Er det sikkert eller er det ikke længere sikkert at bruge RSA's SecurID-løsning til login?
Det spørgsmål bliver nu igen stillet af kunderne, efter at RSA nu har meldt ud, at firmaet vil udskifte nogle særligt følsomme kunders SecurID-tokens.
Da RSA blev ramt af et hackerangreb i midten af marts var beskeden fra RSA, at kunderne stadig var i sikre hænder med SecurID. Men da våbenfabrikanten Lockheed Martin i maj blev ramt af et hackerangreb, hvor firmaets SecurID-login var kompromitteret, kom RSA på andre tanker. Det skriver New York Times.
Lockheed Martin havde fulgt alle de råd, som RSA havde givet i kølvandet på indbruddet hos RSA og havde tilføjet et ekstra trin i loginprocessen, som ifølge RSA ville sikre firmaet. At hackere alligevel kunne finde vej igennem login-muren var derfor en alvorlig advarsel om, at RSA havde fejlvurderet situationen.
Nu kritiserer sikkerhedseksperter over en bred kam RSA for ikke at reagere mere resolut i marts og lægge alle kortene på bordet. Både de offentlige meldinger fra RSA og beskederne til kunderne har indtil nu holdt fast i, at den grundlæggende sikkerhed i SecurID ikke var ramt.
»De har fulgt en partilinje om, at alt var fint ? og bare ignorer eksplosionen over i hjørnet,« siger sikkerhedskonsulenten Gary McGraw fra firmaet Cigital til New York Times.
Generelt forsøger mange af SecurID-kunderne nu at finde andre løsninger, og i forsvarsindustrien og hos Pentagon i USA er man allerede på vej til at skifte til mere avanceret teknologi som login med smartcards.
De fleste andre steder må man i første omgang koncentrere sig om at tage imod tilbuddet om en udskiftning af alle SecurID-tokens, og så er planen på længere sigt at finde en anden løsning og en anden leverandør, lyder vurderingen fra sikkerhedskonsulenterne.