27 maart 2007
Les één bij het ontwikkelen van een authenticatiesysteem: geef nooit prijs of een gebruikersnaam bestaat, oordeel alleen over de combinatie van gebruikersnaam en wachtwoord. Drie maal raden waar DigiD zich schuldig aan maakt.
ib2006
Bij het invullen van mijn aangifte inkomstenbelasting over 2006 kwam ik deze OMG-Erlebnis tegen. Ik vulde bij het versturen een ongeldige DigiD-gebruikersnaam in en kreeg een foutcode voorgeschoteld. Bij het opzoeken van deze foutcode bleek dat het ging om een bij DigiD onbekende gebruikersnaam. Bij de tweede poging kreeg ik een foutcode die correspondeerde met de melding dat het opgegeven wachtwoord niet klopte.
Het gevaar
De kans dat een hacker succesvol kan inloggen wordt significant groter als deze alleen het wachtwoord hoeft te kraken.
Met zogeheten dictionary attacks is het in sommige gevallen mogelijk wachtwoorden binnen afzienbare tijd te kraken. Het principe hierachter is dat mensen vaak een wachtwoord nemen dat voorkomt in het woordenboek.
Extra controle
Inloggen met enkel een gebruikersnaam en wachtwoord wordt als potentieel onveilig gezien: als iemand de inloggegevens afluistert kan diegene voortaan zelf inloggen. Als extra controle kan gebruik gemaakt worden van een token.
Een token is een code die via een ander medium ter controle moet worden verkregen. Banken hebben hiervoor apparaten als de Random Reader bedacht. De IB-Groep verstuurt het token per SMS. Aan alleen een gebruikersnaam en wachtwoord heb je niets: het token verandert continue. Zonder geldig token geen toegang.
Het goede nieuws: DigiD is uitbreidbaar met extra controle door middel van onder andere het verstrekken van tokens.