Eén smartcard voor al je wachtwoorden

Test: Vasco DigiPass SmartPack for Windows

Een computergebruiker heeft tegenwoordig voor van alles en nog wat inloggegevens nodig. Inloggen is alleen veilig als de gebruiker telkens unieke inlognamen of wachtwoorden gebruikt. Vasco biedt met de DigiPass SmartPack een gebruiksvriendelijke oplossing voor het onthouden van al die inloggegevens.

Een Vasco DigiPass SmartPack bestaat uit software, twee smartcards voor eindgebruikers en optioneel ook usb-chipkaartlezers. De usb-chipkaartlezer moet in ieder geval in het systeem geïnstalleerd zijn voor de installatie van de DigiPass SmartPack software begint. Daarna kun je de DigiPass-smartcard gebruiken voor alle inlogprocedures waarbij je een naam en wachtwoord of eventueel alleen een wachtwoord moet intikken. DigiPass past een zogenaamde tweefactor-authenticatie toe: zowel het insteken van de kaart als het intikken van een pincode zijn noodzakelijk om je succesvol aan te melden. Als de kaart er eenmaal insteekt, is voor nieuwe inlogs alleen het intikken van de kaartpincode nodig. De software vult dan automatisch het bij het inlogvenster horende wachtwoord en de gebruikersnaam in. De gebruikersnaam- en wachtwoordcombinaties slaat het systeem versleuteld op de kaartchip op. Je kunt de inloggegevens en sleutels dus ook meenemen naar een andere pc of notebook door de kaart gewoon daar in de lezer te stoppen (natuurlijk moet dan wel de software actief zijn). Vasco voorziet ook in een ‘single sign-on’ (een enkele inlog voor alle diensten).

Gebruik

Omdat de kaartlezer en software op individuele pc’s staan, werkt de beveiliging ook als een pc van het netwerk afgekoppeld wordt. Het systeem werd ontworpen om alle vormen van inloggen aan te kunnen. Voor complexere inlogprocedures (zoals die van SAP) is er een speciale macrorecorder om toetsenbord- en muisevents aan te leren. Verder kun je configureren wat er moet gebeuren als een kaart verwijderd wordt uit de lezer. Het werkstation kan vergrendeld of uitgeschakeld worden, of de gebruiker uitgelogd. De roll-out vereist een minimaal beheer, omdat gebruikersauthenticatiegegevens automatisch vergaard en gesynchroniseerd worden wanneer er voor de eerste keer wordt ingelogd. Systeemlogons kunnen naast de gebruikelijke naam/wachtwoordcombinaties ook certificaatgebaseerd zijn. Dan moet je een ‘Smart Certificate Store’ (certificatenopslag) hebben en dat is dus ook mogelijk met de SmartPack. Je moet wel kiezen tussen beide systemen, want ze kunnen niet gelijktijdig gebruikt worden.

Pin en puk

Voor het dagelijks gebruik werk je met de pincode. Alleen als de kaart misbruikt zou worden en iemand meermaals een verkeerde pincode invoert, blokkeert het systeem de pincode op de kaart en moet je een speciale pukcode (personal unblocking key) invoeren om die weer te deblokkeren. Voer je ook de pukcode meermaals verkeerd in, dan wordt de hele kaart geblokkeerd. Zo zou het risico van diefstal van authenticatiegegevens zo goed als uitgesloten moeten zijn. In feite krijg je twee soorten pincodes en pukcodes: een voor encryptie en een voor digitale ondertekeningen. Om in te loggen gebruik je de encryptie-pincode, omdat de gegevens versleuteld bewaard worden op de chip. De ‘Signature pin’ dient voor het digitaal ondertekenen van documenten en e-mails.

Praktijk

Als alle inloggegevens in het systeem zijn ingevoerd (dit kan gewoon terwijl de pc gebruikt wordt), blijkt het zeer eenvoudig om alleen maar de kaart en een eenmalige pincode te hoeven gebruiken. Je kunt zelfs verschillende inlogs op meerdere pc’s bijhouden. Ook het inloggen op webpagina’s met IE werkt prima. We hebben het ook met Firefox geprobeerd, maar dat bleek niet te werken. In tegenstelling tot IE herkent de DigiPass software bij Firefox niet zelf de inlogvelden op een webpagina. We probeerden het vervolgens met de applicatiebeheerder. Die bevat een soort navigatieroos die je kunt slepen naar de inlogvelden en dan herkent hij die wel. Met behulp van een macrorecorder kan de inlogprocedure dan vastgelegd worden. Probleem is echter dat bij een webpagina veel teksten en titels niet constant blijven. Daardoor komt het er uiteindelijk op neer dat de inlog onder Firefox dus toch nog zelf ingetikt moet worden. Het systeem is dus niet compatibel met Firefox. Dat vinden we tegenwoordig toch niet meer acceptabel. Zeker gezien het feit dat het marktaandeel van Firefox nog dagelijks stijgt en veel gebruikers en beheerders juist de voorkeur geven aan deze browser om veiliger te kunnen surfen! Vasco zou daar iets aan moeten doen. Aangezien Firefox een gestandaardiseerd soort applicatieplugins ondersteunt voor alle producten van de Mozilla-groep, zou het geen groot probleem mogen zijn om de benodigde ondersteuning in te bouwen.