Sådan gøres den bærbare sikker på farten

Udover datakryptering er to-faktor-sikkerhed altafgørende for, at de danske virksomheder kan beskytte fortrolige oplysninger på bærbare enheder, mener to danske sikkerhedsfirmaer.

Hvis danske virksomheder skal rette op på den haltende mobilsikkerhed, skal de først og fremmest se at få indført to-faktor-sikkerhed på virksomhedens bærbare enheder. De mener to danske sikkerhedsfirmaer, Version2 har talt med.

Med to-faktor-sikkerhed skal der både et brugernavn, password og en ekstra, personlig sikkerhedskode til for at logge på virksomhedens systemer.

Som Version2 tidligere har skrevet, er den helt gal med de danske Top-1000 virksomheders omgang med sikkerheden på medarbejdernes bærbare pc'er, smartphones og usb-sticks ifølge en ny undersøgelse fra sikkerhedsvirksomheden Check Point.

Undersøgelsen viste, at 51 procent af de adspurgte virksomheder ikke har nogen sikkerhedsløsning på deres mobile enheder.

Og det er et stigende problem i takt med, at flere begynder at slæbe computere og mobiler ? og dermed virksomhedens fortrolige data og adgangsmuligheder - med sig på farten.

Desktops erstattes af notebooks
»Vi ser, at desktops er ved at dø ud, og alle begynder i stedet at bruge notebooks i stedet. Det er langt nemmere for folk at kunne tage deres arbejds-pc med sig, og når de så gør det, tager de jo for eksempel en masse Powerpoint eller regneark med sig, og derudover kan der være adgang til virksomhedens systemer gennem for eksempel VPN, Citrix eller dataportaler som Sharepoint,« siger kommerciel direktør Lars B. Nielsen fra SMS Passcode.

Det handler derfor om at sikre virksomhedens data på de bærbare enheder gennem kryptering, men også at tjekke, at brugeren af den bærbare er den, som han udgiver sig for at være, når han tilgår virksomhedens centrale systemer.

Det kan gøres gennem to-faktor-sikkerhed, hvor der både kræves brugernavn og kodeord, men også en ekstra oplysning, som kun ejeren af enheden har.

»En ekstra form for sikkerhed er to-faktor-sikkerhed, hvor der er 'noget man ved, og noget man har'. Når man tilgår et af virksomhedens systemer, taster man først et brugernavn og password. Derudover sendes der en kode til brugerens mobiltelefon via sms, som skal tastes ind på den samme maskine, og det er først efter det er sket, at man kan få adgang,« siger Lars B. Nielsen.

Grunden til den ekstra sikkerhed er, at mange medarbejdere har for vane at gemme deres brugernavn og kodeord i for eksempel en cookie i browseren. Hvis den bærbare så mistes, kan virksomhedens systemer i værste fald tilgås af uvedkommende, og det kan man lige så godt antage vil ske på forhånd, mener Lars B. Nielsen.

Brugen af telefonen til at holde den ekstra oplysning skyldes, at medarbejderen som regel husker at have den på sig ? og lægger mærke til det, hvis den mangler.

»Telefonen er så vigtig, fordi man altid har den på sig, fordi det ligger så dybt i os, at man altid ringer og får den spærret, hvis den skulle blive stjålet. Det betyder også, at man ikke gemmer det, 'man har', på for eksempel en lap papir, der ligger sammen med den bærbare,« siger Lars B. Nielsen.

Medarbejderne skal opdrages
Også hos konsulentvirksomheden Axcess ser man to-faktor-sikkerheden som afgørende, hvis virksomhederne vil sikre sig mod tab af fortrolige data.

»Sikkerhed er et vigtigt aspekt af mobilitetsløsninger, og inden man begynder at snakke features og funktioner, så bør man lave et analysearbejde på, hvad det er man vil med mobilitet i virksomheden,« siger security concept manager i Axcess, Jørgen Hartig.

»Man skal selvfølgelig bruge datakryptering, når medarbejderne har kritiske informationer med sig, men krypteringen er som sådan ikke stærkere end det password, der ligger oven på det. Derfor er det vigtigt med to-faktor-sikkerhed, hvor man for eksempel sørger for, at der skal sættes en usb-stick i den bærbare eller godkendes med biometri (fingeraftryksgenkendelse, red.), som jo er indbygget i mange bærbare i dag,« siger Jørgen Hartig.

Derudover peger han på, at de helt basale ting omkring sikkerheden skal være på plads.

