Nogen har fået fat i den hemmelige sovs til RSA securitys "SecurID" to-faktor sikkerhedsprodukt og efter alt at dømme er sikkerheden nu reduceret til en simpel pinkode.

SecurID var en fantastisk ide, men har en meget problematisk historie, blandt andet har den anvendte algoritme aldrig været offentliggjort. Folk der har disassembleret host-side koden, stik imod alle licensaftaler og i visse tilfælde lovgivning, siger samstemmende at det "ikke er ret stærkt".

RSA har et temmelig bredt patent, der sammen med effektivt lobby-arbejde effektivt har forhindret konkurrence og samtidig gjort produktudvikling unødvendig og urentabel.

Det helt forudsigelige sagsanlæg hvor nogen vil have deres penge tilbage kan forventes at ramme pressen om senest et par uger.

I 1990 da RSA SecurID kom frem var det cutting-edge teknologi, CMOS, lithium batterier og den slags og det var meget begrænset hvor omfattende algoritmer der kunne implementeres hvis batteriet skulle holde et år.

Idag er det mest af profithensyn at levetiden er kunstigt begrænset til 3 år, på den måde sælger man 3 gange flere end hvis de holdt 10 år. Hvis det havde været kryptografien man var bekymret for, ville det have været antallet af anvendelser og ikke tid man begrænsede dem på.

De første emails om at SecurID er disablet er begyndt at dukke op i mailboxe rundt omkring og forskellige firmaer står på spring for at sælge andre løsninger, f.eks biometri eller to-kanal authentikering via SMS.

Vi finder aldrig nogen sinde ud af hvad de samlede omkostninger vil være, alene for Lockheed-Martin taler vi to-ciffrede dollar-millioner når alle de nødvendige audits og red-book-exceptions er godkendt og arkiveret.

Det er utroligt hovmodigt at putte alle sine æg i én kurv og lave en aftale med RSA, Oracle, IBM, Microsoft eller CSC om at de tager sig godt af den.

phk