Als bedrijf wilt u uw informatie niet voor Jan en alleman te grabbel gooien en dus vereist u dat uw gebruikers zich legitimeren vooraleer ze aan die informatie kunnen. Wachtwoordbeheersystemen proberen u hiermee te helpen. Ze voorzien een veilig én gebruikersvriendelijk systeem om met sterke wachtwoorden te werken, centraal beheerd, betrouwbaar en snelwerkend. In dit artikel bekijken we producten van Actividentity, Aladdin, Imprivata en RSA.
...

Als bedrijf wilt u uw informatie niet voor Jan en alleman te grabbel gooien en dus vereist u dat uw gebruikers zich legitimeren vooraleer ze aan die informatie kunnen. Wachtwoordbeheersystemen proberen u hiermee te helpen. Ze voorzien een veilig én gebruikersvriendelijk systeem om met sterke wachtwoorden te werken, centraal beheerd, betrouwbaar en snelwerkend. In dit artikel bekijken we producten van Actividentity, Aladdin, Imprivata en RSA. Het Amerikaanse Actividentity werd al in 1988 opgericht en heette toen nog ActivCard. Hun specialisatie was en is legitimatiesystemen met behulp van smartcards. Vorig jaar pas, in 2006, kwam de naamsverandering naar Actividentity omdat dat duidelijker was: het bedrijf houdt zich immers veel meer bezig met identiteitsbeheersystemen dan puur met smartcards, die nu een soort van bijkomend of toegevoegd product zijn. Met SecureLogin SSO heeft Actividentity een 'single sign-on'-oplossing op de markt voor Windows netwerken. Deze oplossing ondersteunt een sterke authenticiteitscontrole, zelfbediening voor wachtwoordreset, gedeelde werkstations (meerdere gebruikers op één pc) en een geïntegreerde identiteitsprovisionering. Actividentity ondersteunt sterke tweefactorencontroles met behulp van smartcards, usb-tokens, biometrische controles, nabijheidsdetectie of nog andere methodes. De ActivClient software ondersteunt ook Windows netwerklogins, Linux (toegang tot, er is geen Linux-client), vpn/inbel, weblogins en allerlei beveiligde informatieportalen en -transacties. Voor bedrijfsbrede toepassing installeert u SecureLogin SSO op uw Active Directory domain controller. Het AD-schema wordt uitgebreid met SSO-structuren en alle domeingebruikers krijgen nieuwe rechten om SSO-data op te slaan in die schema-uitbreidingen. Als u SecureLogin SSO liever eerst wil testen met een minimum aan overlast, dan kunt u ook een werkstationspecifieke, alleenstaande versie op een pc installeren om de SSO-procedures uit te proberen en te testen (of om SSO effectief te voorzien op een alleenstaande pc of notebook, natuurlijk). Zodra de noodzakelijke uitbreidingen in Active Directory zijn geïnstalleerd, kunt u de werkstations uitrusten met SecureLogin SSO. Overigens werkt SecureLogin SSO ook samen met andere directorysystemen dan Active Directory: Microsoft ADAM, Novell eDirectory, LDAP Directory, of Standalone. Voor die laatste moeten helaas altijd de Active Directory MCC-snapins geïnstalleerd worden in Windows XP, wat het nogal omslachtig maakt om dit systeem snel even op uw pc thuis te installeren. SecureLogin SSO blijkt eenmaal geïnstalleerd en draaiend behoorlijk transparant te werken voor eindgebruikers. Zo hoeven eindgebruikers hun normale manier van werken niet te onderbreken of te veranderen. Zodra ze een inlogdialoog tegenkomen, blijkt SecureLogin SSO dat automatisch te detecteren en hij vraagt dan meteen of hij het moet onthouden. Zo ja, dan krijgt de gebruiker de volgende keer dat diezelfde inlogdialoog verschijnt, een pop-upvenstertje te zien met de vraag of SecureLogin SSO voor hem moet inloggen. Die extra vraag kan trouwens worden uitgeschakeld, zodat SSO meteen en automatisch inlogt. SecureLogin SSO ondersteunt standaard een indrukwekkende lijst van applicaties, maar u kunt daar zelf nog applicaties aan toevoegen. En er is een speciale 'Window Finder'-applicatie waarmee u heel gemakkelijk via klik-en-sleep een inlogdialoog kunt opgeven aan het