»Et andet aspekt er det med, at data flyder. Der er rigtig få virksomheder, som har sat sig ned og lavet en analyse af, hvor deres data befinder sig, og hvor kritiske informationerne er for virksomheden,« siger Jørgen Hartig.

»Og derudover er der den menneskelige adfærd. At man for eksempel glemmer sin bærbare eller usb-stick i flyet. Derfor er vigtigt at opbygge en viden blandt medarbejder om, hvordan man passer på sine ting. Det lyder banalt, men det er stadig et vigtigt aspekt,« siger Jørgen Hartig.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Søren Dreijer

»En ekstra form for sikkerhed er to-faktor-sikkerhed, hvor der er ’noget man ved, og noget man har’. Når man tilgår et af virksomhedens systemer, taster man først et brugernavn og password. Derudover sendes der en kode til brugerens mobiltelefon via sms, som skal tastes ind på den samme maskine, og det er først efter det er sket, at man kan få adgang,« siger Lars B. Nielsen.

Mit eneste problem med SMS Passcode er, at deres produkt ikke er fuldstændig out-of-band. Med andre ord modtager du en kode på din mobil, som skal indtastes på samme maskine, hvor du også har indtastet dit brugernavn og password. Da angriberen dog kan have inficeret maskinen, er det en katastrofe, hvis han kan opsnappe alle informationerne og senere bruge dem, som han ønsker.

Ideelt set burde two-factor mekanismen være fuldstændig out-of-band, dvs. man burde svare på beskeden på sin telefon eller man burde bruge PhoneFactor og besvare det opkald man får.

  • 0
  • 0
Jakob Østergaard

SMS Passcode er heldigvis ikke "out-of-band", da dette vil umuliggøre den challenge og sessionsbaserede validering, der er en af de helt store styrker ved produktet.
Den ”ideele” løsning SD beskriver, har samme problem som de traditionelle hardware-token-løsninger - nemlig at tokenkoden/opkaldet ikke er begrænset til en for brugeren bestemt session. Dette gør det let for en hacker at slippe af sted med simpel phishing og beskytter alligevel ikke mod en inficeret maskine. Her vil problemet være ”man in the browser” eller ”session hijacking” som out-of-band løsningen på ingen måde beskytter bedre imod end SMS Passcode. Her er problemet ikke er at der indtastes en kode, der kun kan bruges i den pågældende session – den er næppe værd at stjæle. Problemet er at brugeren i god tro accepterer at logge på et beskyttet system – out-of-band eller ej.

  • 0
  • 0
Lars Nielsen

Hej Søren. Tak for kommentaren, hvilket anleder til at beskrive det en smule mere detaljeret. Jeg er enig med Jakob og lad mig lige supplere hans kommentar. Modsat traditionelle løsninger som tokens, så er der her tale om en ny generation af løsninger, hvor den anden faktor - noget man har - er forbundet til et netværk og derfor gør det muligt at levere en kode der er "sessions-specifik". SMS er det mest udbredte kommunikationsværktøj i verden og gratis at modtage overalt i verden fra Danmark. At ringe til en telefon lyder umiddelbart som en god ide, men problemet med løsninger som baserer sig på at man ringer til en telefon er, at ikke alle lande er dækket og at der vil være opkaldsomkostninger - ofte mange penge per opkald - forbundet med nogle lande. Du ved aldrig hvad omkostningen er, før du får regningen og det gør det meget ukontrolerbart. Det er faktisk sådan, de store penge tjenes på disse løsninger - lidt ligesom mobile roaming omkostninger i udlandet. Derudover skal man sikre sig det er stabilt, da man skal kommunikere med en central kalde service på internettet. For den yngre del af verdensbefolkningen kan det virke lidt gammeldags og lidt bøvlet med at skulle svare på et telefonopkald med en kode. De bruger SMS metoden til at kommunikere på. Tak igen for kommentaren.

  • 0
  • 0
Søren Dreijer

SMS Passcode er heldigvis ikke "out-of-band", da dette vil umuliggøre den challenge og sessionsbaserede validering, der er en af de helt store styrker ved produktet.

Først og fremmest bør jeg nok rette min egen kommentar fra tidligere. Efter nærmere eftertanke vil jeg sige at både SMS Passcode og PhoneFactor er "nok" out-of-band, da de begge modtager det vigtigste information, et valideringsnummer/opkald, via noget som brugeren har: en telefon. At du skriver at SMS Passcode "heldigvis ikke er out-of-band" er dog på ingen måde rigtigt. Det er jo netop at det ER out-of-band, der gør deres løsning attraktik. Derudover er deres sessionsystem jo netop også afhængig af denne out-of-band information. De kunne endda helt undgå at få brugeren til at skrive koden på sin computer ved at have ham svare på beskeden eller lignende. Det giver dog umiddelbart ikke nogen 'ekstra' sikkerhed, udover at det måske er nemmere (og dyrere) bare at trykke besvar på sin telefon.

