Details over Login tokens

Het inloggen op servers wordt doorgaans gedaan met onveilige passwords en onhandige inlognamen. Met Login tokens wordt dit systeem vervangen door een uitermate veilig alternatief, waarmee het inloggen vrijwel onopgemerkt blijft voor de eindgebruiker.

intro  details  vragen  voorbereiding  bestel

Een Login token is een certificaatvorm dat op de klant-kant van een beveiligde verbinding wordt geïnstalleerd. Bijvoorbeeld in een webbrowser die websites over het https:// protocol aanspreekt. Alle protocollen die op TLS (vroeger SSL) zijn gebaseerd zijn hiertoe in staat, bijvoorbeeld ook beveiligd pop3, beveiligd imap en beveiligd ldap.

Authenticatie

Wanneer de webserver het nodig acht dat de klant zich authenticeert voor toegang, kan de browser worden gevraagd om een Login token te presenteren. Dit zal doorgaans zijn omdat een beschermd deel van de service wordt benaderd, bijvoorbeeld persoonlijke email in een webmailsysteem. Afhankelijk van de browser zal deze om toestemming vragen, of een keuze uit beschikbare Login tokens aanbieden, in de vorm van een popup.

De browser moet ook het eigendom van het Login token aantonen, en om dat te doen wordt een encrypted code toegezonden die alleen de eigenaar van het Login token kan decrypten. Wanneer de decrypted code teruggestuurd wordt is de server overtuigd dat hij met de juiste klant van doen heeft. De codes die over het netwerk reizen zijn elke keer anders, dus afluisteren van dit verkeer heeft geen zin. Dit is dan ook veel veiliger dan het verzenden van telkens dezelfde passwords voor iedere login; zeker wanneer hetzelfde password voor allerlei websites wordt gebruikt. Verder zijn de codes ook nog eens veel langer dan passwords, waardoor ze nog een flinke slag veiliger worden.

Publieke en geheime sleutels

Dit mechanisme berust op zogenaamde sleutelparen, waarin twee sleutels zitten die elkaars werking omkeren. Wat de ene encrypt, kan de andere decrypten. De ene sleutel wordt in het Login token ingestansd; dit is de publieke sleutel. De andere wordt geheim gehouden en alleen de eigenaar van het Login token heeft er toegang toe; daarom wordt deze sleutel de geheime sleutel of de priv&eacc;sleutel genoemd.

De geheime sleutel wordt gebruikt om eigendom van het Login token aan te tonen, en om er voor te zorgen dat niet iedereen dat kan claimen zit er doorgaans een password of pincode op de geheime sleutel. Dit password wordt alleen lokaal gebruikt, wanneer toegang tot de geheime sleutel nodig is. De browser vraagt er doorgaans eenmalig naar, namelijk de eerste keer na het opstarten dat de geheime sleutel wordt gebruikt.

Een kwetsbaar punt bij de aanvraag van een Login token is het genereren van een nieuw sleutelpaar. Dit is een functie die door de browser wordt vervuld. Die houdt de geheime sleutel intern opgeslagen, beschermd met een password om te voorkomen dat het leesbaar op een schijf wordt opgeslagen. Of, wanneer een smart card is aangesloten, kan de browser die vragen het sleutelpaar te genereren en de geheime sleutel op de kaart te bewaren. De publieke sleutel wordt tenslotte naar OpenFortress gestuurd voor opname in het Login token.

OpenFortress zet de aanvraag na betaling klaar in de wachtrij van taken die door een computer in een kluis worden opgehaald, gecontroleerd, bewerkt en ondertekend met een geheime sleutel van OpenFortress. Deze ondertekening maakt het certificaat af, want het is nu controleerbaar afkomstig van OpenFortress, zodat vertrouwd kan worden op de zorgvuldigheid die OpenFortress in haar policy voor dit produkt heeft vastgelegd.

Installatie van een Login token

Een Login token wordt geïnstalleerd zoals alle andere klantcertficaten. Zodra het door OpenFortress is aangemakt, kan het van een vooraf bebaalde plek worden afgehaald. De browser accepteert het, mogelijk zelfs zonder daar verder ruchtbaarheid aan te geven, wanneer de publieke sleutel in het Login token gepaard is met een geheime sleutel die intern opgeslagen is. Het Login token is na acceptatie klaar voor onmiddelijk gebruik.