SSO-systeem zodat hij dat weet te vinden als het niet automatisch zou lukken. Een beheerder kan uiteraard beperkingen opleggen aan wat hij gebruikers wil toestaan in verband met dat SSO-systeem. Actividentity SecureLogin SSO mag bij ons dan relatief onbekend zijn, dat is zeker niet terecht. Hun SSO-systeem is verrassend veelzijdig en gebruikersvriendelijk. De installatieprocedure mag van ons nog verder geautomatiseerd worden, zodat beheerders niet zelf met AD-schema's moeten knoeien en voor alleenstaand gebruik geen speciale beheerpakketten opgespoord, gedownload en bijgeïnstalleerd hoeven te worden. Zoiets kan toch allemaal automatisch? Voluit heet Aladdin eToken eigenlijk Aladdin eToken WSO en dat staat voor 'web sign-on'. Dit is meer een persoonlijk inlogsysteem. eToken bestaat uit een usb-sleutel waarop u alle inloggegevens versleuteld bewaart en met de door u geïnstalleerde desktopsoftware kunt u die inlogdata terughalen op het ogenblik van een webinlog. Het systeem werkt met een tweefactor-authenticiteitscontrole: iets dat u kent (uw wachtwoord of pincode) en iets dat u hebt of krijgt (het token in de vorm van een usb-sleutel). Overigens biedt Aladdin meerdere eToken-toestellen aan naast de usb-sleutel, onder meer een smartcard en nabijheidssystemen. Het eToken kunt u gebruiken voor netwerktoegang, inlog bij websites en bij vpn-toegang, maar ook voor encryptiedoeleinden en digitale ondertekening. Zo kan eToken worden gebruikt samen met de encryptiesystemen van SafeBoot en Utimaco, PGP, Check Point en de vpn-client van Cisco. Verschillende van deze systemen hebben we eerder in dit blad besproken. Voor bedrijven biedt Aladdin ook een 'enterprise single sign-on' aan met deze eTokens en dat heet dan logischerwijze eToken Single Sign-On. Dit centrale beheer vergt natuurlijk een aparte licentie. Het eToken vereist een voorafgaande installatie van twee software-onderdelen. Eerst is er de eToken PKI Client software. Zoals u weet staat PKI voor 'Public Key Infrastructure' (publieke-sleutelinfrastructuur). Deze software stelt u dus in staat het eToken als een digitale sleutel te gebruiken voor encryptie en ondertekening, maar ook als authenticiteitsgegeven bij een inlog. De tweede software is de eToken Web Sign-On (WSO) en zoals de naam al aangeeft, dient dat om websitelegitimaties automatisch te voorzien. De gebruikersinterface is eenvoudig met menu's waardoor u allerlei opties kunt instellen. U kunt hier ook instellen wat er moet gebeuren als het token uit de pc verwijderd wordt: computer vergrendelen, afsluiten of, zo u dat wenst, niets doen. Het token kan in de fabrieksinstellingen gezet worden door het te herformatteren en krijgt dan een verstekwachtwoord. Zolang u dat verstekwachtwoord niet gebruikt hebt als hoofdinlog is er niets aan de hand. Het is mogelijk om het token als enige inloglegitimatie te gebruiken, dus zonder extra wachtwoord of pincode. Dat is echter geen goed idee, aangezien de legitimatie dan ook slaagt als iemand dat token kan weggrissen of als een gebruiker het gewoon in zijn pc of notebook laat zitten. We raden dit bijgevolg niet aan op systemen met volledig versleutelde harde schijven. Aladdin eToken Single Sign-On is een clientgebaseerde oplossing. Voor het centraal beheer van tokens hebt u nog een ander product nodig: Aladdin eToken Token Management System (TMS). De WSO-software voor individuele gebruikers zoals in de vorige paragraaf besproken werd, hoeft u niet te installeren, want die zit in dit SSO-product vervat. Ofschoon SSO centraal beheerd kan worden, worden de legitimaties van individuele gebruikers ook altijd op hun eToken bewaard. De bij applicaties horende legitimaties kunnen automatisch worden ingevuld dankzij eToken templates (sjablonen). Dat is een blauwdruk van de bij een bepaalde applicatie horende legimatiedialoog. Aladdin ondersteunt hierbij zowat alles aan