Hirdetés
Az egyszeri jelszó (OTP) jogkivonatot általában a legfontosabb felhasználói bejelentkezési biztonság szempontjából tekintik. Ezek kulcsfontosságú elemei a Két tényezős hitelesítés rendszer, amely drasztikusan növeli a bejelentkezés biztonságát egy tipikus felhasználónév / jelszó egy tényező rendszerből.
A felhasználónév / jelszó biztonsági rendszerét számos ok miatt nagyon bizonytalannak tekintik, ideértve a csomag- vagy a billentyűleütések könnyű szimatolását, az adathalász támadásokat és más szociális mérnöki problémákat. Két tényezős hitelesítési séma hozzáad egy másik biztonsági réteget azáltal, hogy a felhasználó lekér egy másik biztonsági réteget jelszó egy sávon kívüli forrásból, például egy jelszót generáló eszközből (például egy OTP tokenből) vagy SMS-ből szöveg.
Mivel ez a jelszó időről időre változik - szinte lehetetlen a hackerek számára ellopni az Ön felhasználónevét és jelszavát, és bejelentkezni anélkül, hogy ennek a tokennek lennie kellene.
Ezek a tokenek általában fizetendők, mivel fizikai eszközök, de az alkalmazások közelmúltbeli növekedése miatt A mobil eszközökhöz elérhető számos OTP szolgáltató most ingyenes alkalmazásokat kínál, amelyek helyettesítik a fizikát eszköz.
Az alábbiakban felsorolunk néhány népszerűbb jelszógenerátort, amellyel találkoztam, és működés közben képernyőképeket készítek róluk:
VeriSign Identity Protection (VIP) hozzáférés a mobilhoz
A fizikai egyszeri jelszó-tokenok egyik legnagyobb szolgáltatója a Verisign. Hardverjelzőik olcsóak a végfelhasználó számára, és számos népszerű online webhelyen felhasználhatók, például az eBay, a SalesForce, a Box.net, a Paypal és a többi. Megrendelheti alacsony költségű (5 dolláros) kulcsot a Paypal-tól, vagy amint a közelmúltban fedeztem fel, töltsön le egy ingyenes mobil eszköz alkalmazást.
A Verisign számosféle mobil eszközhöz kínál szoftvert, beleértve az iPhone, az Android, a Windows Mobile, a Blackberry és egyebeket. Egyszerűen töltse le a szoftvert és futtassa a jelszógenerátor programot - az első futtatáskor egyedi aláírást generál és regisztrál a VeriSign szerverein. A készülék egyedi azonosítóval rendelkezik, amelyet regisztrálva van egy külső webhelyen történő bejelentkezésével.
Ezt követően, amikor megnyitja a programot, megmutatja az aktuális jelszót, amelyet a két tényezővel történő hitelesítés során használni kell. Könnyen.
A kétfaktoros hitelesítés területén egy másik nagy szereplő az RSA. Az RSA eredetileg úttörője volt a biztonság területén szabadalmaztatás egy módszer a kommunikációs csatorna adatainak titkosítására 1983-ban, és nyílt forráskódú kiadására 2000-ben.
Hasonlóan a VeriSign alkalmazáshoz, az RSA ingyenesen kiadta a SecureID alkalmazását az iPhone, a Blackberry, a Windows Mobile és néhány más platformon is. Sajnos a kiadás dátuma óta nem bocsátották ki az alkalmazást az Android platformon. Önnek is van egy RSA megoldása a mobil OTP generátor használatához, ez a munkahelyéről, bankjáról vagy bármilyen más bejelentkezéstől származhat, amelyet esetleg meg kell védeni.
Az RSA megoldásokat széles körben használják az egész világon.
A FireID egy indítás a két tényezős hitelesítési térben. Bár újak a területen, van egy igazán szép iPhone alkalmazásuk. Webhelyükön kijelenti, hogy támogatják a Blackberry, az Android, a Windows Mobile és a Symbian eszközöket is, de nem találtam információt ezekről a termékekről, és nem vagyok biztos abban, hogy kiadtak-e őket még.
Határozottan olyan társaság, amely figyelemmel kíséri.
ArcotOTP [már nem elérhető]
Az ArcotOTP egy egyszeri jelszógenerátor. Noha kevésbé ismert, mint a többiek, az Arcot ezen a téren egy „feljövő” vállalkozás, és tiszteletreméltó Bruce Schneier-t számít a cég tanácsadójaként. Az ArcotOTP szabadalmaztatott technológia, ahol olyan szoftverre lesz szüksége, amelyet egy ArcotOTP megoldáshoz kötöttek.
A SafeNet különféle biztonsági és hitelesítési megoldásokat kínál, valamint számos OTP alkalmazást kínál számos platformon, beleértve az iPhone, a Blackberry, a Windows Mobile és az SMS szolgáltatást. Nevezetesen az Android hiányzik ebből a listából.
Noha nem tartalmazza az ingyenes mobil OTP generátorok átfogó listáját, a fentiek jó ötletet nyújtanak a következők közül néhányra a legfontosabb szereplők a területen és a népszerűbb megoldások, amelyek nem mobil hardver alapú, hanem mobil klienst kínálnak jelképes. Sok OTP szolgáltató van odakint, mindegyik saját platformmal rendelkezik a bejelentkezéshez.
A VeriSign valószínűleg az egyik legjobban ismeri, és az e-kereskedelem elfogadása a legtöbb, mivel a Paypal / eBay, a Salesforce és más népszerű internetes alkalmazások használják őket. Melyik ingyenes alkalmazást szeretné használni, valószínűleg azok a webhelyek diktálják, amelyekbe be kell jelentkeznie, és melyik két tényezőt használják.
Bármelyik módszer is előnyben részesíti a két tényezős hitelesítés végrehajtását, ezek az ingyenes alkalmazások egyes szolgáltatók felé mutatnak, amelyek már voltak progresszív a „mobil eszköz konvergenciája” gondolkodásmódban, lehetővé téve egy külön token elhagyását és egy eszköz használatával a bejelentkezés növelését Biztonság.
Mondja meg nekünk, milyen könnyű megtalálni ezeket a jelszógenerátorokat, vagy milyen egyéb biztonsági sémákat használ a jelszavak biztonságához.
[PostScriptként csak azt akartam rámutatni, hogy a két tényezőjű hitelesítésben van egy rést rejlő nyílás - a középső ember támadása még mindig képes legyőzni ezt a hitelesítési rendszert. Alapvetõen a támadó közted (bejelentkezés) és a szerver között ül, és az Ön adatait továbbítja a jogos szerverhez, beleértve az egyszeri jelszót. Ez az általános fogyasztó számára meglehetősen homályos biztonsági kérdés, tehát két faktoros hitelesítés hozzáadása a bejelentkezési folyamatokhoz sokkal nagyobb biztonságot nyújt, mint a szokásos egy tényezős rendszer. ]
Kép jóváírás: mikebaird.
Dave Drager az XDA Developersnél dolgozik, Philadelphia, Pennsylvania külvárosában.