De webbrowser hoort onder de instellingen een sectie te bieden waarin alle certificaten opgesomd staan; klantcertificaten (of "jouw certificaten") worden doorgaans afzonderlijk opgesomd. Na een succesvolle installatie verschijnt het nieuwe Login token daar vanzelf, onder een naam als Anonymous User 12345 maar dan met een ander nummer. Dit Login token kan gewoon uit deze lijst worden verwijderd wanneer die verder niet meer nodig zou zijn.

Het Login token is indirekt ondertekend met het klassieke rootcertificaat dat OpenFortress gebruikt voor TLS/SSL technologie. Je hoort dit rootcertificaat te accepteren voordat je het Login token accepteert. Dit maakt het mogelijk te controleren dat het ontvangen Login token inderdaad is ondertekend door OpenFortress, en dat dat correct gedaan is. Instrukties voor het accepteren van het rootcertificaat volgen in de checklist op de bestel-voorbereidingspagina.

Gebruik van een Login token

Bepaal vooral wat het doel van een nieuw Login token wordt, en vooral hoe veilig het moet zijn. Kies een password dat een bijpassende lengte en ingewikkeldheid heeft. Voor online bankieren is het de overweging waard om een smart card te laten samenwerken met de browser.

Mogelijk zijn er redenen om meerdere Login tokens parallel te gebruiken. Bijvoorbeeld eentje voor het beschermen van online bankieren op basis van smart cards, en een andere voor algemenere toepassingen op basis van een geheime sleutel in de browser. En misschien nog eentje voor werkgerelateerde zaken. Het is mogelijk meerdere Login tokens tegelijk te gebruiken.

Mogelijk zijn er ook redenen om meerdere Login tokens met hetzelfde nummer parallel te gebruiken; dit kan door een vernieuwing van zo'n Login token aan te vragen in plaats van een verse. Het vernieuwde Login token, met daarin hetzelfde nummer, kan door accepterende websites en andere diensten beschouwd worden als een equivalent van het originele Login token. Het vernieuwde Login token kan elders worden opgeslagen, bijvoorbeeld op een andere computer. Dit kan worden bereikt door de import/export (of backup/restore) functionaliteit die de browser doorgaans biedt voor klantcertificaten.

Login tokens verlopen na een jaar. Diensten die Login tokens accepteren horen de toegang te weigeren aan zulke verlopen Login tokens. OpenFortress geeft echter nog een extra maand speling, waarin het verlopen Login token kan worden vernieuwd met behoud van het nummer. Het vernieuwde Login token kan nu worden gebruikt om alsnog in te loggen op de dienst die het verlopen Login token weigerde.

Resellers en kosten

Login tokens zijn zeer voordelig, en als resellers daar wat bijtellen dan zal dat vooral zijn voor verleende diensten. Verwacht de goedkoopsten rond de prijs van EUR 1,50. Kortingen kunnen van toepassing zijn, afhankelijk van de reseller. Een kostenvergelijking met een mogelijk zelfbouw oplossing is beschikbaar als een Engelstalige spreadsheet voor Excell, OpenOffice of Gnumeric.

Het betalen van kleine bedragen voor enkele Login tokens staat bekend als micro-betalingen; klassieke betalingsmechanismen zoals bankrekeningen en credit cards zijn veel te duur om zulke betalingen efficiënt te verwerken. Verwacht van resellers daarom dat ze een eigen valuta accepteren, mogelijk zelfs in de vorm van postzegels of telefoontikken.

Resellers kunnen ons in goud betalen als ze Login tokens per stuk aanschaffen. Voor wat massalere afname is het mogelijk gespecialiseerde contracten af te sluiten. Neem daarvoor contact met ons op via sales@openfortress.nl.

Resellers mogen nooit in staat zijn zogenaamde man-in-the-middle aanvallen te arrangeren. Daarom moeten alle sleutelparen aangemaakt worden via de website van OpenFortress. De reseller kan hiervoor een tijdelijke zijstap naar onze website maken; na de generatie van het sleutelpaar wordt de klant dan teruggestuurd naar de website van de reseller.