Managed hosting door True
Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Authenticatie mag geen technisch probleem zijn

 

Expert

Rik van Bruggen
VP EMEA Imprivata, Imprivata. Expert van voor het topic .

De recente problemen bij Diginotar zijn voor mij gewoon een bevestiging van wat wij al jaren prediken: 'It's the user, stupid'. Authenticatie en security zijn echt niet alleen maar op te lossen met technische bouwstenen - vroeg of laat komen we echt bij 'het probleem tussen het scherm en het keyboard' terecht: de eindgebruiker.

Wat we daarmee bedoelen is dat online veiligheid met alleen technische-hulpmiddelen, of het nu op websites of in transactionele toepassingen binnen/tussen bedrijven is, op geen enkele manier waterdicht te maken is. We mogen nog zoveel miljoenen als we willen besteden aan moderne PKI-oplossingen, digitale handtekeningen, certificate authorities, enzovoort enzoverder, de techniek blijft altijd kwetsbaar. De Diginotar-case maakt dat overduidelijk: op een of andere manier hebben hackers een exploit gevonden die hen heeft toegelaten om een heel erg centralistisch opgezette beveiligingsinfrastructuur van binnenuit te kraken.

Dit staat in schril contrast met de benadering die mijn collega's en ikzelf voorstaan: wij beweren al jaren dat authenticatie geen technisch probleem mag zijn, en dat het een gebruikersprobleem is, en als dusdanig moet worden opgelost. Het is de eindgebruiker en de manier waarop hij/zij omgaat met authenticatieprocessen die moet veranderen: authenticatie moet minder beschouwd worden als een technisch euvel, maar eerder een rol toebedeeld krijgen in de optimalisatie van operationele werkstromen. Authenticatie moet niet moeilijk zijn, maar moet makkelijk worden – op een praktische, en toch veilige manier.

Het beste voorbeeld dat wij hiertoe altijd hebben aangehaald is de UZI-pas in de zorgsector: technisch zogezegd (de Diginotar case maakt dat pijnlijk duidelijk) een veiliger oplossing, maar vanuit praktisch perspectief voor een zorgverlener een draak van een oplossing. Veel te moeilijk in gebruik, en net daarom (zorgverleners vergeten de pasjes, lenen de pasjes uit, schrijven de pin op de kaart, etc) weer onveiliger. Zorginstellingen zijn veel beter af met een, vanuit theoretisch oogpunt veel onveiliger, maar praktisch gezien net veel veiliger, oplossing op basis van proximity cards of vingerafdrukken. Die oplossingen werken, zijn goedkoper, makkelijker inzetbaar, en erg praktisch veilig.

Let op: dit is geen pleidooi voor het gewoon buiten beschouwing laten van de technische beveiliging. Het is een pleidooi voor een redelijke, praktische en pragmatische aanpak van authenticatie-beveiliging die in de eerste plaats aandacht heeft voor de gebruiker . Want hoe je het ook wendt of keert, zonder de gebruiker aan onze kant blijft beveiliging van authenticatie altijd een zeepbel die vroeg of laat wordt doorgeprikt.

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/4148232). © Jaarbeurs IT Media.

?


Lees meer over



Lees ook


 

Reacties

Na 3 keer lezen is het me nog steeds volstrekt onduidelijk wat de bedoeling van dit betoog is.

De Diginotar Certificaten hebben niet tot doel de gebruiker te authenticeren, maar om:

- een verleutelde verbinding op de kunnen zetten (SSL).
- te bewijzen dat de gebruiker inderdaad met bijv. Digid communiceert.

Mensen hebben zeker een eigen verantwoordelijkheid. Maar in dit geval toevallig niet. Van een bedrijf dat beveiligingscertificaten verkopen als corebusiness heeft mag verwacht worden dat ze zelf op dat gebied de zaken op orde hebben. Anders verkopen ze daardoor, wat nu ook gebleken is, domweg een product dat niet deugt. Van bedrijven die certificaten kopen verwachten dat ze het leverend bedrijf door moeten lichten moet niet nodig zijn. En eindgebruikers die een site bezoeken moeten er al helemaal op kunnen vertrouwen dat het slotje dat ze zien deugt. Kortom: een "redelijke, praktische en pragmatische aanpak van authenticatie-beveiliging die in de eerste plaats aandacht heeft voor de gebruiker" moet er minimaal voor gaan zorgen dat bedrijven producten leveren die het goed doen.

Naar mijn idee worden twee dingen door elkaar gehaald.

De gebruiker is verantwoordelijk voor de middelen (wachtwoord, token, smartcard) die hij heeft gekregen voor (online) authenticatie. De meeste problemen met authenticatie spelen op dat vlak: gebruiker vergeet z'n wachtwoord, schrijft 't ergens op, verliest een smarcard. De schuld hierval ligt volledig bij de gebruiker zelf.

