Grotere bedrijven hebben toegangskaarten. Wellicht met RFID erin want dat kun je zo makkelijk tegen een lezer houden. Voordat chipjes populair werden deden ze dat met inductiekaarten; een metalen folie in een patroon wat uit te lezen is. Heb een tijdje bij een bedrijf gewerkt waar ze "electronische" sleutels hadden, en iedere werknemer had er een. Niet dat ze aan uitschakelen of innemen toekwamen bij vertrek, daar niet van. Zo'n klein detail, zulke gevolgen.

Kleine bedrijven, daar kent iedereen elkaar. Ook daar zul je moeten afspreken hoe vreemden te introduceren en wat daar de procedures zijn. Bijvoorbeeld dat een introducee zoals een monteur nooit alleen mag zijn en er dus altijd iemand bij moet blijven. Duur? Niet zo duur als "oeps de stroom van alle servers is eruitgeklapt" of "oeps er zit perongeluk verf in de radiatoren van de airco". Maar zulke ongein voorkomen werkt beter met duidelijke afspraken met mensen dan met techniek.

Als je het over computertoegang hebt, dan is een chipkaart een leuk idee. Zou ik niet met RFID doen, maar per contactchip. Banken hebben dat wel, met een lezer in het toetsenbord. Ook een goed idee voor medisch personeel, liefst met een koordje zodat als het mobiele personeel wegloopt het ding zichzelf afsluit. Zie je ook wel bij winkelpersoneel trouwens. Het sun ray concept was erg leuk hier; je sessie volgde de kaart, ongeacht welke terminal hij ingestoken was.

Ook populair zijn van die "twee factor" dingen, maar ze zijn snel omslachtig op niet altijd direct opvallende manieren. Ze zijn het laatste in hype en buzzwords, dat dan weer wel. Hoe veilig ze zijn? De codegeneratoren van RSA Security (het bedrijf) zijn gecompromitteerd maar hoe groot de schade is hebben ze niet publiek gemaakt. Er is wel van die gekopieerde kennis gebruik gemaakt, kennelijk met succes.

Ook populair zijn "single sign-on" truuks, hoef je maar een keer in te loggen. Scheelt wachtwoorden intikken. Binnen een bedrijf kan het heel handig zijn. Voor op het wereldwijde web is het vooral een privacyrisico (zie bv. facebook en google). Techneuten gebruiken wel ssh keys met key agents (eg. pageant uit de putty suite, of ssh-agent). Risico hier is natuurlijk dat een "open" toegang achterlaten bij het koffiehalen ineens een veel groter risico behelst, dus een screensaver met een wachtwoord en een wegloopknop is wel het minste.

Biometrie zie je vooral bij nerdshops, zoals datacentra. Koel man, die biometrie! Net of je in een hollywoodfilm werkt! Alleen, als je maar even nadenkt, weet je dat het een dom idee is. Het is een ingewikkeld soort gebruikersnaam, gebruikt als wachtwoord, storingsgevoelig en niet vervangbaar. Gaat er dus iets mis moet je de gebruiker ontslaan en vervangen door een nieuwe.

Maar het grotere punt is dat je expliciet naar technologie vraagt. Je kan wellicht beter je situatie beschrijven. Wat wil je met een toegangssysteem bereiken? Wat niet? Wat als er iets misgaat? Schrijf een aantal scenarios uit en verzin wat je wil dat er dan gebeurt. Zoek er dan passende technische of gewoon procedurele oplossingen voor. Wil je nuttig advies, moet je toch iets meer schetsen van de situatie en wat je er mee wil. Uiteindelijk zijn de mensen het allerbelangrijkste, en zonder een kader waarin ze rustig hun ding kunnen doen staat de technologie alleen maar in de weg.

Bedankt voor je reactie! Ik ben inderdaad op zoek naar een manier van authentiseren op een computer. Aangezien wij op zoek zijn naar welke manier van authentiseren het beste bij ons past vroeg ik me af hoe dat bij andere bedrijven gaat. En ik vroeg me af of er veel bedrijven zijn die bijvoorbeeld met een smartcard inloggen.

Het beste is om zo'n coole rfid-badge te hebben, met in het groot de naam van het bedrijf erop. Als je hem dan verliest weet de eerlijke vinder waar hij hem in kan leveren. Ook is het makkelijk dat als je ontslag neemt, de badge niet gedeactiveerd wordt. Mocht je namelijk besluiten dat bij de nieuwe werkgever het gras toch niet zo groen was, dan kun je zo weer aan de slag.

