Маркер безопасности - Security token

Маркер безопасности является периферийным устройство используется для получения доступа к электронному ограниченному ресурсу. Маркер используется в дополнение к паролю или вместо него . Он действует как электронный ключ для доступа к чему-либо. Примеры включают в себя беспроводную карту- ключ, открывающую запертую дверь, или в случае, если клиент пытается получить доступ к своему банковскому счету в Интернете, использование предоставленного банком токена может доказать, что клиент является тем, кем он себя называет.

Некоторые токены могут хранить криптографические ключи, которые могут использоваться для генерации цифровой подписи , или биометрических данных, таких как данные отпечатка пальца . Некоторые могут также хранить пароли . Некоторые конструкции включают в себя упаковку с защитой от несанкционированного доступа , в то время как другие могут включать небольшие клавиатуры, позволяющие вводить PIN-код, или простую кнопку для запуска процедуры генерации с некоторой возможностью отображения для отображения сгенерированного номера ключа. Подключенные токены используют различные интерфейсы, включая USB , связь ближнего поля (NFC), радиочастотную идентификацию (RFID) или Bluetooth . Некоторые жетоны имеют аудиовозможность, предназначенную для людей с нарушениями зрения.

Типы паролей

Все токены содержат некоторую секретную информацию, которая используется для подтверждения личности. Есть четыре различных способа использования этой информации:

Токен асинхронного пароля для онлайн-банкинга.

Токен статического пароля

Устройство содержит пароль, который физически скрыт (не виден владельцу), но передается при каждой аутентификации. Этот тип уязвим для атак повторного воспроизведения .

Токен синхронного динамического пароля

Таймер используется для чередования различных комбинаций, созданных криптографическим алгоритмом . Токен и сервер аутентификации должны иметь синхронизированные часы.

Токен асинхронного пароля

Одноразовый пароль генерируется без использования часов, либо из одноразового блокнота , либо с помощью криптографического алгоритма.

Ответ Вызов маркера

Используя криптографию с открытым ключом , можно доказать владение секретным ключом, не раскрывая этот ключ. Сервер аутентификации шифрует запрос (обычно случайное число или, по крайней мере, данные с некоторыми случайными частями) с помощью открытого ключа; устройство доказывает, что обладает копией совпадающего закрытого ключа, предоставляя расшифрованный запрос.

Синхронизированные по времени одноразовые пароли постоянно меняются через заданный интервал времени; например, один раз в минуту. Для этого между токеном клиента и сервером аутентификации должна существовать какая-то синхронизация . Для отключенных токенов эта временная синхронизация выполняется до того, как токен будет передан клиенту . Другие типы токенов выполняют синхронизацию, когда токен вставляется в устройство ввода . Основная проблема с синхронизированными по времени токенами заключается в том, что со временем они могут стать несинхронизированными. Однако некоторые такие системы, такие как SecurID RSA , позволяют пользователю повторно синхронизировать сервер с токеном, иногда путем ввода нескольких последовательных кодов доступа. У большинства из них также нет сменных батарей, и их срок службы составляет не более 5 лет, прежде чем их придется заменять, поэтому за них взимается дополнительная плата.

Другой тип одноразового пароля использует сложный математический алгоритм, такой как цепочка хешей , для генерации серии одноразовых паролей из секретного общего ключа. Каждый пароль невозможно угадать, даже если известны предыдущие пароли. Алгоритм OATH с открытым исходным кодом стандартизирован; другие алгоритмы защищены патентами США . Каждый пароль очевидно непредсказуем и не зависит от предыдущих, в результате чего злоумышленник не сможет угадать, каким может быть следующий пароль, даже зная все предыдущие пароли.

Физические типы

Токены могут содержать микросхемы с функциями от очень простых до очень сложных, включая несколько методов аутентификации.

Простейшие токены безопасности не требуют подключения к компьютеру . Жетоны имеют физический дисплей; аутентифицирующий пользователь просто вводит отображаемый номер для входа в систему. Другие токены подключаются к компьютеру с помощью беспроводных технологий, таких как Bluetooth . Эти токены передают последовательность ключей локальному клиенту или ближайшей точке доступа.

В качестве альтернативы, другая форма токена, широко доступная в течение многих лет, - это мобильное устройство, которое обменивается данными с использованием внеполосного канала (например, голосовой связи, SMS или USSD ).

Другие токены подключаются к компьютеру и могут потребовать PIN-код . В зависимости от типа токена операционная система компьютера затем либо прочитает ключ из токена и выполнит с ним криптографическую операцию, либо попросит микропрограмму токена выполнить эту операцию.

Связанное приложение - это аппаратный ключ, необходимый некоторым компьютерным программам для подтверждения права собственности на программное обеспечение . Ключ помещается в устройство ввода, и программное обеспечение обращается к рассматриваемому устройству ввода-вывода, чтобы разрешить использование данного программного обеспечения .

Коммерческие решения предоставляются множеством поставщиков, каждый из которых имеет собственную запатентованную (и часто запатентованную) реализацию различных функций безопасности. Дизайн токенов, отвечающий определенным стандартам безопасности, сертифицирован в США как соответствующий федеральному стандарту безопасности FIPS 140 . Токены без какой-либо сертификации иногда рассматриваются как подозрительные, поскольку они часто не соответствуют принятым правительственным или отраслевым стандартам безопасности, не прошли тщательное тестирование и, вероятно, не могут обеспечить такой же уровень криптографической безопасности, как решения с использованием токенов, которые имели свои проекты, прошедшие независимую проверку сторонними агентствами.

Отключенные токены

Отключенный токен. Номер необходимо вручную скопировать в поле PASSCODE .

Отключенные токены не имеют ни физического, ни логического подключения к клиентскому компьютеру. Как правило, они не требуют специального устройства ввода и вместо этого используют встроенный экран для отображения сгенерированных данных аутентификации, которые пользователь вводит вручную с помощью клавиатуры или клавиатуры. Отключенные токены являются наиболее распространенным типом токенов безопасности, используемых (обычно в сочетании с паролем) в двухфакторной аутентификации для онлайн-идентификации.

Подключенные токены

Подключенные токены - это токены, которые должны быть физически подключены к компьютеру, на котором выполняется аутентификация пользователя. Токены в этой категории автоматически передают информацию аутентификации на клиентский компьютер после установления физического соединения, избавляя пользователя от необходимости вручную вводить информацию аутентификации. Однако для использования подключенного токена необходимо установить соответствующее устройство ввода. Наиболее распространенными типами физических токенов являются смарт-карты и USB-токены, для которых требуется устройство чтения смарт-карт и порт USB соответственно. Все чаще FIDO2 маркеры, поддерживаемые открытой спецификации группы FIDO Alliance стали популярными для потребителей с начала поддержки основной браузер в 2015 году и при поддержке популярных веб - сайтов и социальных медиа сайтов.

Старые жетоны PC Card предназначены для работы в основном с ноутбуками . Карты ПК типа II предпочтительнее использовать в качестве жетона, так как они вдвое меньше, чем карты типа III.

Порт аудиоразъема - относительно практичный способ установить соединение между мобильными устройствами, такими как iPhone, iPad и Android, а также другими аксессуарами. Самым известным устройством является Square , считыватель кредитных карт для устройств iOS и Android.

Некоторые используют специальный интерфейс (например, криптографический ключ зажигания, используемый Агентством национальной безопасности США ). Жетоны также можно использовать в качестве удостоверения личности с фотографией . Сотовые телефоны и КПК также могут служить маркерами безопасности при правильном программировании.

Смарт-карты

Многие подключенные токены используют технологию смарт-карт. Смарт-карты могут быть очень дешевыми (около десяти центов) и содержать проверенные механизмы безопасности (используемые финансовыми учреждениями, например, банковские карты). Однако вычислительная производительность смарт-карт часто довольно ограничена из-за чрезвычайно низкого энергопотребления и требований ультратонкого форм-фактора.

Смарт-карта на основе USB токенов , которые содержат смарт - карту чип внутри обеспечивают функциональность как USB токенов и смарт - карт. Они позволяют использовать широкий спектр решений безопасности и обеспечивают возможности и безопасность традиционных смарт-карт, не требуя уникального устройства ввода. С точки зрения операционной системы компьютера такой токен представляет собой подключенное через USB устройство чтения смарт-карт с одной несъемной смарт-картой.

Бесконтактные токены

В отличие от подключенных токенов, бесконтактные токены образуют логическое соединение с клиентским компьютером, но не требуют физического соединения. Отсутствие необходимости в физическом контакте делает их более удобными, чем подключенные и отключенные токены. В результате бесконтактные токены являются популярным выбором для систем бесключевого доступа и решений для электронных платежей, таких как Mobil Speedpass , которое использует RFID для передачи информации аутентификации с токена связки ключей. Однако после того, как исследователи из Университета Джона Хопкинса и RSA Laboratories обнаружили, что RFID-метки можно легко взломать и клонировать , возникли различные проблемы с безопасностью в отношении токенов RFID .

Еще одним недостатком является то, что бесконтактные токены имеют относительно короткое время автономной работы; обычно всего 5–6 лет, что мало по сравнению с USB- токенами, срок службы которых может превышать 10 лет. Однако некоторые жетоны позволяют заменять батареи, что снижает затраты.

Токены Bluetooth

Протоколы Bluetooth Low Energy служат для продления срока службы батареи беспроводной передачи.

• Передача собственных идентификационных данных Bluetooth - это самое низкое качество для поддержки аутентификации.
• Двунаправленное соединение для обмена транзакционными данными служит для самых сложных процедур аутентификации.

Однако автоматическое управление мощностью трансмиссии препятствует попыткам оценки радиального расстояния. Уход доступен отдельно от стандартизированного алгоритма управления мощностью Bluetooth, чтобы обеспечить калибровку минимально необходимой мощности передачи.

Токены Bluetooth часто сочетаются с токеном USB, что позволяет работать как в подключенном, так и в отключенном состоянии. Аутентификация Bluetooth работает на расстоянии ближе 32 футов (10 метров). Если соединение Bluetooth не работает должным образом, токен может быть вставлен в устройство ввода USB для работы.

