reklama
Tokeny s jednorázovým heslem (OTP) se obvykle považují za nejlepší v užitečné bezpečnosti přihlašování spotřebitelů. Jsou klíčovou součástí používání a Dvoufaktorové ověření systém, který drasticky zvyšuje zabezpečení přihlašování z typického uživatelského jména / hesla jednofaktorového systému.
Schéma zabezpečení uživatelského jména / hesla je považováno za velmi nejisté z mnoha důvodů, včetně snadnosti čichání paketů nebo stisknutí kláves, phishingových útoků a dalších problémů sociálního inženýrství. Dvoufaktorová schémata autentizace přidávají další vrstvu zabezpečení tím, že uživatel získává další heslo ze zdroje mimo pásmo, jako je zařízení generující heslo (například token OTP) nebo SMS text.
Protože se toto heslo neustále mění v časových intervalech - je téměř nemožné, aby budoucí hacker ukradl vaše uživatelské jméno a heslo a přihlásil se, aniž by měl tento token.
Tyto tokeny jsou obvykle zaplaceny, protože se jedná o fyzické zařízení, ale s nedávným zvýšením počtu aplikací dostupné pro mobilní zařízení, mnoho poskytovatelů OTP nyní nabízí bezplatné aplikace, které nahrazují fyzické přístroj.
Níže jsou uvedeny některé z populárnějších generátorů hesel, s nimiž jsem se setkal, a ukázky z nich v akci:
Přístup VeriSign Identity Protection (VIP) pro mobilní zařízení
Jedním z největších poskytovatelů fyzických tokenů jednorázového hesla je Verisign. Jejich hardwarové tokeny jsou pro koncového uživatele nízké a jsou použitelné na mnoha oblíbených webech, včetně eBay, SalesForce, Box.net, Paypal a dalších. Můžete si objednat low cost ($ 5) klíč od Paypal, nebo jak jsem nedávno objevil, stáhněte si bezplatnou aplikaci pro mobilní zařízení.
Verisign nabízí software pro širokou škálu mobilních zařízení, včetně iPhone, Android, Windows Mobile, Blackberry a dalších. Jednoduše si stáhněte software a spusťte program generování hesel - při prvním spuštění se vygeneruje jedinečný podpis a zaregistruje se na serverech VeriSign. Vaše zařízení má jedinečný identifikátor, který se poté zaregistrujete pomocí svého přihlašovacího jména na externím webu.
Poté, kdykoli otevřete program, ukáže vám aktuální heslo, které se má použít při dvoufaktorové autentizaci. Snadný.
Dalším velkým hráčem v poli dvoufaktorové autentizace je RSA. RSA byla původně průkopníkem v oblasti bezpečnosti patentování metoda šifrování dat komunikačního kanálu zpět v roce 1983 a uvolnění otevřeného zdroje v roce 2000.
Stejně jako aplikace VeriSign, RSA vydala svou aplikaci SecureID zdarma pro iPhone, Blackberry, Windows Mobile a několik dalších platforem. K tomuto datu vydání bohužel zatím neuvedli aplikaci na platformu Android. Máte také hodně RSA řešení pro použití mobilního generátoru OTP, to by pocházelo z vašeho pracoviště, banky nebo jiného přihlašovacího jména, které může být potřeba zabezpečit.
RSA řešení jsou široce rozšířena po celém světě.
FireID je spuštění ve dvoufaktorovém autentizačním prostoru. I když jsou na poli nové, mají opravdu pěknou aplikaci pro iPhone. Jejich web uvádí, že také podporují zařízení Blackberry, Android, Windows Mobile a Symbian, ale nemohl jsem najít žádné informace o těchto produktech a nejsem si jistý, zda byly vydány dosud.
Jsou to určitě společnosti, které vás sledují.
ArcotOTP [již není k dispozici]
ArcotOTP je další generátor jednorázových hesel. Přestože je Arcot méně známý než ostatní, je v této oblasti „začínající a přicházející“ společností a ctihodného Bruce Schneiera počítá jako poradce této společnosti. ArcotOTP je patentovaná technologie, kde budete potřebovat software, který je svázán s řešením ArcotOTP.
SafeNet poskytuje řadu různých bezpečnostních a autentizačních řešení a má také pěknou škálu OTP aplikací pro více platforem včetně iPhone, Blackberry, Windows Mobile a SMS. Z tohoto seznamu chybí Android.
I když nejde o úplný seznam bezplatných mobilních OTP generátorů, výše vám dává dobrý nápad, pokud jde o některé z hlavní hráči v oboru a populárnější řešení, která nabízejí spíše mobilního klienta než hardware žeton. Existuje mnoho poskytovatelů OTP, každý s vlastní platformou pro zabezpečení přihlášení.
VeriSign je pravděpodobně ten, se kterým budete nejznámější a má nejvíce elektronického obchodování, protože je používají Paypal / eBay, Salesforce a další populární webové aplikace. Kterou bezplatnou aplikaci, kterou byste použili, pravděpodobně diktují webové stránky, na které se musíte přihlásit, a do které dvoufaktorového schématu používají.
Ať už preferujete metodu implementace dvoufaktorové autentizace, tyto bezplatné aplikace vás nasměrují k některým poskytovatelům, kteří již byli progresivní v myšlení „konvergence mobilního zařízení“, což vám umožňuje vzdát se samostatného tokenu a pomocí jednoho zařízení zvýšit své přihlašovací údaje bezpečnostní.
Dejte nám vědět, jak snadno najdete tyto generátory hesel, které chcete použít, nebo jaká další bezpečnostní schémata používáte k zabezpečení svých hesel.
[Jako postscript jsem chtěl poukázat na to, že dvoufaktorová autentizace má v sobě mezeru - útok Man in the Middle je stále schopen tento autentizační systém porazit. Útočník v zásadě sedí mezi vámi (přihlašuje se) a serverem a předává vaše informace legitimnímu serveru včetně jednorázového hesla. Pro běžného spotřebitele jde o poměrně obskurní bezpečnostní problém, takže přidání dvoufaktorové autentizace do vašich přihlašovacích procesů vám poskytne mnohem větší zabezpečení než běžné jednofaktorové schéma. ]
Obrázek Kredit: mikebaird.
Dave Drager pracuje v XDA Developersin na předměstí Filadelfie, PA.