Wachtwoord gestolen; geen man overboord

23-11-2016 | door: Teus Molenaar

Wachtwoord gestolen; geen man overboord

Niet dat PointSharp het graag ziet gebeuren, maar we weten allemaal wel dat gebruikersnamen en wachtwoorden in verkeerde handen kunnen vallen. Wie de software van dit securitybedrijf gebruikt, hoeft dan niets te vrezen. “Met onze sterke authenticatie heb je aan naam en wachtwoord niet genoeg; de bedrijfsgegevens zijn veilig”, zegt Henk Honders, Sales Manager Benelux bij PointSharp.

Het van oorsprong Zweedse PointSharp vindt zijn wortels in militair gebruik in dit koninkrijk. Zij waren een van de eerste klanten. Ook de Defensie van Denemarken vertrouwt op de beveiligingsoplossing van de bovenburen. Honders haalt het aan om aan te geven dat de oplossing niet bij de eerste de beste in gebruik is. Soldaten hebben er een grondige hekel aan als anderen in hun systemen neuzen en zullen er alles aan doen dit te voorkomen.

“Maar daarbij moet je altijd een balans vinden tussen het dichttimmeren van systemen en gebruiksgemak. Het moet niet zo zijn dat eindgebruikers zoveel hinder gaan ondervinden van een security-oplossing dat ze een omweg gaan proberen te vinden. En meestal vinden ze die wel. Dan ben je eigenlijk nog verder van huis”, zegt Honders. “Het is onze taak het voor de eindgebruikers zo gemakkelijk mogelijk te maken, zonder dat het ten koste gaat van security. De beheerders van de systemen moeten heel eenvoudig het platform kunnen beheren en fine-tunen in hun bestaande netwerkomgeving. Er is een dashboard en rapportage beschikbaar voor managers die inzicht willen hebben in het inlog-gedrag van gebruikers en devices. En het kan naar behoefte heel algemeen of uitgebreid zijn.”

Voorkant

PointSharp beveiligt de systemen aan de voorkant. Een gebruikersnaam en wachtwoord zijn niet voldoende om in het bedrijfsnetwerk te komen. Er is nog een code extra nodig. Voorheen zorgde een hardware token voor deze code. Meestal een cijferreeks die telkenmale opnieuw wordt gegenereerd. “Maar we zijn van die tokens afgestapt. Mensen raken ze kwijt; bovendien kosten ze veel geld. Sommige fabrikanten vragen wel zestig euro voor zo’n ding dat na drie jaar moet worden vervangen. Dat loopt aardig in te papieren als je een grote onderneming hebt. Ik ben altijd wel een beetje blij als ik bij een firma kom die nog met hardware tokens werkt, want dan is de businesscase overduidelijk in het voordeel van onze huidige oplossing”, lacht Honders.

Want PointSharp heeft het plastic ‘rekendingetje’ vaarwel gezegd en de smartphone omarmd. “Wij werken met een One Time Password (OTP) dat via een app op de mobiele telefoon ontstaat. Die code, in combinatie met wachtwoord en gebruikersnaam, geeft toegang tot het bedrijfsnetwerk. Mits alle combinaties; dus ook het toestel zelf, kloppen met de gegevens in het register; meestal de Active Directory. Maar er zijn ook bedrijven die de gebruikersgegevens in een eigen LDAP- directory hebben”, legt Honders uit.

De app is te downloaden in de appstores van Apple-, Windows- of Android-toestellen. “Maar een organisatie kan er ook voor kiezen om de app zelf via zijn softwarecatalogus aan te bieden.”

Nieuw: PointSharp Push-app

Volgens Honders is de oplossing geschikt voor organisaties met 50 tot 50.000 medewerkers. Maar het zal geen verbazing wekken dat ook Ikea, met wereldwijd meer dan 110.000 personeelsleden, een PointSharp-oplossing hanteert om de medewerkers veilig de bedrijfssystemen in te loodsen.

De gebruiker moet dus een code genereren op zijn mobiele telefoon. Maar de aanbieder gaat het nog makkelijker maken met de PointSharp Push-app. Dan krijgt de medewerker een berichtje op zijn mobieltje met de vraag of het klopt dat hij wil inloggen op het bedrijfsnetwerk. Hij hoeft alleen maar op ‘ja’ te klikken. En als hij niet probeert binnen te komen, dan is meteen bekend dat iemand anders met zijn gebruikersnaam en wachtwoord het fort probeert te bestormen. Deze nieuwe versie is al klaar en getest. Hij zal in september/oktober beschikbaar zijn in de Benelux en andere landen.

Voor de medewerkers is het een kwestie van single sign-on. Niet alleen voor de bedrijfssystemen die on premise of ergens bij een cloud-dienstverlener staan, maar ook voor apps van derden die in de cloud worden verwerkt, zoals Salesforce.com.

Legacy uitfaseren

Honders vertelt dat een organisatie de oplossing kan toepassen voor bestaande en nieuwe systemen. Er hoeft niets te worden veranderd aan de software die het bedrijf in gebruik heeft. “Sterker nog: de beheerder kan zien of een bepaalde app wel of niet wordt gebruikt. De levensduur van apps is vaak niet zo hoog; soms alleen maar gedurende een bepaald project. Aan de inloggegevens kan de beheerder aflezen of een app moet verdwijnen.”

Maar er is niet alleen een legacy aan softwaresystemen, ook aan de hardware tokens. “Er zijn bedrijven die net veel van die dingen hebben gekocht. Die investering wil je niet overboord gooien. Zij kunnen dan al beginnen met ons smartphone systeem en de bestaande tokens uitfaseren. Gebeurt geheel automatisch, de beheerder kan aangeven hoeveel tijd bepaalde tokens nog mee mogen gaan.”

 

Externe identiteit

Organisaties vinden het niet prettig dat een medewerker met zijn  AD-wachtwoord op zijn telefoon rondloopt. Honders verwacht dat zij een ‘externe identiteit’ krijgen als ze buiten het kantoor komen; en zodra ze weer in de veilige omgeving zijn van het bedrijfspand teruggaan naar de AD-omgeving. “Wij bieden al oplossingen aan in deze richting voor Exchange en Skype, en het zou me niet verbazen als dit verder wordt uitgebreid en verfijnd”, zegt Honders.

Door: Teus Molenaar 

Terug naar nieuws overzicht

Tags

security