Token (felhatalmazás)

Az oldal jelenlegi verzióját még nem ellenőrizték tapasztalt közreműködők, és jelentősen eltérhet a 2022. augusztus 15-én felülvizsgált verziótól ; az ellenőrzések 3 szerkesztést igényelnek .

Token (szintén hardver token , USB kulcs , kriptográfiai token ) - egy kompakt eszköz, amelyet a felhasználó információbiztonságának biztosítására terveztek, tulajdonosának azonosítására , az információs erőforrásokhoz való távoli hozzáférés biztosítására stb. a hitelesítés egyszerűsítésére szolgál . Ez a kifejezés utalhat a szoftverjogkivonatokra is , amelyeket a sikeres engedélyezés után adnak ki a felhasználónak, és amelyek a szolgáltatásokhoz való hozzáférés kulcsát jelentik. Gyakran használják a behatolók illetéktelen hozzáférésére egy fiókhoz.

A tokenek elektronikus azonosításra szolgálnak (például bankszámlához belépő ügyfél), ugyanakkor jelszó helyett és azzal együtt is használhatók.

Bizonyos értelemben a token egy elektronikus kulcs, amellyel valamihez hozzá lehet férni.

A hardver tokenek általában elég kicsik ahhoz, hogy zsebben vagy pénztárcában hordhassák, gyakran kulcstartó formájúak . Néhányat kriptográfiai kulcsok , például elektronikus aláírás vagy biometrikus adatok (például ujjlenyomat -minta részletei) tárolására terveztek. Némelyikük beépített hackelés elleni védelemmel rendelkezik, mások mini-billentyűzettel rendelkeznek a PIN-kód bevitelére, vagy csak a generálási eljárás hívására szolgáló gombbal és a generált kulcsot megjelenítő kijelzővel. A tokenek USB -csatlakozóval, RFID - funkcióval vagy Bluetooth vezeték nélküli interfésszel rendelkeznek a generált kulcssorozat átviteléhez a kliens rendszerbe.

Jelszótípusok

Minden token tartalmaz néhány titkos információt, amelyet a személyazonosság igazolására használnak. Ez az információ négy különböző módon használható fel:

Az eszköz olyan jelszót tartalmaz, amely fizikailag rejtett (a tulajdonos számára nem látható), de amelyet minden hitelesítéskor továbbítanak . Ez a típus sebezhető az újrajátszható támadásokkal szemben .

A készülék egy új egyedi jelszót generál egy bizonyos időintervallumban. A jelszó sikeres elfogadásához a tokennek és a szervernek szinkronban kell lennie.

Az egyszeri jelszót óra használata nélkül állítják elő, Vernam-rejtjel vagy más kriptográfiai algoritmus segítségével .

A nyilvános kulcsú kriptográfia használatával igazolható a magánkulcs tulajdonjoga anélkül, hogy felfednénk. A hitelesítési szerver a nyilvános kulccsal titkosítja a kihívást (általában véletlen számot, vagy legalább néhány véletlenszerű részt tartalmazó adatot). Az eszköz a dekódolt kihívás megadásával bizonyítja, hogy rendelkezik a megfelelő privát kulcs másolatával.

Idő – szinkronizált egyszeri jelszavak

Az időszinkronizált egyszeri jelszavak állandóan, egy beállított időpontban változnak, például percenként egyszer. Ehhez szinkronizálásra van szükség a kliens token és a hitelesítési kiszolgáló között. A hálózathoz nem csatlakoztatott eszközök esetében ez a szinkronizálás azelőtt megtörténik, hogy az ügyfél megvásárolta volna a tokent. Más típusú tokenek szinkronizálásra kerülnek, amikor a tokent behelyezik a beviteli eszközbe. A szinkronizált tokenek fő problémája az, hogy hosszú idő után szinkronból kiléphetnek. Egyes rendszerek azonban, például az RSA SecurID - je , lehetővé teszik a felhasználó számára, hogy több egymást követő hozzáférési kód megadásával szinkronizálja a kiszolgálót a tokennel. Legtöbbjük nem rendelkezik cserélhető akkumulátorral, ezért élettartamuk korlátozott.

Matematikai algoritmuson alapuló OTP -k

Az egyszeri jelszavak egy másik típusa összetett matematikai algoritmust , például hash-láncot használ , hogy egy titkos kulcsból egyszeri jelszavakat állítson elő. Egyik jelszót sem lehet kitalálni, még akkor sem, ha a korábbi jelszavak ismertek. Létezik egy nyilvános, szabványosított OATH -algoritmus ; más algoritmusokat az Egyesült Államok szabadalmai lefednek. Minden új jelszónak egyedinek kell lennie, így az illetéktelen felhasználó nem tudja kitalálni, hogy mi lehet az új jelszó a korábban használt jelszavakból.

