ArtikelfilterBedrijven onveilig door gebrekkige authenticatie
Veel van de beveiligingsproblemen die nu het nieuws halen, hebben een gezamenlijk kenmerk: de authenticatie is te simpel om te omzeilen. Meerdere lagen van beveiliging zijn nodig.
Deze week werd bekend dat het kinderlijk eenvoudig is het betaalsysteem bij de Albert Hein te foppen met een vingerafdruk van een andere persoon. Ook rond de OV-chipkaart rommelt het al langer. Toch zijn de problemen niet beperkt tot betalingssystemen alleen, want bedrijven verlenen nog te vaak toegang aan medewerkers en bekenden via een enkele vorm van authenticatie.
Volgens het gerenommeerde beveiligingsbedrijf Fox-IT is dat niet meer van deze tijd. "Juist bij de vingerafdruk zou je de verwachting hebben dat een betaling nog met een pincode beveiligd zou zijn", verzucht Ronald Prins, directeur van Fox IT. "Een vingerafdruk is nu eenmaal eenvoudig na te maken. Het verbaasde me dan ook dat het nog zo lang heeft geduurd voordat dit probleem bij Albert Hein werd blootgelegd."
Modernisme in een oude jas
Dat Prins verbaasd is over de periode van twee weken dat het duurde voor het nieuws in de wereld kwam, is eenvoudig te verklaren. Al in 1990 verscheen er een paper over het falen van de vingerafdruk, terwijl in 2004 de Duitse Chaos Computer Club een demonstratie voor toegang tot de
computer gaf. Die laatste proef werd in November 2007 herhaald voor het betalen in een Duitse supermarkt. Dat biometrie voor authenticatie zo populair is, komt volgens hem omdat
het modern lijkt. Hij vreest dan ook dat het vooral gebruikt wordt om aandacht te krijgen. "Je ziet ook dat als wij bezig zijn een goed beveiligd systeem te bouwen dat we wel hele goede redenen moeten hebben om voor biometrie te kiezen."
Bijna nooit goed
Een factorauthenticatie bijna nooit goed. Vanuit beveiligingsoogpunt is het probleem dat voor het authenticeren van mensen er drie mogelijkheden zijn. Zo is er iets wat iemand moet weten als een gebruikersnaam en wachtwoord of een pincode ('iets wat je weet'). Ook kan het zijn dat iemand iets heeft als bijvoorbeeld een toegangspas ('iets wat je hebt'). Tot slot merkt de industrie ook 'iets wat je bent', waarbij biometrie om de hoek komt kijken. Dat laatste is natuurlijk ook een bezit, omdat een vingerafdruk nu eenmaal ook iets is wat iedereen heeft.
Buitenlands nieuws
- 03 september 15:00 – The state of the scripting universe
- 11 juni 17:04 – Mobile operators claim falling data roaming prices in Europe
- 10 juni 23:56 – Microsoft hires anti-phishing crusader
- 09 juni 11:18 – Samsung launches iPhone-like Omnia handset
- 06 juni 11:56 – Do geeks make good jurors in tech cases? Not always
