat pleit ervoor om de tokens te beperken tot personeel dat met de meest gevoelige data werkt.

Om de gebruikers de tokeninlog te laten gebruiken, moet die eerst gekoppeld worden aan een netwerkbron. Dat gebeurt met behulp van de RSA Authentication Agent. Die kunt u downloaden van de website van RSA voor zowat alle mogelijke platforms. Een voor de hand liggende netwerkbron is een webserver of website en eventueel bepaalde onderdelen daarvan, waarvoor een inlog vereist is.

U installeert de RSA Authentication Agent op de server waarvan u de netwerkbron wenst te beschermen. Bij een webserver kunt u bijvoorbeeld opgeven welke pagina's u wenst te beschermen. Na de installatie zal elke toegang tot de aldus beschermde netwerkbron een inlog vereisen met een gebruikernaam en een wachtcode.

Die wachtcode is de combinatie van een pincode met een tokencode. In het webbeheer van de appliance koppelt u een gebruiker aan de Agent Host om hem toegang te verschaffen. Behalve webservers kunt u op deze manier ook besturingssystemen, VPN's, applicatieservers en toegang op afstand beveiligen met deze SecurID-inlog.

Overigens noemt men deze methode van inloggen ook wel een tweefactorauthenticatie, omdat de authenticatie tot stand komt met iets dat gebruikers kennen (hun pincode) en iets dat ze hebben (hun tokencode).

Gebruik

De RSA SecurID-appliance kan zowel in grote als in kleinere ondernemingen gebruikt worden. U kunt meerdere appliances opstellen die dan elkaars replica zijn. Het systeem kan van 10 tot 50.000 gebruikers ondersteunen.

Bij grotere hoeveelheden gebruikers is het natuurlijk niet meer praktisch om elke gebruiker manueel aan een token te moeten gaan koppelen. Daarvoor biedt RSA de RSA Deployment Manager, waarmee u op een eenvoudige manier tokenuitreikingen kunt beheren.

Hetzelfde authenticatiesysteem bestaat trouwens ook in een software-editie: de RSA Authentication Manager. Ook die kan samenwerken met de appliance waarbij de een een primair systeem is en de ander een replica.

De tokens zelf hebben een vastgelegde geldigheidsduur van drie, vijf of zeven jaar en hun batterij zal dus minstens zolang meegaan. Na de vastgelegde geldigheidsduur stopt zo'n token en toont dan een bericht dat het vervallen is. U moet het dan vervangen.

Er is overigens geen licentiebeperking inzake het aantal gebruikers dat u kunt ondersteunen via de RSA SecurID appliance. RSA voorziet ook een migratiemogelijkheid om u te laten migreren van een software-oplossing naar de appliance (of omgekeerd).

Conclusie

De RSA SecurID-appliance voorziet in een gemakkelijk te beheren methode voor het bieden van een veilige tweefactorauthenticatie die vanaf elke locatie bruikbaar is, dus ook op hotel of thuis.

Op www.rsasecured.com kunt u een lijst vinden van alle producten van derden die RSA SecurID specifiek ondersteunen. Dit systeem verdient dus zeker uw aandacht als u een veilige inlogprocedure wenst die geen zware eisen stelt aan de gebruikers. Bron: Techworld