RSA eindelijk overstag

RSA, de leverancier van de secureid tokens, gaat klanten eindelijk aanbieden om tokens waarvan de geheime seeds zijn gestolen te vervangen. Dit vertelde RSA topman Art Coviello zijn klanten deze week in een open brief die RSA op haar website heeft geplaatst.

Het netwerk van RSA werd in maart van dit jaar gekraakt door hackers. RSA deed in eerste instantie zeer geheimzinnig over de gegevens die de hackers buit hadden gemaakt. Al snel bleek dat het de hackers om de geheime seeds (de unieke tekenreeksen die gebruikt worden om de one-time passwords op het token te genereren) te doen was.

Veel klanten nemen bij RSA SecureID tokens af omdat ze zich bewust zijn van de zwakte van wachtwoordbeveiliging. Het is voor hackers eenvoudig om bij gebruikers naar wachtwoorden te phishen (1 mailtje is over het algemeen voldoende) maar veel lastiger om van diezelfde gebruikers een fysiek token te stelen.

Dat RSA haar klanten na de inbraak in eerste instantie wees op het feit dat een token alleen niet voldoende was om op een netwerk in te loggen (men had immers toch ook nog een wachtwoord) verbijsterde veel security professionals. Dezelfde leverancier die klanten al jaren op de kwetsbaarheid van wachtwoorden wijst om haar producten te verkopen, was ineens van mening dat het eigen product van onvoldoende toegevoegde waarde was om het bij onbetrouwbaarheid te vervangen. Daar waar internetbedrijven regelmatig massaal hun klanten een nieuw wachtwoord laten kiezen als de gebruikersdatabase is gestolen, besloot RSA op de stoel van de klanten te gaan zitten en te beslissen dat het blijven aanhouden van de gecompromitteerde tokens voor haar klanten een geaccepteerd risico was.

Toen afgelopen week bleek dat de gestolen RSA tokens vermoedelijk zijn gebruikt om in te breken op het netwerk van Lockheed Martin, ging RSA eindelijk over stag. Klanten die willen ontvangen een nieuw token. En zo hoort dat ook.