Aan de andere kant hebben we de infrastructuur waar gebruikers op kunnen inloggen en de infrastructuur die nodig is voor de uitreiking van de authenticatiemogelijkheden van de gebruiker (wachtwoord, smartcard, ed). De gebruiker draagt op geen enkele wijze verantwoordelijkheid voor de veiligheid van beide infrastructuren. In het geval van de DigiNotar hack betrof het meerdere fouten in de beveiliging van zo'n infrastructuur. Stellen dat de gebruiker schuldig is aan de inbraak op die infrastuctuur vind ik nogal stomzinnig klinken.

Dit is vermoedelijk de vaagste column die ik ooit gelezen heb - het wordt totaal niet duidelijk wat het verband is met de diginotar zaak.

Ik sluit me volledig aan bij het commentaar van Ron. Het betoog van de 'security expert' Rik van Bruggen, raakt kant noch wal en bevat feitelijk zelfs nogal wat onjuistheden. De vergelijking tussen UZI pas, proximity cards en authenticatie m.g.v. vingerafdrukken is helemaal uit de lucht gegrepen. Er worden zaken vergeleken die onvergelijkbaar zijn, al was het maar omdat er sprake is van verschillende technieken, beveiligingseisen en -behoeften.Jammer om te constateren dat Computable zich bedient van 'experts' die op deze wijze blijk geven er helemaal niets van te begrijpen.

Het is per definitie geen gebruikers probleem maar een technisch probleem. De gebruiker wil gewoon inloggen bij de belastingdienst om aangifte te doen. Hiervoor tikt hij een URL in. Dat de techniek vervolgens faalt en de URL zomaar vertaald kan worden naar het IP adres van een valse website in een heel ander land die vervolgens ook nog met valse certificaten werkt, daar kan de gebruiker helemaal niets aan doen. het certificaat zou geeneens nodig moeten zijn indien DNS veilig was geweest.

De gebruiker die tussen scherm en keybord zit heeft volgens mij grotere problemen dan zijn online veiligheid.

Belangrijkste punt in mijn optiek is het feit dat we vanuit de techniek een oplossing bedenken die gebruikers niet kennen en niet kunnen beoordelen. Fysieke sloten moet je kapot maken als je geen sleutel hebt. Als je een sleutel kwijt bent dan mis je hem. Deze signalen heb je niet als gebruiker bij elektronische sloten.

Zou me niets verbazen als de volgende hack een hack van de browser is waarbij gewoon betrouwbare slotjes, kleurtjes en certificaatinformatie wordt gepresenteerd in de browser van de gebruiker maar we te maken hebben met een man-in-the-middle attack (snappen gewone gebruikers dit nog?).

Het spijt me echt, maar ik heb het artikel een paar keer doorgelezen, maar ik begrijp echt niet wat de strekking hier is. De gebruiker schuldig aan de problemen? Of toch niet?
Maar uiteindelijk denk ik te begrijpen wat er hier wordt gepoogd. In de laatste alinea staat "Het is een pleidooi voor een redelijke, praktische en pragmatische aanpak van authenticatie-beveiliging die in de eerste plaats aandacht heeft voor de gebruiker." Na een bezoek te hebben gebracht aan de website van het bedrijf van deze "EMEA VP" is het duidelijk: dit is een aanbeveling van zijn/haar diensten! Maar om dat niet te veel te laten opvallen, is het nodige ge(ver?)sleuteld aan het artikel!
Volgende keer misschien iets beter opletten, geachte redactie :-)?

Encryptie en authenticatie door elkaar halen gebeurt wel eens door schoolverlaters die hun eerste MS-certificaat aan het halen zijn. Ik heb helemaal dubbel gelegen van dit artikel. Het zegt ook iets over het IT-niveau in Nederland momenteel. De "gebruikers" hebben hier geen enkele schuld aan.

’t is toch wel wat zielig. Je biedt systemen aan om veilig en eenvoudig gegevens in te voeren, op te vragen en te bewerken en als je beveiliging faalt dan heeft de gebruiker het gedaan. Die arme gebruiker, die al tientallen wachtwoorden, pincodes, nummers, loginnamen en weet ik wat allemaal meer moet onthouden en die constant wordt belaagd door mensen die niet van andermans zaken af kunnen blijven. Dat laatste is geen technisch probleem, maar een structureel maatschappelijk probleem dat de komende jaren alleen maar erger wordt. De oplossing daarvoor ligt dus ook niet in de ICT of andere techniek, maar in de bereidheid van mensen anderen als gelijkwaardig te zien en ieder zijn deel van de “vruchten der aarde” te gunnen. In de tussentijd broddelen we lekker door. Oplossingen genoemd in bovenstaand stukje, met vingerafdruk e.d. leiden alleen maar tot zwaardere criminaliteit. Betere oplossingen geven slechts tijdelijk verlichting zolang de kern van het probleem niet in de techniek ligt.

Met name voor een informatiebeveiliger is het belangrijk om de bron en achtergrond van informatie na te gaan voordat je oordeelt. Dat heeft Criticaster gedaan en hij komt dan ook tot zijn gefundeerde en redelijk waarschijnlijke conclusie, helaas zijn er ook enkele ongenuanceerde reacties.