applicaties, ook Java-applets en opdrachtregellegitimaties. En als webbrowsers mag u ook de allerlaatste versies van de populairste twee gebruiken: IE7 en Firefox 2 en hoger. Voor Firefox wordt er een eToken toolbar toegevoegd als een Firefox Extensie. De populairste applicaties zitten allemaal al verwerkt in de voorgedefinieerde sjablonen. U hoeft dus alleen zelf een sjabloon te ontwerpen voor applicaties die Aladdin onbekend zijn. Ook Vista wordt ondersteund, maar alleen de 32-bit versie en niet de netwerklogin. Overigens kunt het eToken ook gebruiken in combinatie met een smartcardlegitimatie: in dat geval bevat het eToken uw cerficaten voor de inlog. Behalve de sjablonen werkt eToken SSO ook nog met profielen. Waar sjablonen de informatie van legitimatieformulieren van allerlei applicaties bevatten, bevatten de profielen de eigenlijke gebruikersspecifieke gegevens nodig voor de inlog op een applicatie of een website. eToken SSO kan ook werken met een virtueel in plaats van een fysiek token, maar dat staat dan opgeslagen op ofwel een extern opslagmedium of uw 'C:\Documents and Settings'-folder. Zo'n virtueel token is bijvoorbeeld heel handig voor als uw fysieke token gestolen wordt of als u het verliest. Aladdin eToken werkt prima, maar wij vrezen toch dat gebruikers erg de neiging gaan hebben om usb-tokens gewoon in hun machines te laten zitten. Dat geldt trouwens ook voor smartcards: we kennen voorbeelden van gebruikers die rand van de kaart afknipten om te verbergen dat die in de lezer bleef zitten! Imprivata OneSign is, zoals de naam al aangeeft, een 'single sign-on' (SSO) systeem. Dat biedt één sterke inlog en vult daarna volautomatisch alle applicatie-en dienstspecifieke inlogs van een gebruiker voor hem in. Imprivata doet dit met behulp van een paar rekgemonteerde servers (een primaire appliance en een failover appliance die met een geïsoleerde netwerkverbinding met elkaar verbonden zijn) die de OneSign Server draaien. Het besturingssysteem is Novell SuSE Linux en de OneSign Server houdt alle gegevens bij van gebruikers en hun accounts en beheert en benut de beveiligingsreglementen, applicatieprofielen en authenticiteitscontroleregels die u opstelt. Als database gebruikt het MySQL. We hebben dit systeem eerder al getest (zie Data News 25 van 24 augustus) en verwijzen u dus naar dat artikel. Nieuw is dat OneSign nu ook Firefox ondersteunt en kan werken met een provisioneringssysteem via de SPML-standaard (waarbij Imprivata meerdere SPML-dialecten kan ondersteunen via speciale connectoren) als u werkt met een HR-gebaseerd centraal identiteitsbeheersysteem. Als uw onderneming met een eigen identiteitsbeheersysteem werkt, zal de gebruiker ook de eerste keer geen inlogprocedure moeten doorlopen bij OneSign vermits die inlog voorgedefinieerd werd in het identiteitsbeheersysteem en de OneSign appliance daarmee samenwerkt via SPML. SPML staat voor Service Provisioning Markup Language en is een XML-gebaseerd framework ontwikkeld door OASIS voor het uitwisselen van provisioneringsgegevens in verband met gebruikers, diensten en bronnen. Imprivata levert altijd een compleet 'failsafe' (uitvalveilig) systeem met twee appliances en berekent een prijs per seat. Een seat is gedefinieerd als een echte SSO-gebruiker, dus geen netwerkgebruiker die in feite een alias is voor een computer of voor software (zoals een service). U betaalt dus alleen voor echte gebruikers. Rekening houdend met de vlekkeloze implementatie van OneSign zonder dat daar programmeerwerk of scripting bij moet gebeuren, is de prijs erg interessant. We kunnen positief zijn over de werking van het geheel: dat is erg gemakkelijk, transparant naar gebruikers toe en zowel effectief als efficiënt. RSA biedt met zijn SecurID appliance helaas geen SSO, maar wel een veilig authenticiteitscontrolesysteem. Dit systeem van RSA werkt met tijdgesynchroniseerde