Challenge/Response met een calculator

Texas instruments? Of Casio?

* gorgi_19 ziet niet in wat dit met programmeren te maken heeft Ik zie het eerder in de beveiligingssfeer

>> Beveiliging & Virussen

Achter op mijn oude e-dentifier van de abn staat www.vasco.com
Ik heb daar even gekeken en bij de producten staan een hele rits van dat soort apparaatjes.
Bij 'where to by' kan je de wel nederlandse distributeurs/resellers vinden.

Een van de grootste leveranciers op dit gebied (voor bv domain-authenticatie: bij VPN gebruik, of gewoon voor Windows authenticatie ipv het wachtwoord) is RSA Security Solutions.

Ik heb al meerdere malen met verschillende soorten hardware 'tokens' (de officiele naam voor die calculatoren) van dat bedrijf gewerkt, en ze doen het werk goed. Zo heb je dus het challenge/response-systeem, maar ook (dat gebruiken we nu) gebaseerd op tijdssynchronisatie: elke minuut verandert de code op het token, en da's dan meteen de enige geldige code.

Als ik op die site kijk, zijn er honderdduizenden manieren om dit toe te passen: het is een erg uitgebreide site, en het loont zich misschien de moeite om er eens rond te browsen.
Meer info via www.rsasecurity.com/

Verwijderd schreef op woensdag 18 mei 2005 @ 16:39:
Ah, het leek mij dat mensen in P&W de meeste ervaring met dit soort zaken hebben. Misschien is Overige Hardware dan een betere keus? Beveiliging & Virussen lijkt namelijk vooral over anti-spyware etc. te gaan.

Je zult inderdaad aan een stukje hardware komen met een niet al te eenvoudig algoritme, tijdgeboden en/of aan de hand van inderdaad c/r lijkt me dan het handigst en dat zie je afaik dan ook het meest.

Biometrie kan in principe ook maar dat geeft - zeker gezien het budget - waarschijnlijk meer problemen dan dat het voordeel oplevert.

Is het uitgeven van certificaten en deze op een stuk hardware (zoals een CD of een goedkope USB stick) zetten geen optie?

Misschien is SafeWord wel wat?

RSA is de leverancier op dit vlak inderdaad. Natuurlijk gebaseerd op hun eigen algoritmes (die weer behoorlijk defacto standaard zijn). Maar het soort hardware wat jij zoekt is duur helaas. Waarom bv geen eenvoudige skey applicatie op bv een palmtop oid? Over wat voor project hebben we het trouwens? Studie / werk? Beschikbaar budget? Waarde van de informatie die moet worden beveiligd? Hardware / software standaardisatie? Moet het redelijk kant en klaar zijn of is zelf ontwikkelen ook een optie? Waar liggen je eigen sterke en zwakke punten?

Kortom, genoeg vragen om eerst eens antwoord op te gaan geven lijkt me.

Ik had niet uit je verhaal begrepen dat je de implementatie ook zelf wilde schrijven. Idd zijn de meeste leveranciers erop gericht een compleet pakket, met AD-integratie, een serverapp, etc. te leveren..

Dan kun je misschien eens contact opnemen met de leveranciers van een ander type token: www.cryptocard.com. Ik dacht dat ze failliet waren gegaan, een jaar of 2 geleden, maar blijkbaar bestaan ze nog steeds.
Op hun website hebben ze een link opgenomen naar een pakket met de naam Crypto Kit, met de volgende omschrijving:

This section contains detailed information about CRYTPO-Kit, a tool set that can be used by developers to implement CRYPTOCard authentication in custom application or workflow environments.

Alleen staat er onder die term (nog) geen info: die wordt 'binnenkort' online gezet. Zo te zien leveren ze ongeprogrammeerde tokens, met verschillende mogelijkheden.
Verder hebben ze een online store, waar de prijzen ook bij vermeld zijn. Die tokens liggen qua prijs per stuk een stúk hoger dan de prijzen van RSA, maar het voordeel is dat ze dan min of meer vrij te configureren zijn * voor zover mijn kennis mbt het vrij implementeren van tokens gaat, dan toch Of ze daadwerkelijk voldoen aan je eisen kan ik niet echt bepalen...

[ Voor 7% gewijzigd door Dr. Bean op 18-05-2005 23:16 . Reden: disclaimer toegevoegd ]

Verwijderd schreef op woensdag 18 mei 2005 @ 16:30:
Van deze 2 stukken gecombineerd zou dan een sha-1 hash of iets dergelijks gemaakt worden die de gebruiker overtypt in het login scherm.

Sowieso moet je naar 2-factor authentication toe in dit geval, en dat is per definitie een kostbaar verhaal. Bovenstaande hash-overtyp oplossing is handig voor bijvoorbeeld phishing (passieve aanval), maar bij een man-in-the-middle aanval (actieve aanval) wordt die authenticatiestring alsnog gewoon opgevangen door de keylogger en misbruikt bij het overnemen van de betreffende sessie.

