Token (autorizare)

Versiunea actuală a paginii nu a fost încă examinată de colaboratori experimentați și poate diferi semnificativ de versiunea revizuită la 15 august 2022; verificările necesită 3 modificări .

Token ( token hardware , cheie USB , token criptografic ) - un dispozitiv compact conceput pentru a asigura securitatea informațiilor utilizatorului, este, de asemenea, utilizat pentru a identifica proprietarul acestuia, a securiza accesul de la distanță la resursele de informații etc. De regulă, acesta este un dispozitiv fizic folosit pentru a simplifica autentificarea . De asemenea, acest termen se poate referi la token-uri software , care sunt emise utilizatorului după autorizarea cu succes și sunt cheia pentru accesul la servicii. Adesea folosit pentru accesul neautorizat la un cont de către intruși.

Tokenurile sunt destinate identificării electronice (de exemplu, un client care accesează un cont bancar), în timp ce pot fi folosite atât în ​​locul unei parole , cât și împreună cu aceasta.

Într-un fel, un token este o cheie electronică pentru a accesa ceva.

De obicei, jetoanele hardware sunt suficient de mici pentru a fi purtate într-un buzunar sau poșetă, adesea sunt concepute sub formă de brelocuri . Unele sunt concepute pentru a stoca chei criptografice , cum ar fi o semnătură electronică sau date biometrice (cum ar fi detaliile unui model de amprentă ). Unele au protecție încorporată împotriva hackingului, altele au o mini-tastatură pentru introducerea unui cod PIN sau doar un buton pentru apelarea procedurii de generare și un afișaj pentru afișarea cheii generate. Token-urile au un conector USB , funcționalitate RFID sau o interfață wireless Bluetooth pentru a transfera secvența de chei generată către sistemul client.

Tipuri de parole

Toate jetoanele conțin unele informații secrete care sunt folosite pentru a verifica identitatea. Există patru moduri diferite în care aceste informații pot fi utilizate:

Dispozitivul conține o parolă care este ascunsă fizic (nu este vizibilă pentru proprietar), dar care este transmisă pentru fiecare autentificare . Acest tip este vulnerabil la atacurile de reluare .

Dispozitivul generează o nouă parolă unică cu un anumit interval de timp. Tokenul și serverul trebuie să fie sincronizate pentru ca parola să fie acceptată cu succes.

Parola unică este generată fără a utiliza un ceas, folosind un cifr Vernam sau alt algoritm criptografic .

Folosind criptografia cu cheie publică , se poate dovedi deținerea unei chei private fără a o expune. Serverul de autentificare criptează provocarea (de obicei un număr aleator, sau cel puțin date cu unele părți aleatorii) folosind cheia publică. Dispozitivul demonstrează că are o copie a cheii private corespunzătoare prin furnizarea apelului decriptat.

Ora - parole unice sincronizate

Parolele unice cu sincronizare temporală sunt modificate în mod constant la o oră stabilită, de exemplu, o dată pe minut. Pentru a face acest lucru, trebuie să existe o sincronizare între jetonul client și serverul de autentificare. Pentru dispozitivele care nu sunt conectate la rețea, această sincronizare se face înainte ca clientul să cumpere jetonul. Alte tipuri de jetoane sunt sincronizate atunci când jetoanele sunt introduse în dispozitivul de intrare. Principala problemă cu jetoanele sincronizate este că acestea pot deveni desincronizate după o perioadă lungă de timp. Cu toate acestea, unele sisteme, cum ar fi SecurID de la RSA , permit utilizatorului să sincronizeze serverul cu simbolul prin introducerea mai multor coduri de acces consecutive. Cele mai multe dintre ele nu pot avea baterii înlocuibile, prin urmare au o durată de viață limitată.

OTP -uri bazate pe un algoritm matematic

Un alt tip de parolă unică folosește un algoritm matematic complex , cum ar fi un lanț hash , pentru a genera o serie de parole unice dintr-o cheie secretă. Niciuna dintre parole nu poate fi ghicită, chiar dacă parolele anterioare sunt cunoscute. Există un algoritm public, standardizat OATH ; alți algoritmi sunt acoperiți de brevete americane. Fiecare parolă nouă trebuie să fie unică, astfel încât un utilizator neautorizat nu poate ghici care ar putea fi noua parolă din parolele utilizate anterior.

Tipuri de jetoane

Jetoanele pot conține jetoane cu diverse funcții de la foarte simple la foarte complexe, inclusiv metode multiple de autentificare . Cele mai simple jetoane de securitate nu au nevoie de nicio conexiune la un computer. Jetoanele au un afișaj fizic; Utilizatorul introduce pur și simplu numărul afișat pentru a se conecta. Alte jetoane se conectează la computere folosind tehnologii fără fir, cum ar fi Bluetooth . Aceste jetoane transmit secvența de chei către clientul local sau cel mai apropiat punct de acces . În plus, o altă formă de token disponibilă pe scară largă este un dispozitiv mobil care comunică folosind un canal în afara benzii (cum ar fi SMS sau USSD ). Cu toate acestea, alte jetoane se conectează la un computer și poate fi necesar un PIN . În funcție de tipul de jeton, sistemul de operare al computerului fie va citi cheia jetonului și va efectua operațiuni criptografice pe aceasta, fie va cere firmware-ului jetonului să efectueze singur aceste operațiuni. O astfel de aplicație este o cheie hardware ( dongle ) cerută de unele programe de calculator pentru a dovedi proprietatea software-ului. Cheia este plasată în dispozitivul de intrare și software-ul accesează dispozitivul de intrare/ieșire în cauză pentru a permite utilizarea software -ului dat . Soluțiile comerciale sunt furnizate de diverși furnizori, fiecare cu propriile caracteristici de securitate (și adesea proprietare ). Proiectele token care îndeplinesc anumite standarde de securitate sunt certificate în Statele Unite ca fiind conforme cu FIPS 140 , standardul federal de securitate din SUA . Token-urile fără nicio certificare nu îndeplinesc adesea standardele de securitate guvernamentale SUA, nu au trecut prin teste riguroase și, probabil, nu pot oferi același nivel de protecție criptografică ca și token-urile care au fost dezvoltate și verificate de agenții terțe.

Jetoane neconectate

Token-urile fără conexiune nu au nicio conexiune fizică sau logică la computerul clientului. De obicei, acestea nu necesită un dispozitiv de introducere special, ci folosesc în schimb un ecran încorporat pentru a afișa datele de autentificare generate, care la rândul lor sunt introduse manual de către utilizator folosind o tastatură. Tokenurile fără conexiune sunt cel mai frecvent tip de token (autorizare) utilizat (de obicei în combinație cu o parolă) în autentificarea cu doi factori pentru identificarea online. [unu]

Modelul RSA SecurID SID700 este un breloc mic pentru chei. [2]

Jetoane conectate

Tokenurile conectate trebuie să fie conectate fizic la computerul pe care utilizatorul este autentificat ( autentificat ). Tokenurile de acest tip transferă automat informațiile de autentificare către computerul client de îndată ce se stabilește o conexiune fizică, ceea ce elimină nevoia ca utilizatorul să introducă manual datele de autentificare. Utilizarea unui jeton de conexiune necesită o priză de conexiune adecvată . Cele mai comune jetoane conectate sunt cardurile inteligente și USB , care necesită un cititor de carduri inteligente și, respectiv, un port USB.

Cardurile PC sunt utilizate pe scară largă în laptopuri . Cărțile de tip II sunt preferate ca jetoane deoarece sunt de două ori mai subțiri decât cărțile de tip III.

Intrarea audio (portul jack audio) poate fi folosită pentru a stabili comunicarea între dispozitive mobile precum iPhone, iPad și Android. Cel mai faimos dispozitiv este Square , un cititor de carduri pentru iPhone și Android.

Tehnologia de transfer de date folosind acest dispozitiv este acoperită de un brevet Apple , dar profesorii și studenții de la Departamentul de Inginerie Electrică și Informatică de la Universitatea din Michigan au dezvoltat un dispozitiv „ HiJack ” care permite schimbul de date între un dispozitiv periferic de alimentare și un dispozitiv i. Cantitatea mică de putere pe care o primește HiJack de la portul audio este suficientă pentru a alimenta un microcontroler TI MSP430 și pentru a conecta HiJack la o aplicație special concepută pentru iOS . [3]

Jetoanele pot fi folosite și ca act de identitate cu fotografie. Telefoanele mobile și PDA-urile pot servi drept jetoane de securitate dacă sunt programate corect.

Carduri inteligente

Multe jetoane conectate folosesc tehnologia smart card . Cardurile inteligente sunt foarte ieftine și conțin mecanisme de securitate dovedite (care sunt utilizate de instituțiile financiare, cum ar fi cardurile de plată). Cu toate acestea, performanța de calcul a cardurilor inteligente este destul de limitată din cauza consumului redus de energie și a cerinței pentru forme ultra subțiri.

Cardurile inteligente bazate pe jetoane USB, care conțin un cip de card inteligent în interior, oferă funcționalitatea atât a cardurilor USB , cât și a cardurilor inteligente . Acestea includ o gamă largă de soluții de securitate și oferă protecție pentru un smart card tradițional fără a necesita un dispozitiv de intrare unic. Din punctul de vedere al sistemului de operare al computerului , un astfel de token este un cititor de carduri inteligente conectat prin USB cu un card inteligent nedetașabil în interior. [patru]

Un exemplu de utilizare a simbolului

Folosind un token, puteți proteja un cont pe un computer folosind o parolă complexă, fără a o aminti. Pentru a face acest lucru, trebuie să cumpărați software (de exemplu: eToken Network Logon) și un token care se potrivește cu acesta. Cu ajutorul programului, jetonul va primi o cheie pentru a intra în sistem. La repornire, va trebui să introduceți un token (de exemplu, într-un port USB ) și să introduceți un PIN . După operațiunile efectuate, aveți acces la sistem.

Jetoane wireless

Spre deosebire de jetoanele conectate, jetoanele wireless formează o legătură logică cu computerul clientului și nu necesită o conexiune fizică. Lipsa nevoii de contact fizic le face mai convenabile decât jetoanele conectate și jetoanele neconectate. Drept urmare, acest tip de jeton este o alegere populară pentru sistemele de intrare fără cheie și de plată electronică, cum ar fi Mobil Speedpass , care utilizează RFID pentru a transmite informații de autentificare de la un jeton pentru cheie. Cu toate acestea, există diverse preocupări de securitate, după ce cercetările de la Universitatea Johns Hopkins și laboratoarele RSA au descoperit că etichetele RFID pot fi piratate cu ușurință. [5] O altă problemă este că jetoanele wireless au o durată de viață relativ scurtă de 3-5 ani, în timp ce jetoanele USB pot dura până la 10 ani.

Jetoane Bluetooth

Token-urile Bluetooth sunt convenabile de utilizat, deoarece utilizarea lor nu necesită o conexiune fizică a dispozitivului, token-ul poate fi în buzunarul utilizatorului. De asemenea, unul dintre avantajele jetoanelor Bluetooth este capacitatea de a lucra cu dispozitive mobile, dintre care multe nu acceptă capacitatea de a se conecta fizic. Token-urile Bluetooth au nevoie de propria baterie pentru a opera modulul wireless și dispozitivul criptografic, așa că au o baterie care trebuie încărcată periodic (pentru dispozitivele moderne, timpul de funcționare este de aproximativ 40 de ore). Bateria încorporată se încarcă fie folosind o sursă de alimentare specială, fie folosind o mufă USB obișnuită, care vă permite simultan să utilizați o conexiune USB dacă nu există posibilitatea de conectare prin Bluetooth . Autentificarea Bluetooth funcționează la o distanță de aproximativ 10 metri, ceea ce vă permite să efectuați anumite acțiuni dacă utilizatorul este plecat (de exemplu, blocați computerul de lucru).

Token și tehnologii de conectare unică

Unele tipuri de conectare unică folosesc jetoane pentru a stoca software care permite autentificarea rapidă . Deoarece parolele sunt stocate pe token, utilizatorul nu trebuie să-l amintească și pot fi folosite parole complexe și mai sigure.

Lucrul cu aplicații web prin plugin-ul

Când utilizați un token sau un smart card în aplicațiile web, interacțiunea dintre browser și instrumentul de semnătură electronică se realizează printr-un plug-in special . Folosind pluginul, aplicația web primește o listă de certificate disponibile de la token-urile conectate și solicită instalarea unei semnături electronice.