Den ”ideele” løsning SD beskriver, har samme problem som de traditionelle hardware-token-løsninger - nemlig at tokenkoden/opkaldet ikke er begrænset til en for brugeren bestemt session. Dette gør det let for en hacker at slippe af sted med simpel phishing og beskytter alligevel ikke mod en inficeret maskine

Du beskriver her et meget lille timing-angreb. Angriberen skal time sit telefonopkald indenfor det 5-10 sekunders vindue hvor brugerens eget telefonopkald vil ske. Hvis en angriber kan time det så præcist, er det fordi han er en motiveret hacker med en meget specific agenda, og sådanne typer vil generelt kunne komme ind alligevel via social engineering eller ved simpelthen at stjæle personens telefon. Du kan dog aktivere sessionskoder i PhoneFactor ligesom i SMS passcode hvis du ønsker.

Dette gør det let for en hacker at slippe af sted med simpel phishing og beskytter alligevel ikke mod en inficeret maskine. Her vil problemet være ”man in the browser” eller ”session hijacking” som out-of-band løsningen på ingen måde beskytter bedre imod end SMS Passcode.

PhoneFactor beskytter faktisk mod man-in-the-browser angreb. Administratoren kan aktivere en funktion hvor telefonopkaldet indeholder kontekstinformation om fx hvor mange penge der overføres så brugeren ved hvad det er han godkender. Denne feature løser også det førnævnte timing-angreb.

  • 0
  • 0
Søren Dreijer

SMS er det mest udbredte kommunikationsværktøj i verden og gratis at modtage overalt i verden fra Danmark. At ringe til en telefon lyder umiddelbart som en god ide, men problemet med løsninger som baserer sig på at man ringer til en telefon er, at ikke alle lande er dækket og at der vil være opkaldsomkostninger - ofte mange penge per opkald - forbundet med nogle lande.

Det er bestemt ikke korrekt. I USA fx betaler du både for at sende og modtage beskeder.. og det samme gælder for opkald. Hvad der er billigst afhænger meget af din telefonplan.

Derudover skal man sikre sig det er stabilt, da man skal kommunikere med en central kalde service på internettet.

Jeg vil næsten hævde at SMS'er er mere ustabilt end telefonopkalt. Specielt i USA kan der nogen gange gå op til 30 min før du modtager en SMS, hvilket ikke rigtig holder hvis du skal bruge den til at logge ind på et system.

At ringe til en telefon lyder umiddelbart som en god ide, men problemet med løsninger som baserer sig på at man ringer til en telefon er, at ikke alle lande er dækket og at der vil være opkaldsomkostninger - ofte mange penge per opkald - forbundet med nogle lande. Du ved aldrig hvad omkostningen er, før du får regningen og det gør det meget ukontrolerbart

Opkaldsomkostninger er jo mere den praktiske side af foretagenet og her handler det om at få nogle gode aftaler med voip-udbydere. Netop som jeg forestiller I har med SMS Passcode. Regningen kan selvfølgelig svinge, men de fleste opkald varer omkring de samme antal sekunder.

For den yngre del af verdensbefolkningen kan det virke lidt gammeldags og lidt bøvlet med at skulle svare på et telefonopkald med en kode. De bruger SMS metoden til at kommunikere på.

Her ved jeg igen ikke om jeg er enig. Jeg tilhører den "yngre del", du beskriver, og selvom vi elsker SMS'er, afhænger det klart af situationen. Jeg vil næsten sige det er mere intuitivt at svare på et opkald og trykke direkte på telefontasterne end at jeg skal til at sidde og kopiere en kode fra min telefon og indtaste den på computeren.

  • 0
  • 0
Lars Nielsen

Hej Søren, jeg har boet 10 år i usa og det ER gratis at modtage SMS fra Danmark når du er herfra.

