RSA 2½ måned efter hackerangreb: Hov, vores SecurID-løsning er usikker

RSA vil nu udskifte nogle af de 40 millioner SecurID-tokens, selvom firmaet i første omgang sagde, at der ikke var problemer. Sikkerhedseksperter raser over den månedlange reaktionstid.

Er det sikkert eller er det ikke længere sikkert at bruge RSA's SecurID-løsning til login?

Det spørgsmål bliver nu igen stillet af kunderne, efter at RSA nu har meldt ud, at firmaet vil udskifte nogle særligt følsomme kunders SecurID-tokens.

Da RSA blev ramt af et hackerangreb i midten af marts var beskeden fra RSA, at kunderne stadig var i sikre hænder med SecurID. Men da våbenfabrikanten Lockheed Martin i maj blev ramt af et hackerangreb, hvor firmaets SecurID-login var kompromitteret, kom RSA på andre tanker. Det skriver New York Times.

Lockheed Martin havde fulgt alle de råd, som RSA havde givet i kølvandet på indbruddet hos RSA og havde tilføjet et ekstra trin i loginprocessen, som ifølge RSA ville sikre firmaet. At hackere alligevel kunne finde vej igennem login-muren var derfor en alvorlig advarsel om, at RSA havde fejlvurderet situationen.

Læs også: RSA til kunder efter SecurID-hackerangreb: Pas på phishing!

Nu kritiserer sikkerhedseksperter over en bred kam RSA for ikke at reagere mere resolut i marts og lægge alle kortene på bordet. Både de offentlige meldinger fra RSA og beskederne til kunderne har indtil nu holdt fast i, at den grundlæggende sikkerhed i SecurID ikke var ramt.

»De har fulgt en partilinje om, at alt var fint ? og bare ignorer eksplosionen over i hjørnet,« siger sikkerhedskonsulenten Gary McGraw fra firmaet Cigital til New York Times.

Generelt forsøger mange af SecurID-kunderne nu at finde andre løsninger, og i forsvarsindustrien og hos Pentagon i USA er man allerede på vej til at skifte til mere avanceret teknologi som login med smartcards.

De fleste andre steder må man i første omgang koncentrere sig om at tage imod tilbuddet om en udskiftning af alle SecurID-tokens, og så er planen på længere sigt at finde en anden løsning og en anden leverandør, lyder vurderingen fra sikkerhedskonsulenterne.

Læs også: Bruger du RSA's SecurID-tokens? Se hvad hackerangrebet betyder for dig

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Rasmus Rask

...RSA nu har meldt ud, at firmaet vil udskifte nogle særligt følsomme kunders SecurID-tokens

Ah hvad? Hvad klassificerer en kunde som "særligt følsom"?

Ville en rimelig definition ikke være "samtlige af vores kunder, så åbenbart har set behovet, og betalt tusinder og atter tusinder af kroner, for vores 2-factor authenticator, SecurID"?

Ville det være helt uantageligt?

  • 0
  • 0
#2 Bjørn Damborg Froberg

Hej Rasmus,

Betegnelsen for hvem de vil hjælpe er for flyvsk til at være brugbar;

"An offer to replace SecurID tokens for customers with concentrated user bases typically focused on protection intellectual property and corporate networks. An offer to implement risk-based authentication strategies for consumer-focused customers with a large, dispersed user base, typically focused on protecting web-based financial transactions. "

Kilde: http://nakedsecurity.sophos.com/2011/06/07/rsa-to-replace-all-tokens-or-...

  • 0
  • 0
#3 Deleted User

Meldingen fra RSA er i det hele taget meget flyvsk, og jeg opgav at komme med en mere præcis definition på, hvem RSA nu vil skifte SecurID-tokens hos, i artiklen.

Tak til Bjørn for at smide RSA's egen formulering i debatten.

Hvis nogle herinde er SecurID-kunder, må de også gerne dele, hvad RSA fortæller dem direkte.

vh.

Jesper Version2

  • 0
  • 0
#5 Lars Nielsen

Selv om jeg er leverandør, mener jeg det er relevant for mange at vide, at vores erfaring fra mange installationer er, at selv hvis man fik tokens, er udgiften med at distribuere og aktivere dem ofte lige så store som selve tokenen selv. Og hvem ved om den nye token er mere sikker?

Det bedste alternativ er at have en løsning, hvor koden laves i real-tid og sendes til brugeren via enten en sms, telefon opkald eller e-mail for dem, der er på sikrede e-mail devices som blackberry.

Check eventuelt trade-in tilbud på tilbagekøb af RSA tokens på blog.smspasscode.com.

Lars Nielsen SMS PASSCODE

  • 0
  • 0
#7 Michael N. Jensen

Her skiftede vi også væk fra RSA tokens både af sikkerheds hensyn og besværlig administration af tokens, samt deres generelt ustabile administrations software.

Vi skiftede over på en smartcard løsning, der er bundet op til Active Directory certifikater (fortrinsvist windows pcere her).

Det gav også den bonus at pc'en automatisk låser, når folk tager deres smardcard ud af pc'en, og da smartcardsne er kombineret med en RFID chip, som vores fysiske adgangs system bruger, husker/tvinges folk til at tage deres kort med rundt hvis de forlader deres plads.

  • 1
  • 0
Log ind eller Opret konto for at kommentere