Программный токен
Программный токен (он же программный токен ) — это часть устройства безопасности двухфакторной аутентификации , которая может использоваться для авторизации использования компьютерных служб. [1] Программные токены хранятся на электронном устройстве общего назначения, таком как настольный компьютер , ноутбук , КПК или мобильный телефон , и могут быть скопированы. (В отличие от аппаратных токенов , где учетные данные хранятся на выделенном аппаратном устройстве и, следовательно, не могут быть скопированы — в отсутствие физического вторжения в устройство)
Поскольку программные токены — это то, чем физически никто не владеет, они подвергаются уникальным угрозам, основанным на дублировании базового криптографического материала, например, компьютерным вирусам и программным атакам. Как аппаратные, так и программные токены уязвимы для атак типа «человек посередине» с использованием ботов или для простых фишинговых атак, в которых запрашивается одноразовый пароль , предоставляемый токеном, а затем своевременно доставляется на настоящий веб-сайт. Программные токены имеют преимущества: нет физического токена, который нужно носить с собой, они не содержат батарей, которые могут разрядиться, и они дешевле аппаратных токенов. [2]
Архитектура безопасности
Существуют две основные архитектуры программных токенов: общий секрет и криптография с открытым ключом .
Для общего секрета администратор обычно генерирует файл конфигурации для каждого конечного пользователя. Файл будет содержать имя пользователя, персональный идентификационный номер и секрет . Этот файл конфигурации предоставляется пользователю.
Архитектура общего секрета потенциально уязвима в ряде областей. Файл конфигурации может быть скомпрометирован, если его украдут, а токен скопируют. С помощью программных токенов на основе времени можно одолжить КПК или ноутбук человека, перевести часы вперед и сгенерировать коды, которые будут действительны в будущем. Любой программный токен, который использует общие секреты и хранит PIN-код вместе с общим секретом в программном клиенте, может быть украден и подвергнут офлайн-атакам. Распространение общих секретных токенов может быть затруднено, поскольку каждый токен по сути является отдельной частью программного обеспечения. Каждый пользователь должен получить копию секрета, что может создать временные ограничения.
Некоторые новые программные токены полагаются на криптографию с открытым ключом или асимметричную криптографию. Эта архитектура устраняет некоторые традиционные слабости программных токенов, но не влияет на их основную слабость (способность дублироваться). PIN-код может храниться на удаленном сервере аутентификации вместо клиента токена, что делает украденный программный токен бесполезным, если PIN-код также не известен. Однако в случае заражения вирусом криптографический материал может быть дублирован, а затем PIN-код может быть перехвачен (с помощью кейлоггинга или аналогичного метода) при следующей аутентификации пользователя. Если будут предприняты попытки угадать PIN-код, это может быть обнаружено и зарегистрировано на сервере аутентификации, что может отключить токен. Использование асимметричной криптографии также упрощает реализацию, поскольку клиент токена может генерировать свою собственную пару ключей и обмениваться открытыми ключами с сервером.
Смотрите также
- Аутентификация
- Электронная аутентификация
- Google Аутентификатор
- Многофакторная аутентификация
- Токен безопасности
Ссылки
- ^ Чунг, Хоакин; Юнг, Ын-Сун; Кеттимутху, Раджкумар; Рао, Нагешвара С.В.; Фостер, Иэн Т.; Кларк, Расс; Оуэн, Генри (2018-02-01). «Управление доступом к предварительному резервированию с использованием программно-определяемых сетей и токенов». Future Generation Computer Systems . 79 : 225–234. doi : 10.1016/j.future.2017.03.010 . OSTI 1394409.
- ^ SecurityPro News Strong Authentication Получено 3 апреля 2007 г.
Внешние ссылки
- Microsoft откажется от паролей
- Банки будут использовать двухфакторную аутентификацию к концу 2006 года