tokens. Het token zelf dient hierbij niet fysiek voor de authenticatie, maar toont op een lcd-schermpje een zescijferige code en die verandert om de minuut. Het idee is, dat een gebruiker een pincode plus die zescijferige tokencode gebruikt om in te loggen. De zescijferige tokencode is veilig omdat die om de minuut verandert en dus niet nagemaakt kan worden en de bijkomende pincode garandeert dat de gebruiker is wie hij moet zijn. Een pincode is voor de meeste gebruikers vrij gemakkelijk te onthouden, waardoor ze minder vlug in de verleiding zullen komen die te noteren. Omdat het RSA-token niet in een pc hoeft te worden gestoken maar wel bekeken moet worden, is de ideale plek voor veel gebruikers voor dat token de sleutelbos. Het token heeft dan ook een ringetje bovenaan speciaal om het aan een sleutelbos te hangen. Het feit dat de tokencodes elke minuut veranderen, brengt ons tot dat 'tijdgesynchroniseerde' aspect van het token. De tokens gebruiken een door RSA ontworpen algoritme om elke minuut een nieuwe zescijferige code te berekenen, die uniek is voor elk token. De RSA SecurID appliance heeft datzelfde algoritme aan boord en kan dus aan de hand van het identificatienummer van een token berekenen welke cijfercode momenteel zichtbaar is op het lcd-paneeltje van dat token. Dat werkt alleen maar als de RSA SecurID appliance een nauwkeurige tijdsinstelling heeft, want alleen dan is die gesynchroniseerd met de tijdsmeting in de SecurID-tokens. Die RSA SecurID appliance is een één 19-inch-rekeenheid hoge appliance die u in uw computerruimte kunt monteren of op een andere locatie. Er is immers geen enkel contact tussen de tokens en de appliance, u hoeft dus ook nergens rekening mee te houden inzake plaatsing van de appliance. De appliance heeft uiteraard een netwerkaansluiting (in feite vier) en daarmee kan een beheerder de ingebouwde webinterface bereiken om het systeem mee te beheren. Verder zal een op de te beveiligen systemen geïnstalleerde RSA Authentication Agent contact opnemen met die appliance via die netwerkaansluitingen. De RSA SecurID appliance gebruikt als besturingssysteen Windows Server 2003. Het enige bedieningselement op de appliance is een grote ronde draaiknop uiterst rechts op de voorkant die ook ingedrukt kan worden, vlak naast een vrij groot tweeregelig lcd-paneel waarin systeemstatusmeldingen verschijnen. Eenmaal dat de appliance geconfigureerd is en draait, zult u als beheerder normaal alleen via de webinterface met het toestel werken. De initiële configuratie verloopt via een webwizard. Die overloopt alle benodigde instellingen met u. U mag die instellingen overigens afbreken wanneer u maar wil en de appliance onthoudt dan wat u al ingesteld hebt: u hoeft dus niet iedere keer van nul te herbeginnen zoals bij sommige andere systemen die we al gezien hebben. De basisinstellingen omvatten de netwerkinstellingen, configuraties voor een tijdserver (zeer belangrijk voor de goede werking van het tokensysteem), de licenties voor het systeem en de toewijzing van één token voor de beheerder van het systeem nadat de SecurID-'zaden' voor de aangekochte tokenverzameling van een cd zijn ingelezen. Bij die toewijzing wordt ook de server met het token gesynchroniseerd. Dat werkt doordat de beheerder bij de toewijzing van zijn token twee opeenvolgende getoonde codes moet doorgeven aan de appliance. Daarmee heeft de appliance alle gegevens om zelf met succes de juiste codes voor alle tokens in de verzameling te genereren. Nadat de beheerder zichzelf een token en een pincode heeft toegewezen, zal de appliance voortaan deze tokeninlog verlangen voor het inloggen op de beheerwebinterface. De volgende stap is het toevoegen van gebruikers. U definieert voor elke gebruiker die u een token wil toekennen een voor- en familienaam plus een gebruikersnaam en dan het serienummer van het token dat u toewijst. Er