Tag Archives: Authenticatie

We moeten af van certificaat autoriteiten, zegt Marlinspike

Moxie Marlinspike, een hacker en beveiligingsonderzoeker, pleitte in augustus 2011 tijdens de Black Hat beveiligingsconferentie voor een nieuwe manier om de echtheid van websites te garanderen. Het was een vervolg op een blogpost van hem in april 2011. Marlinspike vindt dat certificaat-autoriteiten (CA’s) niet langer gebruikt kunnen worden. Hij pleit voor een website-authenticatie-mechanisme waarbij sprake is van ‘trust agility’. Individuele gebruikers moeten volgens Marlinspike zelf hun authenticatie-leverancier kunnen kiezen, in plaats dat die hun wordt opgedrongen. Ook stelt hij een Firefox-plugin voor die die mogelijkheid biedt: Convergence.

Hèt probleem van het CA-systeem is volgens Marlinspike dat één eigenschap ontbreekt: trust agility. ‘At the moment, if I decide that I don’t trust VeriSign or Comodo or any other CA, what can I do? The very best I could do would be to remove the offending CA’s certificate from my trusted CA database, but then some large percentage of secure sites I visit would break. I could take an ideological stand to never visit any of those sites again, but in reality, there isn’t actually an appropriate response, and this is as true for browser vendors as it is for individuals like me’, schrijft hij in zijn blog. Zijn woorden bleken profetisch, zo bewijst de Diginotar-hack.

Continue reading

Share This:

Authenticatiemethode maakt onderscheid tussen mens en bot

2 november 2010

Twee Amerikaanse wetenschappers hebben een nieuwe methode ontwikkeld om bots van mensen te onderscheiden. De methode is gebaseerd op de snelheid van de toetsaanslagen en is bedoeld voor authenticatieservers. Om aanvallen van bots op individuele computers tegen te gaan, hebben Danfeng Yao en Deian Stefan TUBA ontwikkeld. Deze nieuwe authenticatiemethode houdt rekening met de snelheid waarmee url’s, mailadressen en wachtwoorden wordt ingetikt. Danfeng Yao is assistant professor bij Viriginia Tech en Deian Stefan is PhD-student aan de computer science-afdeling van de Stanford University. Als hun nieuwe methode op een authenticatieserver wordt geïmplementeerd, bepaalt TUBA de snelheid van de gebruiker. Als TUBA genoeg gegevens heeft verzameld, verwerkt het de informatie in een profiel van de gebruiker. Nadat de trainingsfase is afgerond kan een verdachte handeling bij de authenticatie van een gebruiker worden gedetecteerd. De gebruiker moet dan van TUBA een aantal namen, url’s en e-mailadressen invoeren. De server genereert de gegevens die de gebruiker moet tikken aan de hand van informatie uit de trainingsfase. Als deze gegevens zijn ingevoerd, kan TUBA beoordelen of het door een menselijke gebruiker of door een bot is gedaan.

Continue reading

Share This:

DigiD: beveiliging is van later zorg

22 oktober 2010

Er zijn nauwelijks beveiligingseisen voor het SMS-gedeelte van de DigiD-authenticatie, toch stelt BZK dat de garanties er wel zijn. Andere beveiliging is van later zorg. Dat bleek tijdens de rechtszitting, die aangespannen was door het bedrijf Golden Bytes BV tegen Binnenlandse Zaken (BZK). Deze onderneming levert nu de SMS-berichten van de overheid af en was een van de inschrijvers op de nieuwe aanbesteding, waaruit nu bijna alle beveiligingseisen zijn verdwenen. ‘Er is gekozen voor prijs en niet voor veiligheid’, concludeert Frederik van Nouhuys, advocaat van Golden Bytes. Zijn klant verloor de opdracht, omdat het bedrijf op een bedrag van ongeveer 900.000 euro een kleine 18.000 euro duurder was dan de winnaar. De prijs is alleen incompleet, omdat er nog veel beveiligingseisen aan de opdracht worden toegevoegd. Van Nouhuys vreest dat inbrengen van beveiliging in een later stadium wel eens een half miljoen kan gaan kosten en daarmee zoveel kosten zijn gemoeid dat de onderhandse opdracht wel erg groot is. Daarmee overtreedt de overheid de wet en zou de aanbesteding niet mogen doorgaan.

Continue reading

Share This:

DigiD naar DigiD-X

24 september 2010

DigiD is een publieke authenticatievoorziening, waarmee burgers zich online kunnen authenticeren ten overstaan van dienstverleners van de Nederlandse e-overheid. DigiD is anno 2010 een belangrijke bouwsteen van de e-overheid. Medio 2009 is een aanvang gemaakt met het specificeren van een nieuw DigiD op basis van een moderne en modulaire architectuur, waardoor het beter te beheren is en beter is toegerust op de huidige en toekomstige taken, waaronder integratie met andere voorzieningen van de e-overheid, zoals bijvoorbeeld GMV (Gemeenschappelijke MachtigingsVoorziening) en MijnOverheid.nl. De doelstellingen van het nieuwe DigiD, voorlopig DigiD-X genaamd, zijn als volgt vastgesteld:

  • Efficiënt beheer en doorontwikkeling door het gebruik van een modulaire systeemarchitectuur en een moderne software-architectuur;

  • Moderne GUI (Graphical User Interface) voor eindgebruikers die voldoet aan de webrichtlijnen, vernieuwde en vereenvoudigde gebruikersinteracties en een moderne GUI voor beheerders;

  • Moderne koppelvlakken die voldoen aan het OSB (OverheidsServiceBus) afsprakenstelsel en die gebruik maken van internationale standaarden, zoals bijvoorbeeld SAML-2;

  • Goede integratie met nieuwe e-overheidsvoorzieningen.

Continue reading

Share This:

Vingerafdrukken in Franse handen ?

16 september 2010

De Tweede Kamer maakt zich zorgen om de bouw van een vingerafdrukdatabase door een Frans bedrijf. Kamerfracties willen de opslag niet in buitenlandse handen geven. Volgens de regering gaat het echter om een misverstand. In de zomer van 2009 werd wetgeving aangenomen waardoor de vingerafdrukken van alle Nederlanders die een nieuw paspoort aanvragen in een centrale database komen te staan. Demissionair minister Ernst Hirsch Ballin heeft gezegd dat deze database door een Frans bedrijf wordt gebouwd. De Tweede Kamer maakt zich daar ‘grote zorgen’ over. Zo reageerde PVV-Tweede Kamerlid Hero Brinkman ‘geschokt’. Volgens hem wordt het beheer van de vingerafdrukken aan een andere natie toevertrouwd, zonder dat de Franse minister van Binnenlandse Zaken bij problemen ter verantwoording kan worden geroepen. Volgens VVD-parlementariër Jeanine Hennis-Plasschaert wordt in het jaarverslag van inlichtingendienst AIVD juist expliciet gewaarschuwd voor het uitbesteden van databanken aan al dan niet buitenlandse private partijen. Dat zou risico’s van spionage met zich meebrengen. Ook de SP reageerde verontrust.

Continue reading

Share This: