Reklama
Tokeny jednorazového hesla (OTP) sa zvyčajne považujú za najvyššie v užitočnom zabezpečení prihlasovacieho mena zákazníka. Sú kľúčovou súčasťou používania Dvojfaktorové overenie systém, ktorý drasticky zvyšuje bezpečnosť prihlásenia z typického jednofaktorového systému užívateľské meno / heslo.
Schéma zabezpečenia užívateľského mena a hesla sa považuje za veľmi neistú z mnohých dôvodov vrátane ľahkosti čichania paketov alebo stlačení klávesov, útokov phishingu a ďalších problémov sociálneho inžinierstva. Dvojfaktorové autentifikačné schémy pridávajú ďalšiu vrstvu zabezpečenia tým, že používateľ získava ďalšiu heslo zo zdroja mimo pásma, ako je zariadenie generujúce heslo (napríklad token OTP) alebo SMS Text.
Pretože toto heslo sa neustále mení v časových intervaloch - pre budúceho hackera je takmer nemožné ukradnúť vaše používateľské meno a heslo a prihlásiť sa bez tohto tokenu.
Tieto tokeny sa zvyčajne platia, pretože sú fyzickým zariadením, ale s nedávnym nárastom počtu aplikácií Mnohí poskytovatelia OTP, ktorí sú k dispozícii pre mobilné zariadenia, teraz ponúkajú bezplatné aplikácie, ktoré nahrádzajú fyzické zariadenie.
Nižšie sú uvedené niektoré z najpopulárnejších generátorov hesiel, s ktorými som sa stretol, a ukážky snímok z nich v akcii:
VeriSign Identity Protection (VIP) Access for Mobile
Jedným z najväčších poskytovateľov fyzických tokenov jednorazového hesla je Verisign. Ich hardvérové tokeny sú pre koncového používateľa nízke a sú použiteľné na mnohých populárnych online stránkach vrátane eBay, SalesForce, Box.net, Paypal a ďalších. Môžete si objednať lacný kľúč (5 dolárov) od spoločnosti Paypal, alebo ako som nedávno zistil, stiahnite si bezplatnú aplikáciu pre mobilné zariadenia.
Verisign ponúka softvér pre širokú škálu mobilných zariadení, vrátane iPhone, Android, Windows Mobile, Blackberry a ďalších. Jednoducho si stiahnite softvér a spustite program generovania hesiel - pri prvom spustení sa vygeneruje jedinečný podpis a zaregistruje sa na serveroch VeriSign. Vaše zariadenie má jedinečný identifikátor, ktorý sa potom zaregistrujete pomocou svojho prihlásenia na externej stránke.
Po každom otvorení programu sa zobrazí aktuálne heslo, ktoré sa má použiť pri dvojfaktorovej autentifikácii. Jednoduchá.
Ďalším veľkým hráčom v oblasti dvojfaktorovej autentifikácie je RSA. RSA bola pôvodne priekopníkom v oblasti bezpečnosti patentovanie metóda šifrovania údajov z komunikačných kanálov v roku 1983 a ich uvoľnenia v roku 2000.
Rovnako ako aplikácia VeriSign, aj spoločnosť RSA vydala svoju aplikáciu SecureID bezplatne pre zariadenia iPhone, Blackberry, Windows Mobile a niekoľko ďalších platforiem. Od tohto dátumu vydania nanešťastie neuvoľnili aplikáciu pre platformu Android. Taktiež máte zavedené riešenie RSA na používanie mobilného generátora OTP, ktorý by pochádzal z vášho pracoviska, banky alebo akéhokoľvek iného prihlasovacieho mena, ktoré bude možno potrebné zaistiť.
RSA riešenia sa používajú na celom svete.
FireID je spustenie v dvojfaktorovom autentifikačnom priestore. Aj keď sú noví v teréne, majú naozaj peknú aplikáciu pre iPhone. Na ich webových stránkach sa uvádza, že tiež podporujú zariadenia Blackberry, Android, Windows Mobile a Symbian, ale nemohol som nájsť žiadne informácie o týchto produktoch a nie som si istý, či boli vydané ešte.
Určite sú spoločnosťou, ktorá vás sleduje.
ArcotOTP [Už nie je k dispozícii]
ArcotOTP je ďalší generátor jednorazových hesiel. Aj keď je Arcot menej známy ako ostatní, v tejto oblasti je „začínajúcou a prichádzajúcou“ spoločnosťou a ctihodného Bruca Schneiera považuje za poradcu spoločnosti. ArcotOTP je patentovaná technológia, pri ktorej budete potrebovať softvér, ktorý je spojený s riešením ArcotOTP.
SafeNet poskytuje sadu rôznych bezpečnostných a autentifikačných riešení a má tiež peknú škálu aplikácií OTP pre rôzne platformy vrátane iPhone, Blackberry, Windows Mobile a SMS. Z tohto zoznamu pravdepodobne chýba Android.
Aj keď nejde o komplexný zoznam bezplatných mobilných generátorov OTP, vyššie uvedené vám poskytujú dobrý nápad, pokiaľ ide o niektoré z Hlavní hráči v tejto oblasti a populárnejšie riešenia, ktoré ponúkajú skôr mobilného klienta než hardvér tokenu. Existuje veľa poskytovateľov OTP, každý s vlastnou platformou na zabezpečenie prihlásenia.
VeriSign je pravdepodobne ten, s ktorým budete najviac oboznámení a ktorý má najviac zavedenia elektronického obchodu, pretože ich používajú Paypal / eBay, Salesforce a ďalšie populárne webové aplikácie. Na ktorú bezplatnú aplikáciu by ste pravdepodobne použili webové stránky, na ktoré sa musíte prihlásiť a do ktorej dvojfaktorovej schémy sa používajú.
Bez ohľadu na to, aký spôsob uprednostňujete na implementáciu dvojfaktorového overovania, tieto bezplatné aplikácie vás nasmerujú na niektorých poskytovateľov progresívne v myslení „konvergencie mobilného zariadenia“, čo vám umožňuje vzdať sa samostatného tokenu a pomocou jedného zariadenia zvýšiť svoje prihlasovacie údaje bezpečnosť.
Dajte nám vedieť, aké ľahké je použitie týchto generátorov hesiel alebo aké ďalšie bezpečnostné schémy používate na zabezpečenie vašich hesiel.
[Ako postscript som chcel iba zdôrazniť, že dvojfaktorová autentifikácia má v sebe medzeru - útok Man in the Middle je stále schopný poraziť túto schému autentifikácie. Útočník v podstate sedí medzi vami (prihlásením sa) a serverom a odovzdáva vaše informácie legitímnemu serveru vrátane jednorazového hesla. Pre bežného spotrebiteľa ide o pomerne nejasný bezpečnostný problém, takže pridanie dvojfaktorovej autentifikácie k vašim prihlasovacím procesom poskytuje oveľa väčšiu bezpečnosť ako bežná jednofaktorová schéma. ]
Obrázok Kredit: mikebaird.
Dave Drager pracuje v XDA Developersin na predmestiach Philadelphie, PA.