I vores verden - hvor det gælder om at beskytte systemer - er der ingen context. Er det at "jeg vil godt have adgang?". Beklager, men jeg kan ikke se det virke for bruger adgang. For bank-transkationer, kan det da godt være, men ikke for dette. Mht. SMS i USA, så er det sådan for brug internt i usa, at de fleste har en "unlimited text plan", så det er korrekt som jeg skriver. Det viser sig at alle, der har børn under 30 år, skal have en sådan plan for at kunne kommunikere med dem, og alle nye planer kommer da derfor også i dag typisk med unlimited text - og i USA fornyer man hver andet år. Der er faktisk næsten lige så mange på disse planer i USA som i Europa. Jeg vil helst ikke diskutere produkt direkte, da det er at promovere vores løsning, hvilket ikke er passende. Men der er løsninger - som vores - der også er installeret i USA og SMS fungerer lige så hurtigt som et opkald også til USA. Det skyldes at løsninger af denne type ikke benytter sig af aftaler med service providers (de normale SMS bulk providers eller bulk telefonopkaldsservices! hvor alt ligger ned når de har en American Idol afstemning), men at hver kunde har sin egen gateway/gateways. Det giver en stabilitet du ikke ser med service providers. Derudover skal man ikke "have aftaler med providers!, så der er ingen omkostninger til udbydere udover et standard mobil SMS abonoment. Det gør at SMS'erne altid dukker op og at de er gratis i hele verden.

Vi har også USA kunder, hvor det stadig er gratis, når man har en plan og det har stort set alle i dag. Der er nogle få eksempler, hvor det koster 25 øre at modtage en SMS, men det bliver altså aldrig til beløb af nogen væsentlig størrelse, da det efterhånden mere er undtagelsen end reglen. Det har ændret sig i de sidste 12-18 måneder i USA, så du har forsåvidt ret, at det har tidligere været sådan, men det er det ikke mere.

Telefonopkald er bare ikke gratis så nogen skal betale regningen - og jeg har aldrig set andre end annonce-sponsorerede løsninger eller slut-kunderne er endt op med regningen. Nok om det. Tak for kommentaren. Spændende diskussion. hilsen Lars

  • 0
  • 0
Søren Dreijer

Nu er jeg selv associeret med PhoneFactor, så jeg vil udover at fremhæve forskellene i vores to produkter gå mere i dybden.

Hej Søren, jeg har boet 10 år i usa og det ER gratis at modtage SMS fra Danmark når du er herfra.

Nu mente jeg ikke at modtage SMS'er på en dansk telefon, men på en amerikansk telefon fra en amerikansk provider. Det er i hvert fald ikke gratis.

Du har ret i, at mange har telefonplaner herovre, men jeg vil langfra sige de fleste har unlimited text messages. Som udgangspunkt er en SMS i USA omkring 5 cent (så vidt jeg lige husker), og du bliver selv nødt til at udvide din plan hvis du vil have et vist antal beskeder (jeg har fx selv 300 om måneden). Jeg er endnu ikke stødt på en plan hvor du som udgangspunkt får unlimited voice eller text messages.

Jeg går desuden ud fra at SMS Passcode primært er rettet mod enterprises, hvor der ikke er så mange fra den "yngre del", som du nævnte tidligere. Jeg tror næppe den "ældre" eller "modne" generation har unlimited text messages eller voice minutes, medmindre de har børn i hvert fald.

I bund og grund tror jeg ikke der er den store forskel på et telefonopkald eller en SMS i USA. Det går nok lige op. Fordelen ved et opkald, som jeg ser det, er dog at du på det tidspunkt, du foretager opkaldet, ved, om det når frem til brugeren eller ej.
Desuden kan du, hvis du fx er i en kælder uden signal, skifte dit nummer ud med et midlertidigt fastnetnummer og stadig gøre brug af two-factor authentication. Det kan du ikke med SMS'er.

  • 0
  • 0
Peter Stricker

Søren,

Nu er jeg selv associeret med PhoneFactor

Det er da en intaressant information. Var det også tilfældet inden du kommenterede på nyheden "Nordea har SMS-sikret netbanken"?
Hvis det er tilfældet, synes jeg at du skylder at fortælle det i debatten under den artikel, og ikke skjule det med følgende formulering:

Jeg er personligt ret hip på produktet PhoneFactor

http://www.version2.dk/artikel/9933-nordea-har-sms-sikret-netbanken#post...

  • 0
  • 0
Søren Dreijer

Det er da en intaressant information. Var det også tilfældet inden du kommenterede på nyheden "Nordea har SMS-sikret netbanken"?
Hvis det er tilfældet, synes jeg at du skylder at fortælle det i debatten under den artikel, og ikke skjule det med følgende formulering:

Det skal jeg da gerne nævne, hvis du synes, det gør en forskel i debatten på Nordea-artiklen. Snakken var generelt mere omkring hvorfor Nordea ikke understøttede diverse mobilselskaber pga. deres sessionsnumre.

  • 0
  • 0
Log ind eller Opret konto for at kommentere