Gedeelde sleutel

DJL Suls

Kan iemand mij wat achtergrondinformatie geven i.v.m. de gedeelde sleutel die kan opgegeven worden bij de login-gegevens? Wat voor input wordt hier verwacht (een bepaalde string, een bepaalde set bytes), en hoe wordt die gebruikt (in combinatie met wachtwoord om een hash voor encryptie te genereren)?

Het enige wat ik in de documentatie vind over de gedeelte sleutel is dat hij ingevuld kan worden voor extra veiligheid. Niets meer.

Freek-Jan Buijsman

Beste DJL,

Bedankt voor je vraag en fijn dat je ons forum hebt gevonden!

De gedeelde sleutel kan inderdaad worden gebruikt om een extra laag beveiliging toe te voegen wanneer dat gewenst is. Wanneer de gedeelde sleutel op de xxter unit is ingevuld zal deze, naast het altijd verplichte wachtwoord, bij het inloggen vanuit de xxter app moeten worden verstrekt. Wanneer de sleutel en of wachtwoord niet overeenkomt zal het inloggen niet lukken.
Zowel het wachtwoord als de gedeelde sleutel zijn niet bij ons bekend.
Let op: Wanneer er extra lokale gebruikers zijn aangemaakt op de my.xxter omgeving moet de gedeelde sleutel ook worden ingevuld.

Waarschijnlijk had je al gevonden waar je de gedeelde sleutel kan wijzigen maar voor de volledigheid vermeld ik het hier toch even. Andere forumbezoekers zullen je dankbaar zijn!

Het wijzigen van de gedeelde sleutel is mogelijk vanaf de xxter unit via het menu Instellingen-->basis. Scroll naar beneden en klik bij "Verander gebruikersnaam en wachtwoord" op "Verander"
Hier kan vervolgens de sleutel worden ingevuld, aangepast of verwijderd. Bij het invullen of wijzigen van de sleutel mag je een combinatie van cijfers, letters, en leestekens gebruiken. Hier is geen maximum aantal aan verbonden. Veel meer dan 20 karakters heeft ook niet zoveel nut.


Hopelijk heb ik je zo voldoende geïnformeerd. Mocht je nog vragen hebben hoor ik het graag.

Met vriendelijke groet,

Freek-Jan Buijsman
xxter support

DJL Suls

Hoi Freek-Jan,

Bedankt voor je reactie, maar dat was helaas niet het antwoord op mijn vraag. Ik weet waar ik het kan ingeven, ik weet dat de documentatie aangeeft dat dit een extra beveiliging is, maar ik wil graag weten wat voor input verwacht wordt voor de key, en hoe die key gebruikt wordt om de beveiliging te verbeteren.

Op het eerste gezicht lijkt het "gewoon" een tweede wachtwoord te zijn. Is dit ook gewoon een alfanumerieke string, zoals het wachtwoord, of eerder een PIN code (dus enkel numeriek)?

En hoe helpt de key de beveiliging? Aangezien het een key is die de gebruiker ingeeft, is het geen gegenereerde key als onderdeel van een public/private pair (bv. RSA) zoals gebruikelijk bij PKI.

Ik ga er van uit dat er sowieso een PKI-based handshake is bij de beveiligde verbinding via de app, aangezien deze SSL (hopelijk TLS!) gebruikt.

Dus wat wordt er wel gedaan met deze key? Wordt deze soms gehasht in combinatie met het wachtwoord, en wordt de gecombineerde hash opgeslagen op de server voor authenticatie? Wat is de toegevoegde waarde (qua beveiliging) van deze key versus een extra lang wachtwoord?

Alvast bedankt voor je antwoord,

Danny

Harm Elzinga

Beste Danny,

Zoals Freek-Jan al schreef, is de gedeelde sleutel alfanumeriek.

Bij het invullen of wijzigen van de sleutel mag je een combinatie van cijfers, letters, en leestekens gebruiken.

Deze gedeelde sleutel wordt gebruikt bij de authenticatie. We gebruiken bij de encryptie industriestandaarden, die zich bewezen hebben, waaronder ook idd ook TLS. Ons beleid omtrent de beveiliging/encryptie is dat we geen uitspraken doen over hoe het exact werkt. Helaas kunnen we daardoor niet de exacte vraag van je beantwoorden.
Ik hoop hiermee toch wat duidelijkheid te hebben gegeven.