Другая комбинация - со смарт-картой для локального хранения больших объемов идентификационных данных, а также обработки информации. Другой - бесконтактный токен BLE, который сочетает в себе безопасное хранилище и токенизированную выдачу учетных данных по отпечатку пальца.

В режиме работы USB для выхода из системы требуется уход за токеном, который механически подключен к USB-разъему. Преимущество режима работы Bluetooth - возможность комбинировать подписку с показателями расстояния. Соответствующие продукты находятся в стадии подготовки, следуя концепции электронного поводка.

Токены NFC

Токены ближней связи (NFC) в сочетании с токеном Bluetooth могут работать в нескольких режимах, таким образом работая как в подключенном, так и в отключенном состоянии. Аутентификация NFC работает на расстоянии менее 1 фута (0,3 метра). Протокол NFC обеспечивает связь с считывателем на короткие расстояния, в то время как соединение Bluetooth служит для передачи данных с помощью токена для аутентификации. Кроме того, когда канал Bluetooth не подключен, токен может передавать локально сохраненную информацию аутентификации в грубом расположении считывателю NFC и избавляет от необходимости точного размещения на разъеме.

Программные токены единого входа

Некоторые типы решений единого входа (SSO), такие как единый вход на предприятии , используют токен для хранения программного обеспечения, которое обеспечивает беспрепятственную аутентификацию и заполнение пароля. Поскольку пароли хранятся на токене, пользователям не нужно запоминать свои пароли и, следовательно, они могут выбирать более безопасные пароли или назначать более безопасные пароли. Обычно в большинстве токенов хранится криптографический хэш пароля, поэтому, если токен скомпрометирован, пароль по-прежнему защищен.

Программируемые токены

Программируемые токены продаются как «прямая» замена мобильных приложений, таких как Google Authenticator (miniOTP). Их можно использовать в качестве замены мобильного приложения, а также параллельно в качестве резервного.

Уязвимости

Любые средства и меры защиты данных могут быть преодолены. Это также относится к токенам безопасности. Основная угроза - неосторожная операция. Пользователи должны знать о постоянных вариантах угрозы.

Утрата и кража

Самая простая уязвимость любого контейнера паролей - это кража или потеря устройства. Вероятность того, что это произойдет или произойдет неожиданно, можно уменьшить с помощью физических мер безопасности, таких как замки, электронный поводок или датчик тела и сигнализация. Украденные токены можно сделать бесполезными с помощью двухфакторной аутентификации . Обычно для аутентификации необходимо ввести личный идентификационный номер (PIN) вместе с информацией, предоставленной токеном, одновременно с выводом токена.

Атакующий

Любая система, позволяющая пользователям проходить аутентификацию через ненадежную сеть (например, Интернет), уязвима для атак типа «злоумышленник в середине». В этом типе атаки мошенник действует как «посредник» между пользователем и легитимной системой, запрашивая вывод токена у легитимного пользователя и затем отправляя его самой системе аутентификации. Поскольку значение токена является математически правильным, аутентификация проходит успешно и мошеннику предоставляется доступ. Ситибанк попал в заголовки новостей в 2006 году, когда его бизнес-пользователи, оснащенные аппаратными токенами, стали жертвами крупной украинской фишинг- атаки с использованием метода « злоумышленник -посередине» .

Нарушение кодов

В 2012 году исследовательская группа Prosecco в INRIA Paris-Rocquencourt разработала эффективный метод извлечения секретного ключа из нескольких криптографических устройств PKCS # 11 , включая SecurID 800. Эти результаты были задокументированы в техническом отчете INRIA RR-7944, ID hal-00691958 , и опубликовано на CRYPTO 2012.

Цифровой подписи

Цифровая подпись, которая считается обычной собственноручной подписью, должна быть сделана с помощью закрытого ключа, известного только лицу, уполномоченному на ее изготовление. Токены, которые обеспечивают безопасную встроенную генерацию и хранение закрытых ключей, позволяют использовать безопасные цифровые подписи, а также могут использоваться для аутентификации пользователя, поскольку закрытый ключ также служит доказательством личности пользователя.

Чтобы токены могли идентифицировать пользователя, все токены должны иметь уникальный номер. Не все подходы полностью квалифицируются как цифровые подписи согласно некоторым национальным законам. Жетоны без встроенной клавиатуры или другого пользовательского интерфейса нельзя использовать в некоторых сценариях подписания , таких как подтверждение банковской транзакции на основе номера банковского счета, на который должны быть переведены средства.

Смотрите также

• Аутентификация
• Аппаратный модуль безопасности
• Управление идентификацией
• Инициатива по открытой аутентификации
• Мобильная подпись
• Многофакторная аутентификация
• Взаимная аутентификация
• Одноразовый блокнот
• Единая точка входа
• Программный токен
• Аутентификатор

использованная литература

Общие ссылки

внешние ссылки

• Инициатива OATH для открытой аутентификации