In het artikel wordt inderdaad een verwarrende koppeling gelegd tussen gebruikersfout en de Diginota-hack. De boodschap t.a.v. gebruikersadoptie van security-middelen is daarentegen wel correct, ongeacht vermeend commercieel belang (wie heeft dat niet?).

Techneuten verzinnen en bouwen (perfecte) beveiligingsoplossingen die nogal eens niet passen bij het natuurlijk gedrag van de gebruiker. Daardoor zal die gebruiker manieren zoeken en vinden die om de
technische beveiliging heen gaan, ongeacht welk awareness programma je er tegenaan gooit. Techniek
zal dus (beter) moeten aansluiten bij het werk- en gedragsproces van de gebruiker.

Hoe gebruikersvriendelijk het authenticatiemiddel, hoe meer de gebruiker bereid zal zijn het te gebruiken. Dat betekent wel dat er concessies aan die "perfecte beveiligingsoplossing" moeten worden gedaan. Ergens in dat compromis ligt de optimale beveiliging.

De strekking van dit artikel is me wel duidelijk alleen denk ik niet dat het Diginotar debacle een goede kapstok is om deze mening aan te hangen. Wie beveiligd de beveiliger is heel wat anders dan de vraagstelling wat is praktisch gezien goede beveiliging.

Een volledig afdekkende beveiliging is onmogelijk. Aan zware beveiliging zit een veelvoud van wettelijk en sociaal acceptabele beperkingen maar staat de laatste tijd zwaar onder druk. Maar dat is eigenlijk niet het grootste probleem. Dat is het feit dat je door relatief zwakke beveiliging eenmalig te omzeilen je bij dusdanig veel systemen kan komen dat al snel niet meer te overzien wat de mogelijke schade is.
In praktische zin is het belangrijk om je hele infrastructuur zo in te delen dat courante gegevens eenvoudig toegankelijk zijn maar beperkt beschikbaar zijn tot het domein van de gebruiker waarin dat relevant is. Aanvullende informatie kun je dan zwaarder beveiligen.
En eigenlijk zou de wetgeving hier ook op aangepast moeten worden zodat het ook afgedwongen kan worden.

Een opmerkingen over verantwoordelijkheden: de Nederlandse bevolking heeft niet om een DigID, een OV-chipkaart of om internetbankieren, etc.... gevraagd.

Een aanbieder van bovenste zaken kan m.i. dan ook de grootste verantwoordelijkheid bij de gebruiker neerleggen.

Gebruikers hebben de mogelijkheid om End-to-End Peer-to-Peer authentication en security toe te passen in plaats van Trusted Third Party (TTP) authentication en security zoals met PKI en Certificaten. Dat hiervoor een goede reden is, is bijvoorbeeld te lezen in het paper dat op http://cryptome.org/ssl-mitm.pdf gedownload kan worden. Gegeven het feit dat de problemen met TTP authenticatie reeds langer bekend waren en ook niet op korte termijn opgelost zullen zijn is het Freemove Quantum Exchange Systeem ontworpen dat sinds 2007 operationeel is en tot minimaal 2030 operationeel zal blijven. Dit systeem is in tegenstelling tot de huidige op TTP gebaseerde systemen gebaseerd op P2P security en authentication. Verder heeft het onafhankelijke bron- en kanaalcodering, is het gebaseerd op true- en niet op pseudorandomness, heeft het gescheiden security en authentication en ondersteund het information-theoretische en rekenkundige symmetische private key en asymmetrische public key schema's. Dit systeem is dus onafhankelijk van CA's en ongevoelig voor illegale certificaten en hacks bij CA's. Meer informatie over dit systeem is bijvoorbeeld te vinden op http://bit.ly/fqxch en http://bit.ly/fqxwuala

Na bovenstaande opmerkingen gelezen te hebben, moet ik uiteraard zelf ook even in de pen/het keyboard kruipen om eea recht te zetten.

1. De titel van dit artikel is niet door mijzelf gekozen, maar door de redactie van Computable. Het is mijn mening dat zij een totaal verkeerde titel hebben gekozen, die geenszins past bij de toon of de intentie van mijn artikel. Op GEEN ENKELE manier, heb ik in het artikel ooit de arme eindgebruiker willen beschuldigen in het Diginotar debacle. In tegendeel zelfs. Het is in mijn beleving compleet absurd om een eindgebruiker van iets te beschuldigen waar hij geen enkele invloed op heeft.

2. Voor alle duidelijkheid: ikzelf en mijn werkgever zijn grote voorstanders van een FUNCTIONELE, eindgebruikers-centrische benadering van informatiebeveiliging. Wij zijn er van overtuigd dat louter technische bendareringen (zoals die van Diginotar) altijd gedoemd zijn om te mislukken - wat in het geval van deze case nog maar eens overduidelijk is geworden.

Ik wens mij nogmaals te excuseren voor de foutieve lezing van het artikel, de misplaatste titel, en de misverstanden die hierdoor ontstaan zijn.

Groet

Rik

Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×