image

Weggooi wachtwoorden oplossing voor authenticatie problemen

vrijdag 13 april 2007, 11:05 door Redactie, 7 reacties

Ondanks het belang om vertrouwelijke gegevens te beschermen, gebruiken veel bedrijven nog steeds het "antieke" wachtwoord om dit te doen. Wachtwoorden zijn net zo veilig als het individu dat ze genereert, en de beveiliging kan dan ook een flinke klap krijgen als gebruikers eenvoudig te herinneren en raden wachtwoorden kiezen.

One-time wachtwoord technologie zou dit probleem moeten oplossen door steeds nieuwe wachtwoorden te genereren. Doordat de weggooi wachtwoorden slechts één keer gebruikt kunnen worden, maakt het niets uit als ze per ongeluk uitlekken of geraden worden.

Ondanks alle voordelen van one-time wachtwoorden is het niet de oplossing van alle beveiligingsproblemen. Het biedt een betere beveiliging dan de standaard gebruikersnaam/wachtwoord authenticatie, maar schiet zelf ook tekort. Zo biedt het geen bescherming tegen recente phishing aanvallen en is het vaak ongemakkelijk voor gebruikers.

"Twee-factor authenticatie lost alleen de problemen op die zich voordeden door de passieve dreigingen van gisteren, zoals afluisteren en het raden van wachtwoorden, maar doet weinig tegen de complexe dreigingen van vandaag de dag" aldus Bruce Schneier. One-time wachtwoorden zijn daarnaast kwetsbaar voor man in the middle aanvallen en lossen ook het probleem van identiteitsdiefstal niet op.

Reacties (7)
13-04-2007, 11:21 door wimbo
Password of OTP valt of staat met de gebruiker.
Als ik een 'sterk' wachtwoord van 8 karakter heb (met een
reguliere password policy) is dat wel veiliger dan een RSA
OTP token dat op mijn buro ligt met de PIN op de achterkant
geschreven.
13-04-2007, 14:46 door Anoniem
Ik wordt zo moe van Bruce Schneier's geratel, oke een aantal
jaren geleden had hij nog wel eens daadwerkelijke bijdragen
maar hij wordt steeds meer media-geil
13-04-2007, 15:07 door Anoniem
Lekker nutteloos dit. Zit je de hele dag een beetje wachtwoorden te
genereren. Zullen de gebruikers ook erg blij mee zijn...
13-04-2007, 15:30 door Anoniem
En dit is nieuws omdat?
13-04-2007, 16:37 door Thaddy
Het OTP concept zit bovendien al in two factor authenticatie
zoals we die in Nederland meestal gebruiken. Je controle
getal dat je e-dentifier genereert is precies dat. Er wordt
wel een andere filosofie achter gelegd, maar in feite is het
hetzelfde. Althans een manier om een OTP te berekenen.
Slap verhaal van Bruce dus. In 2000 zat ik in een
interbancaire commissie waar dit al ter sprake kwam voor een
internet betaalmethode voor kleine bedragen (micropayments)
en we hebben het toen - op nog steeds geldige gronden -
afgeschoten.
13-04-2007, 22:48 door meneer
Weg met wachtwoorden. Prima. Weg met OTP, ook ok.

Volgens mij is infocard of openid (maar dan wel de versie
waarbij de authenticiteit van de identity provider wordt
gewaarborgd) verre te verkiezen boven welk ander mechanisme
ook. Geen gehannes meer met onthouden van gebruikersnamen en
wachtwoorden (ja, ook ik was mijn DigiD gebruikersnaam
kwijt/vergeten, uiterst pijnlijk en irritant).

Lees nu liever even Kim Cameron's identityblog.com dan Bruce
Schneiers blog, hij geeft op dit moment eigenlijk geen echte
nieuwe ideeën, Kim doet dat wel.

En er is wel heel wat meer te vertellen over otp, strong
authentication en zo, maar da's leuk voor verdere discussies
en meningen.
16-04-2007, 16:46 door Benm
Weg met gebruikers.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.