Overal waar u moet inloggen, gebeurt een authenticiteitscontrole (authenticatie). Zoals we al vaker in dit blad schreven, is het grote probleem dat heel veel bedrijven controlesystemen gebruiken die gewoon niet veilig zijn. Een gebruikersnaam met een statisch wachtwoord is een van de meest voorkomende methodes voor authenticatie. Het is echter niet bepaald veilig: wachtwoorden worden vaak ergens genoteerd of zijn gemakkelijk te raden. Bedrijven die veiligheid hoger in het vaandel hebben staan, gebruiken daarom liever sterke tweefactorenauthenticatie. Dat wil zeggen dat een gebruiker twee elementen moet opgeven om zich te identificeren, in plaats van één statisch element (namelijk een wachtwoord). Het tweede element mag de gebruiker niet zelf verzinnen, maar wordt volgens een sterk algoritme gegenereerd op het moment van de inlog. Doordat het tweede element sterk en dus niet te raden is, mag het eerste element eenvoudiger zijn, meestal een viercijferige pincode. U staat er misschien niet bij stil, maar als u met uw bankkaart geld uit de muur haalt, maakt u ook gebruik van een ...

Overal waar u moet inloggen, gebeurt een authenticiteitscontrole (authenticatie). Zoals we al vaker in dit blad schreven, is het grote probleem dat heel veel bedrijven controlesystemen gebruiken die gewoon niet veilig zijn. Een gebruikersnaam met een statisch wachtwoord is een van de meest voorkomende methodes voor authenticatie. Het is echter niet bepaald veilig: wachtwoorden worden vaak ergens genoteerd of zijn gemakkelijk te raden. Bedrijven die veiligheid hoger in het vaandel hebben staan, gebruiken daarom liever sterke tweefactorenauthenticatie. Dat wil zeggen dat een gebruiker twee elementen moet opgeven om zich te identificeren, in plaats van één statisch element (namelijk een wachtwoord). Het tweede element mag de gebruiker niet zelf verzinnen, maar wordt volgens een sterk algoritme gegenereerd op het moment van de inlog. Doordat het tweede element sterk en dus niet te raden is, mag het eerste element eenvoudiger zijn, meestal een viercijferige pincode. U staat er misschien niet bij stil, maar als u met uw bankkaart geld uit de muur haalt, maakt u ook gebruik van een tweefactorauthenticatie. De eerste factor is de pincode die u moet intikken, en de tweede factor is de authenticatiecode van uw bankkaart die op de chip of de magnetische strip geëncodeerd is. Alleen de twee samen geven toegang tot de betaalautomaat. Het DigiPass-systeem van Vasco werkt met een sterke tweefactorauthenticatie: een pincode die de gebruiker moet intikken plus een DigiPass-code. Die laatste verkrijgt een gebruiker door een DigiPass-token te gebruiken. Dat genereert bij iedere activatie een eenmalig wachtwoord. Het token kan los zijn. Dan ziet u de code die u moet overtikken op een lcd-schermpje. Maar het token kan ook een usb-staafje zijn. Dat hoeft u maar in een usb-poort van de pc te steken om een geldige tweedefactorcode te verkrijgen. Daar stopt het niet. U kunt in plaats van zo'n token ook een smartcardlezer gebruiken, zoals de DigiPass 905 usb-kaartlezer. De authenticatie gebeurt dan met een bedrijfssmartcard of eventueel uw eigen eID- of bankkaart. Omdat Vasco de keuze voor bedrijven wilde vereenvoudigen, stelde het drie DigiPass-pakketten samen. Het eerste is 'DigiPass Pack for Remote Authentication' en dient voor inloggen op afstand. Het werkt met een los token dat een code via een lcd-scherm toont. Als u authenticatie wenst voor netwerktoegang, dan is er het 'DigiPass Pack for Network Authentication'. Hierin zitten vijf DP905-smartcardlezers en evenveel DigiPass smartcards. Deze kaarten dienen dan als tweede authenticatiefactor. Eventueel kunt u ook uw identiteitskaart, bankkaart of kredietkaart gebruiken, maar in bedrijven wordt zoiets om privacyredenen meestal niet gedaan. Maar als het moet dienen om toegang te verkrijgen tot uw eigen computer thuis, waarom niet? Het derde pakket combineert de twee voorgaande. Dit 'DigiPass Pack for Remote and Network Authentication' werkt met usb-token voorzien van een lcd-scherm dat een code kan tonen. Hiermee is zowel een fysieke inlog mogelijk door het token in een usb-poort van een pc te steken voor netwerktoegang, als toegang op afstand door de code op het lcd-scherm in te tikken als tweede inlogfactor. U krijgt bij zo'n DigiPass Pack naast de hardware (tokens of smartcards en smartcardlezers) natuurlijk ook software meegeleverd. Afhankelijk van de versie die u koos, is dat ofwel de DigiPass for Radius Software, ofwel de DigiPass Secure Authentication Suite, of beide. De Remote Authentication gebruikt de Radius-software en die werkt met de VACMAN Middleware authenticatieserver. Als u deze vorm van authenticatie wilt voorzien voor een groep gebruikers, dan zult u dat doorgaans op een aparte server installeren. Maar als u het installeert voor een beperkt aantal gebruikers, dan kan het ook op een pc met Windows XP draaien. Standaard maakt het gebruik van een ingebouwde PostgreSQL databaseserver om de gebruiker- en DigiPass-informatie bij te houden. Zowat elke andere databaseserver kan ook worden gebruikt. Hetzelfde geldt voor Active Directory. Een en ander kiest u tijdens de installatie. De DigiPass Secure Authentication Suite (DigiPass SAS) zorgt in feite voor een SSO (single sign-on, enkelvoudige inlog) door al uw inlogdialogen in Windows volautomatisch in te vullen met de juise informatie, gebaseerd op uw eerder uitgevoerde DigiPass-authenticatie. DigiPass SAS verzorgt de logins in Windows zelf, applicaties, websites, Citrix en Terminal Server. Ook digitaal ondertekenen is mogelijk. Helaas ondersteunt DigiPass nog altijd geen weblogins via Firefox: alleen IE wordt ondersteund. Er bestaat wel een workaround om het onder Firefox toch aan de praat te krijgen, maar dan als gewone applicatie. En ook voor e-mailtoegang veronderstelt SAS een Outlook-omgeving, al vertelt Vasco ons dat Lotus Notes-ondersteuning zo goed als klaar is en heel binnenkort toegevoegd wordt. Vasco biedt via DigiPass een behoorlijke waaier aan authenticatiefunctionaliteiten. Helaas is een en ander nog steeds te Windows-centrisch, worden er te weinig applicaties ondersteund en is het gebrek aan ondersteuning voor Firefox of andere browsers en e-mailpakketten (zelfs in de installatieprocedure al) toch een gemis. Er is concurrentie op de SSO-markt die daarin al veel verder staat. We hopen dan ook dat Vasco de lacunes in de software-ondersteuning van DigiPass snel opvult. De wereld is tegenwoordig immers heel wat groter dan alleen Windows en IE!Johan Zwiekhorst