Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Magazine
  • Nieuwsbrief

Vijf tips voor veilige implementatie loginprocedure

Vijf
26 augustus 2019 - 09:104 minuten leestijdOpinieCloud & Infrastructuur
Mert Aybat
Mert Aybat

Met een mobiele app inloggen op een mijnomgeving? Of met je socialmedia-account een ‘third-party application’ benaderen? Zo eenvoudig als dit voor de gebruiker is, zo complex zijn de protocollen die dit achter de schermen regelen. Hoe richt je als dienstverlener het proces van berichten, codes en tokens uitwisselen veilig in?

Wie inlogt op een online dienst, zet een complex radarwerk in gang. Dat proces kan er bij gebruik van een broker als volgt uitzien:

  1. De gebruiker voert zijn gebruikersnaam en wachtwoord in voor authenticatie bij de identityprovider.
  2. De broker koppelt vervolgens een autorisatiecode van de identityprovider terug naar het apparaat van de gebruiker dat reageert met het verzoek om een access token te sturen.
  3. Met deze token kan de gebruiker de gewenste resources (zoals de accountgegevens) benaderen.

Ruimte voor hackers

Er zijn meerdere protocollen die een loginproces in goede banen kunnen leiden, waaronder de Security Assertion Markup Language (SAML). Met name in het groeiende ‘mobiele domein’ zien we dat het OpenID Connect-protocol steeds vaker wordt gebruikt. Dit protocol is gebaseerd op de OAuth 2.0-specificatie.

De populariteit van OAuth en OpenID Connect heeft een keerzijde: voor hackers wordt het aantrekkelijker om misbruik te maken van deze protocollen. Zo verspreidden Russische hackers in 2017 een valse veiligheidswaarschuwing, zogenaamd afkomstig van Google. In de melding riepen de hackers de slachtoffers op om ‘Google Defender’ te installeren. Wie op ‘Toestaan’ klikte, droeg echter zijn OAuth-tokens over aan de hackers. De aanvallers hadden vervolgens zonder wachtwoord toegang tot het Google-account van het slachtoffer.

Al in 2014 waarschuwde een student uit Singapore voor een gat in OAuth en OpenID Connect, door hem ‘Covert Redirect’ genaamd. Door de kwetsbaarheid was het mogelijk om argeloze websurfers via een geposte link op bijvoorbeeld Facebook een pop-up te tonen die om autorisatie vraagt. Het slimme hieraan was dat het slachtoffer de legitieme url van een bekende website te zien kreeg. Na autorisatie van de app kwamen de data van de gebruiker echter niet bij de legitieme website terecht, maar bij de aanvaller.

Vijf aandachtspunten

Het risico van OAuth en OpenID Connect schuilt in de complexiteit van deze protocollen. Een veilige implementatie vereist veel kennis en aandacht. Deze volgende vijf tips kunnen dienstverleners helpen bij een veilige implementatie van OpenID Connect.

Verbied ‘implicit flows’. Er zijn meerdere manieren om OpenID Connect te benaderen. Eén daarvan is de ‘implicit flow’. De gebruiker identificeert zichzelf bij de identityprovider en ontvangt direct de toegangscodes. De autorisatiestap en het verzoek tot een toegangscode worden dus overgeslagen.

Dit ‘verkorte proces’ op een mobiele apparaat is echter niet zonder risico’s. Malafide applicaties kunnen access tokens onderscheppen of de gebruiker wordt gedwongen z’n credentials in te vullen in de applicatie zelf.

Dwing PKCE af op mobiele devices. Een gangbare ‘flow’ is de ‘Authorization Code Grant Flow’. Een gebruiker logt in waarna de client een autorisatiecode ontvangt en ‘secrets’ zoals wachtwoorden of geheime sleutels stuurt naar bijvoorbeeld de Connectis Identity Broker. Die koppelt vervolgens een access token terug. Deze aanpak werkt echter niet voor native apps die geen unieke secrets kunnen hebben.

Proof Key for Code Exchange (PKCE) biedt hiervoor een oplossing. PKCE introduceert een secret dat door de aanroepende applicatie is gecreëerd en dat door de autorisatieserver kan worden geverifieerd. Dit geheim wordt de ‘code verifier’ genoemd. Zonder die code verifier kan een aanvaller een onderschepte autorisatiecode niet inwisselen voor een access token. Niet verwonderlijk dat de Connectis Identity Broker toepassing van PKCE bij mobiele applicaties afdwingt: dit maakt het risico op misbruik aanzienlijk kleiner.

Beveilig tokens en secrets. Aanvallers die de beschikking hebben over secrets en access tokens kunnen hier gevaarlijke dingen mee doen. Zo kunnen ze met een access token inloggen uit naam van iemand anders, of met een secret een phishingaanval uitvoeren.

Het is dus belangrijk dat uitgewisselde tokens worden opgeslagen in een goed beveiligde database. Zaken als toegangscontrole, de fysieke beveiliging en encryptie van de data moeten op orde zijn. Maar denk ook aan het automatisch wissen van tokens, op gezette tijden of als een account wordt verwijderd.

Maak gebruik van een broker. Het gebruik van een broker levert op het gebied van security meerder voordelen op. Is een identityprovider bijvoorbeeld gehackt, dan kan de broker de verbinding met de getroffen provider verbreken. Op het moment dat gebruikers inloggen, leidt de broker ze naar een andere identityprovider.

Schakel de juiste hulp in. Een correcte implementatie van OpenID Connect is een complexe aangelegenheid. En die implementatie is eigenlijk ook nooit ‘af’. Nieuwe dreigingen kunnen er altijd weer voor zorgen dat aanpassingen nodig zijn. Dan is het fijn als een gespecialiseerde partner die zorg uit handen neemt.

Meer over

AppsAuthenticatieAutorisatieDienstenEncryptieHackingSocial media

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Servers onder de loep – Een nieuw tijdperk

    Nieuwe eisen aan prestaties en beveiliging. De toekomst van serverbeheer.

    Computable.nl

    Grip op de soevereine cloud

    Van bewustwording naar daadwerkelijke controle. Sleutelrol voor CIO en CFO.

    Computable.nl

    Virtualisatie heruitgevonden met VM’s en Containers

    15 redenen om bestaande virtuele machines te behouden en ruimte te creëren voor vernieuwing

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Populaire berichten

    Meer artikelen

    Uitgelicht

    Partnerartikel
    Innovatie & Transformatie

    SureSync en Logius genomineerd voor Co...

    SureSync is dit jaar trots op drie nominaties bij de Computable Awards 2025. Eén van de meest opvallende nominaties is...

    Meer persberichten

    Meer lezen

    Cloud & Infrastructuur

    Minister vreest Chinese spelletjes om Nexperia vleugellam te maken

    Carrière

    Onverantwoord gedrag kostte Chinese bestuurder Nexperia de kop

    Cloud & Infrastructuur

    Digitale Denen wijzen de weg

    Windows 10
    Cloud & Infrastructuur

    Ondersteuning Windows 10 gestopt; problemen in zicht

    Cloud & Infrastructuur

    Google bundelt zakelijke ai onder Gemini Enterprise

    Cloud & Infrastructuur

    EU grijpt nog niet in tegen Microsofts cloudlicenties op Google en AWS

    ...

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Ontvang Computable e-Magazine
    • Cybersec e-Magazine
    • Topics
    • Phishing
    • Ransomware
    • NEN 7510

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs