Gabriel Brooks
0 
2207
291
Tokeny s jednorázovým heslem (OTP) jsou obvykle považovány za nejlepší v užitečné bezpečnosti přihlašování spotřebitelů. Jsou klíčovou součástí používání dvoufaktorového autentizačního systému, který drasticky zvyšuje bezpečnost přihlašování z typického uživatelského jména / hesla jednofaktorového systému.
Schéma zabezpečení uživatelského jména / hesla je považováno za velmi nejisté z mnoha důvodů, včetně snadnosti čichání paketů nebo stisknutí kláves, útoků phishingu a dalších problémů sociálního inženýrství. Dvoufaktorová schémata autentizace přidávají další vrstvu zabezpečení tím, že uživatel získává další heslo ze zdroje mimo pásmo, jako je zařízení generující heslo (například token OTP) nebo text SMS.
Protože se toto heslo neustále mění v časových intervalech - je téměř nemožné, aby budoucí hacker ukradl vaše uživatelské jméno a heslo a přihlásil se, aniž by měl tento token.
Tyto tokeny jsou obvykle placené, protože se jedná o fyzické zařízení, ale s nedávným nárůstem aplikací dostupných pro mobilní zařízení mnoho poskytovatelů OTP nyní nabízí bezplatné aplikace, které nahrazují fyzické zařízení.
Níže jsou uvedeny některé z populárnějších generátorů hesel, s nimiž jsem se setkal, a ukázky z nich v akci:
Přístup VeriSign Identity Protection (VIP) pro mobilní zařízení
Jedním z největších poskytovatelů fyzických tokenů jednorázového hesla je Verisign. Jejich hardwarové tokeny jsou pro koncového uživatele nízké a jsou použitelné na mnoha oblíbených webech, včetně eBay, SalesForce, Box.net, Paypal a dalších. Můžete si objednat low cost ($ 5) klíč od Paypal, nebo jak jsem nedávno objevil, stáhněte si bezplatnou aplikaci pro mobilní zařízení.
Verisign nabízí software pro širokou škálu mobilních zařízení, včetně iPhone, Android, Windows Mobile, Blackberry a dalších. Jednoduše si stáhněte software a spusťte program generování hesel - při prvním spuštění se vygeneruje jedinečný podpis a zaregistruje se na serverech VeriSign. Vaše zařízení má jedinečný identifikátor, který se poté zaregistrujete pomocí svého přihlašovacího jména na externím webu.
Poté, kdykoli otevřete program, ukáže vám aktuální heslo, které se má použít při dvoufaktorové autentizaci. Snadný.
RSA SecureID
Dalším velkým hráčem v poli dvoufaktorové autentizace je RSA. RSA ve skutečnosti průkopníkem v oblasti bezpečnosti, původně patentoval způsob šifrování dat komunikačních kanálů zpět v roce 1983 a uvolnění open source v roce 2000.
Stejně jako aplikace VeriSign, RSA vydala svou aplikaci SecureID zdarma pro iPhone, Blackberry, Windows Mobile a několik dalších platforem. K tomuto datu vydání bohužel zatím neuvedli aplikaci na platformu Android. Také máte hodně RSA řešení pro použití mobilního generátoru OTP, to by pocházelo z vašeho pracoviště, banky nebo jiného přihlašovacího jména, které může být potřeba zabezpečit.
RSA řešení se používají po celém světě.
FireID
FireID je spuštění ve dvoufaktorovém autentizačním prostoru. I když jsou na poli nové, mají opravdu pěknou aplikaci pro iPhone. Na jejich webových stránkách se uvádí, že podporují také zařízení Blackberry, Android, Windows Mobile a Symbian, ale nemohl jsem najít žádné informace o těchto produktech a nejsem si jistý, zda již byly vydány..
Jsou to určitě společnosti, které vás sledují.
ArcotOTP
ArcotOTP je další generátor jednorázových hesel. Přestože je Arcot méně známý než ostatní, je v této oblasti „začínající a začínající“ společností a ctí Bruce Schneiera jako poradce společnosti. ArcotOTP je proprietární technologie, kde budete potřebovat software, který je svázán s řešením ArcotOTP..
SafeNet MobilePASS
SafeNet poskytuje řadu různých bezpečnostních a autentizačních řešení a má také pěknou škálu OTP aplikací pro více platforem včetně iPhone, Blackberry, Windows Mobile a SMS. Z tohoto seznamu chybí Android.
I když nejde o komplexní seznam bezplatných mobilních OTP generátorů, výše uvedené vám dává dobrý nápad, pokud jde o některé z hlavních hráčů v oboru a populárnější řešení, která nabízejí spíše mobilního klienta než hardwarový token. Existuje mnoho poskytovatelů OTP, každý s vlastní platformou pro zabezpečení přihlášení.
VeriSign je pravděpodobně ten, se kterým budete nejznámější a má nejvíce elektronického přijetí, protože je používají Paypal / eBay, Salesforce a další populární webové aplikace. Kterou bezplatnou aplikaci, kterou byste použili, pravděpodobně diktují webové stránky, na které se musíte přihlásit, a do které dvoufaktorového schématu používají.
Ať už preferujete metodu implementace dvoufaktorové autentizace, tyto bezplatné aplikace vás nasměrují k některým poskytovatelům, kteří progresivně využívají myšlenku „konvergence mobilního zařízení“, což vám umožňuje vzdát se samostatného tokenu a použít jedno zařízení ke zvýšení bezpečnosti přihlašování.
Dejte nám vědět, jak snadno najdete tyto generátory hesel, které chcete použít, nebo jaká další bezpečnostní schémata používáte k zabezpečení svých hesel.
[Jako postscript jsem chtěl poukázat na to, že dvoufaktorová autentizace má v sobě mezeru - útok Muž ve středu je stále schopen tento autentizační systém porazit. Útočník v zásadě sedí mezi vámi (přihlašuje se) a serverem a předává vaše informace legitimnímu serveru včetně jednorázového hesla. Pro běžného spotřebitele jde o poměrně nejasný bezpečnostní problém, takže přidání dvoufaktorové autentizace k vašim přihlašovacím procesům poskytuje mnohem větší zabezpečení než běžné jednofaktorové schéma. ]
Obrázek Kredit: mikebaird.