Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Pc laten opstarten via indentieteitskaart

24-03-2020, 17:09 door Stefbus, 6 reacties
Hallo aan allen,
mijn vraagje is als volgende (hopelijk hoort dit hier thuis). Graag zou ik mijn pc met behulp van deze kaart laten opstarten (ipv van de wachtwoorden). Zou dit mogelijk zijn, en dat ik dan dadelijk bij de sites die ik bezoek (zoals hier) ook ingelogd zou zijn?

Hopelijk kan er mij iemand helpen, zelf een progje schrijven behoort niet tot mijn mogelijkheden.

Met vriendelijke groeten,

Stef.
Reacties (6)
24-03-2020, 18:17 door Anoniem
Door Stefbus: Hallo aan allen,
mijn vraagje is als volgende (hopelijk hoort dit hier thuis). Graag zou ik mijn pc met behulp van deze kaart laten opstarten (ipv van de wachtwoorden). Zou dit mogelijk zijn, en dat ik dan dadelijk bij de sites die ik bezoek (zoals hier) ook ingelogd zou zijn?

Hopelijk kan er mij iemand helpen, zelf een progje schrijven behoort niet tot mijn mogelijkheden.

Met vriendelijke groeten,

Stef.
Opstarten of aanmelden?
En veel is site / browser afhankelijk.
Wel OS.... kleinigheidje natuurlijk.
En moet iedere kaart gebruikt kunnen worden, of bekende?
24-03-2020, 19:06 door Erik van Straten
Dat is een stuk minder simpel dan het misschien lijkt (vooral als je dit veilig wilt doen). Webbrowsers kunnen wachtwoorden van sites voor je onthouden (en in een deel van de gevallen waarschijnlijk automatisch invullen) maar dit word afgeraden omdat, als iemand zonder jouw toestemming toegang krijgt tot jouw PC account, of als jij onbedoeld malware start, die persoon of malware dan namens jou ook meteen op websites kan inloggen. SSO (Single Sign On) is handig, maar betekent vaak ook een groot risico op het moment dat iemand zich als jou kan voordoen op jouw pc of ander apparaat.

M.b.t. inloggen op jouw PC: feitelijk zijn daarbij twee stadia, namelijk:
1) Het ontgrendelen van een versleutelde schijf zodat je een besturingssysteen kunt starten;
2) Het inloggen op jouw account nadat het besturingssysteem is gestart.

De beveiliging van een apparaat (zoals PC, tablet, smartphone) stelt meestal weinig voor als de "schijf" niet is versleuteld met FDE (Full Disk Encryption). Een kwaadwillende met fysieke toegang tot een apparaat met niet-versleutelde opslag kan meestal eenvoudig gegevens uitlezen en wijzigen, waaronder (de hash van) jouw wachtwoord - waarna hij als jou kan inloggen. Echter pre-boot (dus voordat er een fatsoenlijk besturingssysteem draait) is zoiets lastig te realiseren. Ik denk dat daarvoor een wachtwoord toch de beste optie is.

Zodra een besturingssysteem draait heb je meer mogelijkheden. Belangrijk is dat het identiteitsbewijs over een chip beschikt met daarin een private key die nooit wordt vrijgegeven, maar waar die chip wel specifieke berekeningen mee kan uitvoeren. Daarmee kan de software checken of dat identiteitsbewijs daadwerkelijk aanwezig is, zonder daar "een kopie" van te hoeven bewaren.

Alles valt en staat echter met die software: als die door een aanvaller gemanipuleerd kan worden zodat deze meldt "ja, het identiteitsbewijs van Stefbus is aanwezig" terwijl dat niet zo is, heb je een probleem. Die software zal dus op integriteit gecontroleerd moeten worden door de kern van het besturingssysteen om het zo veilig mogelijk te maken.

Kortom, niet onmogelijk maar met veel haken en ogen.
24-03-2020, 21:41 door [Account Verwijderd]
Lijkt me te doen, naar erg omslachtig.

Je moet eerst de mrz (machine readable zone) uitlezen en de NFC chip scannen. Als deze combi matched, zal er een script uitgevoerd moeten worden om de pc te ontgrendelen.

Lijkt me voor een beetje programmeur geen rocket science, maar een fido2 sleutel met ww of pin lijkt me een eenvoudigere oplossing die gewoon te koop is.
25-03-2020, 10:00 door Stefbus
Ok, heb dit doorgenomen en denk dat ik me zo'n fido2 stick zal aanschaffen, of anders mijn harde schijf (en partities) gewoon beveiligen.

Jullie zijn echt bedankt,

mvg,

Stef
25-03-2020, 10:41 door [Account Verwijderd]
Door Stefbus: Ok, heb dit doorgenomen en denk dat ik me zo'n fido2 stick zal aanschaffen, of anders mijn harde schijf (en partities) gewoon beveiligen.

Jullie zijn echt bedankt,

mvg,

Stef

Beide. De fido2 stick zorgt voor veilig inloggen, maar zonder disk encryptie kun je bij fysieke toegang tot het disk gewoon de data uitlezen.

Let er wel bij op dat applicaties als Bitlocker (voor Windows) niet elke SSD kunnen encrypteren. Vooralsnog ken ik deze issues niet bij gebruik van de diskencryptie van Ubuntu of bij het gebruik van de applicatie van Veracrypt.

Ik zou dergelijke encryptie sleutels wel middels KeepassX op een (met Veracrypt) beveiligde USB stick bewaren waarop de Keepass database staat.
25-03-2020, 11:08 door Stefbus
Dank je, daar was ik nu juist mee bezig, voor mij persoonlijk zal dit waarschijnlijk wel volstaan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.