În același timp, utilizarea unui plug-in de la un anumit producător face dificilă utilizarea instrumentelor de semnătură electronică de la alți furnizori. Pentru a rezolva această problemă, sunt dezvoltate pluginuri universale, de exemplu:

  • plugin pentru lucrul cu portalul serviciilor publice care acceptă cele mai comune mijloace de semnătură electronică. Pluginul este destinat utilizării în infrastructura e-guvernare, acceptă doar instrumente calificate de semnătură electronică. De la începutul lui 2016, nu funcționează pe cele mai recente versiuni de Mac OS X și browserul Google Chrome.

Dispozitivele mobile ca simbol

Dispozitivele de calcul mobile, cum ar fi smartphone-urile sau tabletele, pot fi folosite ca simbol. Ele oferă, de asemenea , autentificare cu doi factori , care nu necesită ca utilizatorul să poarte cu el un dispozitiv fizic suplimentar. Unii furnizori oferă o soluție de autentificare a dispozitivelor mobile care utilizează o cheie criptografică pentru a autentifica utilizatorul. Acest lucru oferă un nivel ridicat de securitate, inclusiv protecție împotriva atacurilor de tip man-in-the-middle .

Vulnerabilități

Cea mai simplă vulnerabilitate cu orice simbol este pierderea sau furtul acestuia. Probabilitatea unui eveniment de compromis poate fi redusă prin securitatea personală, de exemplu: încuietori, cablaj electronic , alarme. Jetoanele furate sunt inutile pentru hoț dacă se folosește tehnologia de autentificare cu doi factori. De obicei, autentificarea necesită introducerea unui număr personal de identificare ( PIN ) împreună cu informațiile de pe token.

Orice sistem care permite utilizatorilor să se autentifice printr-o rețea neîncrezătoare (cum ar fi Internetul) este vulnerabil la un atac de tip man-in-the-middle . Atacul MITM (ing. Man in the middle) este un termen în criptografie care denotă o situație în care un criptoanalist (atacatorul) este capabil să citească și să modifice mesajele schimbate între corespondenți în voie, iar niciunul dintre aceștia din urmă nu poate ghici despre prezența sa în canalul . O metodă de compromitere a unui canal de comunicare, în care un atacator, conectându-se la un canal între contrapărți, intervine activ în protocolul de transmisie, ștergând, distorsionând informații sau impunând informații false.

Semnătura digitală

La fel de sigură ca o semnătură obișnuită de mână, o semnătură digitală trebuie făcută cu o cheie privată cunoscută doar de persoana autorizată să facă semnătura. Jetoane care permit generarea și stocarea în siguranță a cheilor private , oferă o semnătură digitală securizată și pot fi folosite și pentru a autentifica un utilizator, cheia privată servește și la identificarea utilizatorului.

Ecran de încredere

Tehnologia TrustScreen este concepută pentru a îmbunătăți securitatea tranzacțiilor online în servicii bancare la distanță (RBS) și alte aplicații critice. Sarcina sa este de a proteja împotriva înlocuirii de către un atacator a documentului semnat sau a hash-ului acestuia în timpul procesului de semnare, precum și împotriva efectuării de operațiuni neautorizate în cazul interceptării cu succes a codului PIN. Tehnologia face posibilă controlul vizual al datelor semnate, care sunt afișate pe ecranul dispozitivului imediat înainte de semnătură. Toate operațiunile semnificative asupra datelor trimise pentru semnătură sunt efectuate „la bord” dispozitivului:

  • vizualizarea documentului pe ecran pentru a controla corectitudinea,
  • calcul hash document,
  • hash-ul documentului este semnat cu o cheie nerecuperabilă,
  • introducerea unui cod PIN sau a unei comenzi de confirmare a semnăturii, ocolind tastatura computerului.

Vezi și

Note

  1. de Borde, Duncan Autentificare cu doi factori  (engleză)  (link nu este disponibil) . Siemens Insight Consulting (28 iunie 2007). Arhivat din original pe 12 ianuarie 2012.
  2. RSA SecurID 700 . Consultat la 19 decembrie 2013. Arhivat din original pe 10 ianuarie 2013.
  3. HiJack . Data accesului: 19 decembrie 2013. Arhivat din original la 6 ianuarie 2014.
  4. Specificații pentru dispozitivele de interfață pentru carduri cu circuite integrate, arhivate la 29 decembrie 2005.
  5. Biba, Erin Cheia ta mașinii prezintă un risc de securitate?  (engleză) . PC World (14 februarie 2005). Consultat la 25 noiembrie 2013. Arhivat din original pe 5 iunie 2011.

Link -uri