Peter Holmes
0 
2420
392
Tokeny jednorazowego hasła (OTP) są zwykle uważane za najlepsze pod względem bezpieczeństwa logowania użytkownika. Są kluczową częścią korzystania z systemu uwierzytelniania dwuskładnikowego, który drastycznie zwiększa bezpieczeństwo logowania z typowego systemu jednoskładnikowego dla nazwy użytkownika / hasła.
Schemat bezpieczeństwa nazwy użytkownika / hasła jest uważany za bardzo niepewny z wielu powodów, w tym łatwości wykrywania pakietów lub naciśnięć klawiszy, ataków phishingowych i innych problemów socjotechnicznych. Dwa schematy uwierzytelniania dodają kolejną warstwę bezpieczeństwa, ponieważ użytkownik pobiera inne hasło ze źródła spoza pasma, takiego jak urządzenie do generowania hasła (takie jak token OTP) lub SMS.
Ponieważ hasło to stale się zmienia w określonych odstępach czasu - niedoszły haker nie może ukraść Twojej nazwy użytkownika i hasła oraz zalogować się bez tego tokena.
Tokeny te są zwykle płatne, ponieważ są urządzeniami fizycznymi, ale w związku z niedawnym wzrostem liczby aplikacji dostępnych na urządzenia mobilne wielu dostawców OTP oferuje obecnie bezpłatne aplikacje, które zastępują urządzenia fizyczne.
Poniżej znajdują się niektóre z bardziej popularnych generatorów haseł, na które natknąłem się i przykładowe zrzuty ekranu z nich w akcji:
Dostęp do mobilnej ochrony tożsamości VeriSign (VIP)
Jednym z największych dostawców fizycznych tokenów jednorazowego hasła jest Verisign. Tokeny sprzętowe są niskie dla użytkownika końcowego i można je stosować w wielu popularnych witrynach internetowych, w tym w serwisie eBay, SalesForce, Box.net, Paypal i innych. Możesz zamówić tani klucz (5 USD) w Paypal lub, jak niedawno odkryłem, pobierz bezpłatną aplikację na urządzenia mobilne.
Verisign oferuje oprogramowanie dla szerokiej gamy urządzeń mobilnych, w tym iPhone, Android, Windows Mobile, Blackberry i innych. Wystarczy pobrać oprogramowanie i uruchomić program generujący hasła - przy pierwszym uruchomieniu generowany jest unikalny podpis i rejestrowany na serwerach VeriSign. Twoje urządzenie ma unikalny identyfikator, który następnie rejestrujesz za pomocą swojego loginu na stronie zewnętrznej.
Po każdym uruchomieniu programu wyświetli się bieżące hasło, które będzie używane podczas uwierzytelniania dwuskładnikowego. Łatwy.
RSA SecureID
Innym dużym graczem w dziedzinie uwierzytelniania dwuskładnikowego jest RSA. RSA jest pionierem w dziedzinie bezpieczeństwa, pierwotnie opatentował metodę szyfrowania danych kanału komunikacyjnego w 1983 r. I wypuścił ją jako oprogramowanie open source w 2000 r..
Podobnie jak aplikacja VeriSign, RSA wydała bezpłatną aplikację SecureID na iPhone'a, Blackberry, Windows Mobile i kilka innych platform. Niestety, nie wydali aplikacji na platformę Android od tej daty publikacji. Masz również wiele rozwiązań RSA do korzystania z mobilnego generatora OTP, który pochodziłby z twojego miejsca pracy, banku lub innego loginu, który może wymagać zabezpieczenia.
Rozwiązania RSA są szeroko stosowane na całym świecie.
FireID
FireID to uruchomienie w przestrzeni uwierzytelniania dwuskładnikowego. Choć są nowi w tej dziedzinie, mają naprawdę fajną aplikację na iPhone'a. Ich strona internetowa twierdzi, że obsługują również urządzenia Blackberry, Android, Windows Mobile i Symbian, ale nie mogłem znaleźć żadnych informacji na temat tych produktów i nie jestem pewien, czy zostały one jeszcze wydane.
To zdecydowanie firma, na którą warto mieć oko.
ArcotOTP
ArcotOTP to kolejny generator haseł jednorazowych. Choć Arcot jest mniej znany niż inne, jest „rozwijającą się” firmą w tej dziedzinie i uważa czcigodnego Bruce'a Schneiera za doradcę firmy. ArcotOTP to zastrzeżona technologia, w której będziesz potrzebować oprogramowania, które jest powiązane z rozwiązaniem ArcotOTP.
SafeNet MobilePASS
SafeNet zapewnia zestaw różnych rozwiązań w zakresie bezpieczeństwa i uwierzytelniania, a także oferuje niezłą gamę aplikacji OTP dla wielu platform, w tym iPhone, Blackberry, Windows Mobile i SMS. Na tej liście brakuje Androida.
Chociaż nie jest to wyczerpująca lista bezpłatnych mobilnych generatorów OTP, powyższe daje dobry pomysł na niektóre z głównych graczy w tej dziedzinie i bardziej popularne rozwiązania, które oferują klienta mobilnego zamiast tokena sprzętowego. Istnieje wielu dostawców OTP, każdy z własną platformą do bezpiecznego logowania.
VeriSign jest prawdopodobnie tym, z którym będziesz się najlepiej zaznajomić i ma najwięcej adopcji e-commerce, ponieważ korzystają z nich Paypal / eBay, Salesforce i inne popularne aplikacje internetowe. Której bezpłatnej aplikacji użyjesz, jest prawdopodobnie podyktowane przez strony internetowe, na które musisz się zalogować, i którego systemu dwuskładnikowego używają.
Bez względu na preferowaną metodę implementacji uwierzytelniania dwuskładnikowego, te bezpłatne aplikacje wskazują na dostawców, którzy postępują w myśleniu o „konwergencji urządzenia mobilnego”, pozwalając zrezygnować z osobnego tokena i użyć jednego urządzenia, aby zwiększyć bezpieczeństwo logowania.
Poinformuj nas, jak łatwo można znaleźć generatory haseł lub jakie inne schematy zabezpieczeń służą do zabezpieczenia haseł.
[Jako postscriptum chciałem tylko wskazać, że uwierzytelnianie dwuskładnikowe ma w sobie lukę - atak Man in the Middle wciąż jest w stanie pokonać ten schemat uwierzytelniania. Zasadniczo atakujący siedzi między tobą (loguje się) a serwerem, przekazując informacje do legalnego serwera, w tym hasło jednorazowe. Jest to dość niejasny problem bezpieczeństwa dla ogólnego konsumenta, więc dodanie uwierzytelniania dwuskładnikowego do procesów logowania zapewnia znacznie większe bezpieczeństwo niż zwykły schemat jednoskładnikowy. ]
Źródło obrazu: mikebaird.