2stapsverificatie

Een token in plaats van het wachtwoord,wat schiet je daarmee op betreft veiligheid van de gegevens? Ik verwachtte een extra stap, zoals het woord aangeeft.
Marga

Goede vraag!

Login met een token zorgt er in elk geval voor dat het geen zin meer heeft jouw loginnaam en wachtwoord te raden, te kopiëren, te berekenen, etc. Want toegang via accountnaam en wachtwoord werkt niet meer bij gebruik van een token!

Daarnaast werkt het voor Lasso toegang alleen maar wanneer er gebruik gemaakt wordt van een extra pin-code die bij het token hoort. Dit is als het ware de tweede factor.

De pincode wordt overigens niet naar de server gestuurd, maar is nodig om het token te kunnen gebruiken. De pincode mag je maar een eindig aantal keren foutief ingeven (bij Yubikey 7x), daarna gaat het token “op slot” en moet het token gereset worden (en opnieuw aangemeld).

De toegang vind dus plaats op iets wat je hebt (het token) en iets wat je weet (pin code).

In laptops en wat moderne werkplekken wordt deze pincode vervangen door een vingerafdruk-scanner of door gezichtsherkenning. Ook dan wordt het resultaat van de scan niet naar de server gestuurd, maar wordt dat gebruikt voor het verkrijgen van de publieke sleutel op basis van het ingebouwd token.


Inloggen middels een token werkt principieel anders dan inloggen met naam en wachtwoord:

  1. De server stuurt een eenmalige unieke code naar de werkplek.
  2. De werkplek moet deze code versleutelen, zodanig dat die past bij de registratie van het token.
  3. De versleutelde code wordt naar de server gestuurd en die controleert de versleuteling.
  4. Wanneer alles klopt kan de de server opzoeken welk account het betreft en toegang verlenen.

Omdat de code steeds verandert zijn er geen gegevens die afgeluisterd kunnen worden, die dan weer later gebruikt kunnen worden om (onrechtmatig) in te loggen!

Je kunt het goed vergelijken met de bank app op de telefoon. De telefoon heeft een ingebouwd token en met een pincode kan de telefoon op een soortgelijke wijze zorgen voor toegang tot de bank. Dat is veel veiliger dan de toegang tot de bank vanaf een pc werkplek middels accountnaam en wachtwoord!

Hopelijk geeft deze toelichting wat meer vertrouwen?

— Jos

onbekend met tokens, wel met identifier van bank. welke fysieke winkels verkopen die tokens? gr Marga

De identifier van de bank is eigenlijk een apparaatje waar je een token (je bankpas) instopt. Voor Lasso kun token gebruiken wat direct in de USB poort van je werkplek gestoken kan worden.

Wij adviseren een sleutel van Yubikey, met dit merk hebben wij getest. Welke Yubikey sleutel je precies nodig hebt hangt van je werkplek af, van het type USB poort daarop.

Zoek in Google op Yubikey en je vind meerdere verkopers. Lasso-Concepten kan ook een sleutel leveren tegen kostprijs (de blauwe Yubikey met de USB A aansluiting).

Let op: vele moderne werkplekken (met name laptops) hebben een ingebouwd token. Heeft je werkplek een vingerafdruk scanner, dan heeft deze een ingebouwde sleutel. Heeft je werkplek een camera voor Windows Hello, ook dan heb je een ingebouwde sleutel. Je bent dan wel gebonden aan die werkplek (in andere woorden: je kunt die sleutel niet meenemen naar een andere werkplek).

— Jos