is standaard helaas geen manier voorzien om de gebruikersnamen uit het directorysysteem van het bedrijfsnetwerk te halen. Dat pleit ervoor om de tokens te beperken tot personeel dat met de meest gevoelige data werkt. Om de gebruikers de tokeninlog te laten gebruiken, moet die eerst gekoppeld worden aan een netwerkbron. Dat gebeurt met behulp van de RSA Authentication Agent. Die kunt u downloaden van de website van RSA voor zowat alle mogelijke platforms. Een voor de hand liggende netwerkbron is een webserver of website en eventueel bepaalde onderdelen daarvan, waarvoor een inlog vereist is. Bij gevoelige data denken we dan aan websites die aan gespecialiseerd personeel toegang verlenen tot medische, juridische, verzekerings- of financiële data. U installeert de RSA Authentication Agent op de server waarvan u de netwerkbron wenst te beschermen. Bij een webserver kunt u bijvoorbeeld opgeven welke pagina's u wenst te beschermen. Na de installatie zal elke toegang tot de aldus beschermde netwerkbron een inlog vereisen met een gebruikernaam en een wachtcode. Die wachtcode is de combinatie van een pincode met een tokencode. In het webbeheer van de appliance koppelt u een gebruiker aan de Agent Host om hem toegang te verschaffen. Behalve webservers kunt u op deze manier ook besturingssystemen (zoals de inlogprocedure van Windows of Linux), vpn's, applicatieservers en toegang op afstand beveiligen met deze Secur-ID-inlog. Overigens noemt men deze methode van inloggen ook wel een tweefactor-authenticatie, omdat de authenticatie tot stand komt met iets dat gebruikers kennen (hun pincode) en iets dat ze krijgen of hebben (hun tokencode). De RSA SecurID appliance kan zowel in grote als in kleinere ondernemingen gebruikt worden. U kunt meerdere appliances opstellen die dan elkaars replica zijn. Het systeem kan van 10 tot 50.000 gebruikers ondersteunen. Bij grotere hoeveelheden gebruikers is het natuurlijk niet meer praktisch om elke gebruiker manueel aan een token te moeten gaan koppelen. Daarvoor biedt RSA de RSA Deployment Manager, waarmee u op een eenvoudige manier tokenuitreikingen kunt beheren. Hetzelfde authenticatiesysteem bestaat trouwens ook in een software-editie: de RSA Authentication Manager. Ook die kan samenwerken met de appliance waarbij de een een primair systeem is en de ander een replica. De tokens zelf hebben een vastgelegde geldigheidsduur van drie, vijf of zeven jaar en hun batterij zal dus minstens zolang meegaan. Na de vastgelegde geldigheidsduur stopt zo'n token en toont dan een bericht dat het vervallen is. U moet het dan vervangen. Er is overigens geen licentiebeperking inzake het aantal gebruikers dat u kunt ondersteunen via de RSA SecurID appliance. RSA voorziet ook een migratiemogelijkheid om u te laten migreren van een software-oplossing naar de appliance (of omgekeerd). De RSA SecurID appliance voorziet een gemakkelijk te beheren methode voor het bieden van een veilige tweefactorauthenticatie die vanaf eender welke locatie bruikbaar is, dus ook op hotel of thuis. Op www.rsasecured.com kunt u een lijst vinden van alle producten van derden die RSA SecurID specifiek ondersteunen. Dit systeem verdient dus zeker uw aandacht als u een veilige inlogprocedure wenst die geen zware eisen stelt aan de gebruikers. Maar bedrijven wensen toch meerdere legitimatiemethodes en zeker ook een SSO, dus wellicht zou RSA in die richting kunnen en eigenlijk ook moeten uitbreiden. Het meest veelzijdige wachtwoordbeheersysteem met single sign-on is zonder enige twijfel dat van Imprivata. Voor een pure softwareoplossing zijn we zeer gecharmeerd van Actividentity. De producten van Aladdin en RSA bieden een specifieke legitimatiemanier (respectievelijk USB-tokens en tijdgesynchroniseerde tokens) die bruikbaar is in een SSO-systeem en hoewel Aladdin dat biedt, zijn er betere systemen beschikbaar. JOhan Zwiekhorst