Als security overigens belangrijk is, bekijk dan allereerst de mogelijkheden om keyloggers te voorkomen. Dat lijkt mij meteen de goedkoopste oplossing.

Bepaal nu eerst eens wat de informatie waard is die je wilt beveiligen voordat je met een technische oplossing komt. Afhankelijk van het beschikbare budget zijn er wellicht beter / mindere dingen mogelijk. Iedereen begint hier wel zo snel naar een oplossing te wijzen maar maak eerst het probleem nu eens duidelijk.

Wat versta je onder prefab in dit geval? Afhankelijk van de informatie die moet worden beveiligt (de waarde hiervan) ga je ook eisen stellen aan de fysieke beveiliging van de calculator, maw is de "sleutel" hier niet zo uit te vissen?

Vergeet niet dat je na de aanschaf van die tokens nog nietalle kostepotten hebt gehad..

Tokens gaan kapot, expiren en worden vergteten. M.A.W. je haalt je ook weer een administratieve last op de hals. Daarnaast zullen gebruikers two factor authentication vooral lastig en vervelend vinden (die code verspringt altijd net als ik het laatste cijfer wil invoeren). Verder gelden zowat alle zwakheden van normaal wachwoord gebruik nog, alleen is het risico gehalveerd.

Persoonlijk vind ik two factor authentication pas nuttig als je gebruik maakt van biometrics (irisscanner/vingerafdruk). Alleen de hardware voor de herkening van biometrics staat nog in haar kinderschoenen.

Of iets simpelers waarbij de gebruiker een eerste login doet, SMS krijgt op zn mobiel met een one-time password en deze daarna ook invoert. SMS'jes kosten niet zoveel meer, zijn goede API's voor en iedereen heeft toch wel een mobiel?

MrBarBarian schreef op vrijdag 20 mei 2005 @ 10:32:
Vergeet niet dat je na de aanschaf van die tokens nog nietalle kostepotten hebt gehad..

Tokens gaan kapot, expiren en worden vergteten. M.A.W. je haalt je ook weer een administratieve last op de hals. Daarnaast zullen gebruikers two factor authentication vooral lastig en vervelend vinden (die code verspringt altijd net als ik het laatste cijfer wil invoeren). Verder gelden zowat alle zwakheden van normaal wachwoord gebruik nog, alleen is het risico gehalveerd.

Persoonlijk vind ik two factor authentication pas nuttig als je gebruik maakt van biometrics (irisscanner/vingerafdruk). Alleen de hardware voor de herkening van biometrics staat nog in haar kinderschoenen.

Biometrics is geen 2 factor maar de 3e factor. Bovendien is 2 facor authenticatie zo'n beetje industrie standaard op dit moment. Natuurlijk hoort daar ook een gebruikersinstructie bij (het bijna verspringen van de code kun je namelijk bv op een rsa token makkelijk zien).

Authenticatie
1 Factor: Iets wat je "weet" -> password / pincode
2 Factor: Factor 1 + Iets wat je "hebt" -> token / smartcard
3 Factor: Factor 1 + Factor 2 + Iets wat je "bent" -> vingerafdruk / irisscan

Overigens is het probleem van biometrics niet alleen zozeer de techniek en de beschikbaarheid / prijs hiervan maar vooral het privacy vraagstuk. Je mag niet maar zo biometrische gegevens opslaan of verzamelen.

Bor de Wollef schreef op vrijdag 20 mei 2005 @ 10:45:
[...]


Biometrics is geen 2 factor maar de 3e factor. Bovendien is 2 facor authenticatie zo'n beetje industrie standaard op dit moment. Natuurlijk hoort daar ook een gebruikersinstructie bij (het bijna verspringen van de code kun je namelijk bv op een rsa token makkelijk zien).

Authenticatie
1 Factor: Iets wat je "weet" -> password / pincode
2 Factor: Factor 1 + Iets wat je "hebt" -> token / smartcard
3 Factor: Factor 1 + Factor 2 + Iets wat je "bent" -> vingerafdruk / irisscan

Overigens is het probleem van biometrics niet alleen zozeer de techniek en de beschikbaarheid / prijs hiervan maar vooral het privacy vraagstuk. Je mag niet maar zo biometrische gegevens opslaan of verzamelen.

Als biometrics 3 factor auth is.. wat is de 2e factor dan?
1 = het password
2 = wat je hebt (oog, vingerprint, token, enz enz)
3 = 2

"iets wat je bent" is immers precies datgene dat je moet bewijzen bij een authenticatie. Je roept dat je iemand bent (identificatie) en dat moet je bewijzen (authenticatie).

Vergeet het password en biometrics is single factor authentication

3 factor authentication is bijv:
1. iets dat je weet (pssword)
2. iets dat he hebt (token, iris enz)
3. iets/iemand die bevestigt (dmv het gelijktijdig omdraaien van een sleutel bijv)

[ Voor 18% gewijzigd door MrBarBarian op 20-05-2005 11:10 ]