'Wachtwoord is te weinig voor authenticatie'

Organisatieadviesbureau Andersson Elffers Felix (AEF) zocht naar authenticatiemethoden waarbij de medewerkers niet alleen een wachtwoord, maar ook een fysieke token moeten gebruiken voordat ze op locatie met hun notebook het bedrijfsnetwerk op kunnen.

Hoe zorgen we ervoor dat alleen onze medewerkers toegang hebben tot hun notebooks en het netwerk van ons bedrijf? Het is een veelgestelde vraag die ook speelde bij organisatieadviesbureau Andersson Elffers Felix (AEF). Consultants van het Utrechtse bedrijf werken vaak onderweg en op locatie bij opdrachtgevers in de overheid en semi-overheid. AEF vond de oplossing voor mobiele authenticatie in een usb-smartcard met ingebouwde rfid-chip en een geïntegreerde verstrekker van eenmalige wachtwoorden (one-time passwords, OTP).

Niet alleen een wachtwoord

"We zochten naar een methode waarbij de identiteit van de gebruiker niet alleen met behulp van een wachtwoord wordt vastgesteld", vertelt Sjoerd Ypma. Hij is binnen AEF verantwoordelijk voor de ict en dus voor de implementatie van de authenticatie-oplossing. "Het is veel beter om het te combineren met iets wat je bij je draagt. Een token bijvoorbeeld." Uiteindelijk koos het adviesbureau voor de oplossing van Aladdin. Dat is een leverancier van fysieke en softwarematige beveiligingsproducten.

Ypma: "We hebben altijd sterk ingezet op veilige authenticatie bij bedrijfstoegang via internet. De eerdere tokens die we hadden, waren onvoldoende gebruiksvriendelijk. Bovendien waren ze alleen gebaseerd op de verstrekking van eenmalige wachtwoorden. Daarbij krijg je elke keer dat je inlogt een nieuwe reeks getallen toegewezen. Onze nieuwe tokens zijn gebruiksvriendelijker en bieden de gebruiker de mogelijkheid zich op meerdere manieren te authenticeren: via eenmalige wachtwoorden, via een certificaat op de usb-kaart en met behulp van de rfid-chip in de kaart."

Paspoort

Op de smartcard zit een usb-slot met een authenticerend certificaat. "Zie het als een soort paspoort. Samen met het unieke wachtwoord verleent deze de gebruiker toegang tot het bedrijfsnetwerk en de laptop", aldus Ypma. De rfid-chip geeft fysiek toegang tot het kantoor. Dat laatste is volgens de ict-manager belangrijk in verband met de voortdurende in- en uitstroom van werkstudenten en stagiairs. "De token heeft diverse sleutelfuncties in één card. Dit werkt makkelijker dan het hebben van 3 losse apparaten."

In oktober 2008 begon AEF met de gefaseerde invoering van de authenticatiemethode. Het bureau werd daarbij geadviseerd door B-able. Om een korte doorlooptijd te realiseren, maakte dat bedrijf voor de implementatie gebruik van de diensten van Avnet.

Facultatief

De consultants van het adviesbureau gebruiken nu in elk geval de eenmalige wachtwoorden voor het op afstand inloggen op het bedrijfsnetwerk. Het gebruik van de usb-smartcard op notebooks en werkstations is nog facultatief. "Uiteindelijk wordt de combinatie van smartcard en wachtwoord verplicht bij het inloggen", zegt Ypma. Hij verwacht dat dat in het tweede kwartaal van 2009 gebeurt.

Het de bedoeling dat het adviesbureau in de tweede helft van 2009 alle extra wachtwoorden heeft uitgebannen en dat gebruikers alle bedrijfstoepassingen kunnen openen na één enkele inloghandeling (single sign-on). De ict-manager verwacht echter dat dit nog de nodige voeten in de aarde zal hebben.

Smartphones

Een andere uitdaging voor Ypma vormen mobiele apparaten als pda's en smartphones. "De authenticatie-oplossingen voor notebooks zijn redelijk uitgekristalliseerd, maar voor pda's en smartphones nog niet. En dat terwijl die steeds vaker worden gebruikt. Er is een langzame trend naar smartphones."

Medewerkers van het adviesbureau die een pda hebben, gebruiken voor de beveiliging van hun gegevens de software van Utimaco Safeguard. "Safeguard versleutelt het apparaat totdat je een wachtwoord ingeeft. Als je het toestel langere tijd niet gebruikt, zet het programma hem weer op slot", aldus de ict-manager. Volgens hem is Utimaco Safeguard echter nog niet ver genoeg doorontwikkeld voor gebruik op smartphones zonder touchscreen. Daarom worden nu steeds procedurele afspraken gemaakt met medewerkers die een smartphone gebruiken. Ze worden gewezen op de gevaren van onbeveiligde mobiele apparaten.

Bluetooth

Voor de toekomst hoopt Ypma op een authenticatieoplossing die op korte afstand contactloos werkt. Hij denkt daarbij aan een token die bijvoorbeeld via Bluetooth de pda of smartphone ontgrendelt, zodra de gebruiker hem binnen bereik houdt. "Zoiets is in de zorg wel al in gebruik, maar volgens mij nog niet bij mobiele apparaten."