Beveiligen met veranderende cijfers

De SecurIDCard beschermt computergegevens met een wisselende code die de gebruiker moet intikken

Hoe beschermt men zijn computer tegen inbraak? Geen idee, de huis-PC bevat geen geheimen en is evenmin aangesloten op een netwerk. De bibliotheek biedt uitkomst. In talloze boekjes over datafraude en beveiliging komt men adviezen tegen als: wijzig regelmatig het nummer van de telefoonverbinding, gebruik speciale netwerk-protocollen in plaats van de reguliere ASCII a-synchrone datacommunicatie, beveilig de toegangspoorten via geheime coderingen, schrijf nooit Uw wachtwoord in Uw agenda, gebruik nooit de naam van Uw geliefde of hond en zet een tijdklok op de log in-procedure, die de verbinding verbreekt na maximaal vijf mislukte inbraakpogingen. Er zijn nog andere oplossingen ook, maar helaas zijn dergelijke procedures niet echt gebruikersvriendelijk en bovendien duur en tijdrovend.

Het gebruik van een eenvoudig wachtwoord of PIN-code garandeert helaas ook al niet absolute veiligheid. Bij computers die werken onder het UNIX-besturingssysteem kan men in de software de codes van de wachtwoorden lezen. Hoewel ze niet zomaar ontcijferd kunnen worden, kunnen met het bijbehorende encryptieprogramma wel weer nieuwe wachtwoorden en codes worden geschreven. En vergelijkt men die codes met de reeds bestaande, dan zou men met een beetje fantasie alsnog achter bepaalde wachtwoorden kunnen komen.

Acht cijfers

Security Dynamics uit Cambridge, Massachusetts heeft voor werkstations en netwerken een simpel, maar effectief beveiligingssysteem ontwikkeld. Gebruikers moeten op hun terminal niet alleen een PIN-code, maar ook een getal van acht cijfers intikken. Dat getal wordt getoond op een pasje dat de gebruiker bij zich draagt. Elke minuut verandert het getal op het pasje. Aangezien deze code is gebaseerd op een algoritme, weet de beveiligingssoftware welk getal het kan verwachten. In het pasje en in de beveiligingshardware zit een klok.

"Er zit een zekere speling in het systeem,' zegt marketingmanager David A. Hammond, terwijl hij op een computer een nieuwe code intikt. "Stel, ik zit het getal in te tikken dat mijn kaart aangeeft, maar op hetzelfde moment verandert de code. Dan kun je toch gewoon doortikken, want het systeem weet welk getal net is geweest. Maar ik kan het getal straks niet n=g eens invoeren.' De kans dat inbrekers achter het algoritme komen, acht Hammond 1 op de 100 miljard.

Maar wat gebeurt er als de computer het plotseling af laat weten en opnieuw moet worden gestart? Geen probleem, zegt Hammond, de interne klok is afgesteld op wereldtijd (UTC) en loopt gewoon door. En als ik mijn SecurIDCard verlies en een ander probeert toegang tot de computer te krijgen? Lukt niet, verzekert Hammond, want zonder PIN-code kom je er niet in en het systeem accepteert zeker geen eindeloze log in-procedures. Verder is het zo dat de kaart zich automatisch vernietigt na een door de gebruiker zèlf te bepalen periode. Is de batterij van de kaart op, dan moet hij worden ingeruild. De kaart kan niet worden opengemaakt.

Ontevreden

De meeste bedrijven zijn volgens Hammond ontevreden over de huidige beveiligingssystemen. Nog altijd lijdt het bedrijfsleven vele tientallen miljarden verlies als gevolg van fraude. Claims bij verzekeringsmaatschappijen geven aantoonbaar geleden schade aan van minimaal 100 miljoen gulden jaarlijks. Volgens de Leidse prof.dr. I.S. Herschberg is de computer "stukken fraudegevoeliger dan de ouderwetse boekhouding.' Hammond: "Het is heel moeilijk om de omvang van computerfraude vast te stellen omdat de meeste bedrijven er niet voor willen uitkomen dat zij schade lijden.'

Het systeem vindt gretig aftrek. Er zijn wereldwijd 175.000 SecurID-kaarten in gebruik. Dertig procent van de Fortune 500 bedrijven heeft de beveiligingsapparatuur in huis. Via een uitgebreid netwerk van distributeurs in Engeland, Duitsland en Italië is het bedrijf ook in Europa actief. Security Dynamics ziet geen aanleiding om andere toepassingen te ontwikkelen die op hetzelfde principe zijn gebaseerd. Dat men ooit een deurkruk liet maken die met de ScurIDCard geopend moet worden, wordt door Hammond als een "dwaling' opgevat.