Het beveiligingssysteem SecurID, dat door tienduizenden bedrijven wordt gebruikt, is volgens Belgische wetenschappers niet zo veilig als werd gedacht. Per abuis genereert het systeem structureel niet-unieke inloggegevens, gegevens die al eens eerder gebruikt zijn.
Dat meldt de werkgroep Computer Security and Industrial Cryptography (Cosic) van de Katholieke Universiteit in Leuven deze week in een persbericht.
De digitale veiligheid van 12 miljoen computergebruikers staat theoretisch op het spel, mocht de veiligheidsfout geexploiteerd worden. Ook het Witte Huis, de geheime dienst CIA en het Pentagon zouden ooit van het systeem gebruik hhebben gemaakt, of doen dat nog steeds.
Bij SecurId krijgt iedere werknemer elke minuut een nieuwe code die is te combineren met de eigen pincode. De computer controleert of de code die een gebruiker op een bepaald moment ingeeft de juiste is. Het systeem zou feilloos moeten werken.
Drie Leuvense onderzoekers ontdekten echter dat tien procent van de apparaten wachtwoorden genereert die dezelfde zijn als wachtwoorden die minder dan twee maanden daarvoor werden gebruikt. Daardoor valt theoretisch een volgend afgegeven wachtwoord of code te voorspellen. Daarmee zou uiteindelijk ook de geheime sleutel van het beveiligingsysteem zijn te achterhalen.
"Schattingen geven aan dat men het systeem ongeveer een miljoen keer sneller kan breken dan verwacht, indien men over voldoende herhalende paswoorden kan beschikken," stellen de wetenschappers.
De Belgische computerwetenschappers presenteren hun bevindingen later vandaag op een workshop over cryptologie in Canada. Het wetenschappelijke artikel over de materie staat ook online.
De onderzoekers geven toe dat er 'in de meeste gevallen geen onmiddellijk gevaar is' voor de veiligheid van systemen. "Deze zwakheid benutten vereist toegang tot heel wat paswoorden. De kwetsbaarheid is echter wel verrassend: het doet vroegere beweringen van internationale experten teniet dat het observeren van paswoorden niet helpt om de geheime sleutel te vinden."
Volgens de Belgische onderzoekers is het het beste om het systeem zo snel mogelijk te vervangen.
SecurID werd in 1985 ontwikkeld door RSA Security. De werking van het systeem, dat ervoor moet zorgdragen dat berichten nooit door derden ingezien kunnen worden, was geheim tot 2000, toen die op internet werd gezet.
RSA Security, dat wereldwijd het grootste marktaandeel heeft op het gebied van hardware- en softwaretokens, heeft altijd beweert dat SecurID veilig is, ongeacht het aantal codes dat wordt bekeken.