Met andere woorden: dom gemanagement doet alle techniet te niet.

Het nadeel van een chipkaart is dat ie groot is en dus lang niet iedereen dat ding om zijn nek zal hangen. Het is ook nog eens een mechanische koppeling, dus ook nog slijtgevoelig. De mooiste methode die ik ooit zag was met een druppeltje, zo'n rfid tag ding gekoppeld aan Oracle's Sun Ray. Er waren meerdere uitvoeringen van. Zo kon je hem krijgen in een ring, een kaartje of een sleutelhanger. Het druppeltje ontgrendelde de IO apparaten van het werkstation (muis, keyboard). Als je je sessie meenam naar een ander werkstation, of te lang niet actief was geweest, moest je daarna wel weer je wachtwoord intikken.

Eén van de bedrijven waar ik voor werk gebruikt Yubikey. Dit is een soort USB stick die gebruikt kan worden om One Time passwords te genereren. Dit kan zowel online als offline (in challenge response mode). Ook google gebruikt dit intern.
Omdat het een keyboard emuleert werkt het voor netwerk authenticaties zonder lokaal software te hoeven installeren vanaf alle operatings systems en ook bij terminal servers of VDI omgevingen. Ik heb er persoonlijk ervaring mee op Windows, OSX, Linux en Android. Voor lokale authenticatie (Windows, Linux & OSX) moet je wel software installeren. Ik kan bv. op mijn macbook alleen inloggen met de Yubikey in het usb slot.

Disclaimer omdat dit erg als een reclameverhaal klinkt: Ik heb geen belangen in Yubikey. Heeft iemand anders een voorbeeld van een andere oplossing die op een vergelijkbare manier werkt?

"Bij andere bedrijven" gebeurt... meestal precies wat overal elders gebeurt: Er wordt nauwlijks over nagedacht, hoogstens een "oplossing" naarbinnen geschoven en dat was het dan. Maar al te vaak blijkt dan dat het eigenlijk een hoop schijnveiligheid was, en veel irritatie bij gebruikers, maar iemand die echt langs de beveiliging wil die blijkt dat dan zonder problemen gewoon te kunnen.

Zeg maar hoe de ontploffende onderbroekdrager zonder papieren het vliegtuig in kwam, en uiteindelijk door een medepassagier in bedwang werd gehouden. Daar betaal je dan miljarden aan beveiligingsmannetjes met losse handjes en piepende poortjes voor. Was dat nou alle onterecht geweigerde mensen waard?

Een antwoord vinden op hoeveel andere bedrijven iets doen gaat je dus niet heel veel wijzer maken. Kijken wie er goed heeft nagedacht en hun situatie kan schetsen en waarom hun keuze goed bij hen past kan dan wel weer leerzaam zijn. Niet om hun oplossingen te kopieeren, maar om te kijken hoe de gedachtengang gaat.

Alsook welicht om te kijken hoe het niet moet, zoals grote prestigeprojecten van landelijke overal-te-gebruiken chipkaarten die wel uitgegeven maar vervolgens nooit echt ingevoerd werden. Waarom? Teveel functies, te ingewikkeld, niet aantrekkelijk om te gebruiken. Kijk ook naar zoiets veelgebruikts als de ov-chipkaart. Waarom is dat nou precies zo'n vervelend systeem?

Wellicht dus geen slecht idee om dat eens anders te doen. Begin met te verzinnen 1) wat je waartegen wil beschermen, cq wat het doel is van dat "authentiseren", 2) wat je nou eigenlijk met je maatregelen tegen wie aan het bewijzen bent, 3) hoeveel ongemak dat mag kosten, mocht beveiligen niet anders kunnen dan ongemakkelijk en 4) hoe de normale "workflow" gaat en hoeveel speelruimte je daarin hebt met het er beveiligingstoeters en -bellen aan te hangen.

Dat kan soms verassende gevolgen hebben. Zoals een ruimte vol met servers die allen geeneens een wachtwoord op root hebben -- de beveiliging zat in de wheel group en het slot op de deur naar de servers. Als er iets mis is dan wil je niet nadenken wat het root wachtwoord ookalweer was en het was een goed excuus iedereen die er niets te zoeken had uit die ruimte te houden. Uiteindelijk is het mensenwerk, en kan de techniek niet meer zijn dan ondersteuning of wellicht een "enabler", niet iets waar de hele beveiliging uit bestaat.