A tokenek típusai

A tokenek különféle funkciókkal rendelkező chipeket tartalmazhatnak a nagyon egyszerűtől a nagyon összetettig, beleértve a többféle hitelesítési módszert is . A legegyszerűbb biztonsági tokenek nem igényelnek kapcsolatot a számítógéppel. A tokenek fizikai kijelzővel rendelkeznek; A felhasználó egyszerűen beírja a megjelenített számot a bejelentkezéshez. Más tokenek vezeték nélküli technológiák , például Bluetooth használatával csatlakoznak a számítógépekhez . Ezek a tokenek átadják a kulcssorozatot a helyi kliensnek vagy a legközelebbi hozzáférési pontnak . Ezenkívül a token egy másik széles körben elérhető formája egy olyan mobileszköz, amely sávon kívüli csatornán (például SMS -en vagy USSD -n ) keresztül kommunikál. Más tokenek azonban csatlakoznak a számítógéphez, és szükség lehet PIN -kódra . A token típusától függően a számítógép operációs rendszere vagy beolvassa a token kulcsát és kriptográfiai műveleteket hajt végre rajta, vagy felkéri a token firmware-ét, hogy ezeket a műveleteket önállóan hajtsa végre. Az ilyen alkalmazás egy hardverkulcs ( kulcskulcs ), amelyet egyes számítógépes programok igényelnek a szoftver tulajdonjogának bizonyításához. A kulcs a beviteli eszközbe kerül, és a szoftver hozzáfér a kérdéses beviteli/kimeneti eszközhöz, hogy lehetővé tegye az adott szoftver használatát . A kereskedelmi megoldásokat különböző szállítók biztosítják, mindegyik saját (és gyakran saját ) biztonsági funkcióval. A bizonyos biztonsági szabványoknak megfelelő token projektek az Egyesült Államokban a FIPS 140 , az Egyesült Államok szövetségi biztonsági szabványának megfelelő tanúsítvánnyal rendelkeznek . A tanúsítvánnyal nem rendelkező tokenek gyakran nem felelnek meg az Egyesült Államok kormányzati biztonsági szabványainak, nem estek át szigorú tesztelésen, és valószínűleg nem tudnak ugyanolyan szintű kriptográfiai védelmet nyújtani , mint a harmadik fél által kifejlesztett és ellenőrzött tokenek.

Nem csatlakoztatott tokenek

A kapcsolat nélküli tokennek nincs fizikai vagy logikai kapcsolata az ügyfél számítógépével. Jellemzően nem igényelnek speciális beviteli eszközt, hanem egy beágyazott képernyőt használnak a generált hitelesítési adatok megjelenítéséhez, amelyeket viszont a felhasználó manuálisan ad meg egy billentyűzet segítségével. A kapcsolat nélküli tokenek a legelterjedtebb tokenek (engedélyezés) típusok, amelyeket (általában jelszóval kombinálva) használnak az online azonosításra szolgáló kéttényezős hitelesítés során. [egy]

Az RSA SecurID SID700 modell egy kis kulcstartó. [2]

Összekapcsolt tokenek

A csatlakoztatott tokeneknek fizikailag kapcsolódniuk kell ahhoz a számítógéphez, amelyen a felhasználót hitelesítik ( hitelesítik ). Az ilyen típusú tokenek a fizikai kapcsolat létrejöttét követően automatikusan továbbítják a hitelesítési információkat az ügyfélszámítógépnek, így a felhasználónak nem kell manuálisan megadnia a hitelesítési adatokat. A kapcsolati token használatához megfelelő csatlakozóaljzatra van szükség . A leggyakoribb csatlakoztatott tokenek az intelligens kártyák és az USB , amelyek intelligenskártya-olvasót és USB-portot igényelnek.

A PC-kártyákat széles körben használják a laptopokban . A II-es típusú kártyákat előnyben részesítik zsetonként, mert kétszer vékonyabbak, mint a III-as típusú kártyák.

Az audio bemenet (audio jack port) használható kommunikáció létrehozására mobil eszközök, például iPhone, iPad és Android között. A leghíresebb eszköz a Square , egy iPhone és Android kártyaolvasó.

Az ezzel az eszközzel történő adatátvitel technológiája az Apple szabadalom hatálya alá tartozik , de a Michigani Egyetem Villamosmérnöki és Számítástechnikai Tanszékének oktatói és hallgatói kifejlesztettek egy „ HiJack ” eszközt, amely lehetővé teszi az adatok cseréjét alacsony teljesítményű hálózatok között. tápellátású periféria és egy i eszköz. Az a kis teljesítmény, amelyet a HiJack kap az audioportról, elegendő egy TI MSP430 mikrokontroller tápellátásához és a HiJack egy speciálisan tervezett iOS alkalmazáshoz való csatlakoztatásához. [3]

A tokenek fényképes igazolványként is használhatók. A mobiltelefonok és a PDA -k biztonsági tokenként szolgálhatnak, ha megfelelően programozzák őket.

Intelligens kártyák

Sok csatlakoztatott token intelligens kártya technológiát használ . Az intelligens kártyák nagyon olcsók, és bevált biztonsági mechanizmusokat tartalmaznak (amelyeket a pénzintézetek, például a fizetési kártyák is használnak). Az intelligens kártyák számítási teljesítménye azonban meglehetősen korlátozott az alacsony energiafogyasztás és az ultravékony formák iránti igény miatt.

Az USB tokeneken alapuló intelligens kártyák, amelyek belsejében intelligens kártya chipet tartalmaznak, mind az USB , mind az intelligens kártyák funkcióit biztosítják . A biztonsági megoldások széles skáláját tartalmazzák, és védelmet nyújtanak a hagyományos intelligens kártyáknak anélkül, hogy egyedi beviteli eszközre lenne szükség. A számítógép operációs rendszere szempontjából egy ilyen token egy USB-n keresztül csatlakoztatott intelligenskártya-olvasó, amelynek belsejében egy nem eltávolítható intelligens kártya található. [négy]

Példa a token használatára

Egy token használatával összetett jelszóval védheti meg a fiókot anélkül, hogy megjegyezné azt. Ehhez vásárolnia kell egy szoftvert (például: eToken Network Logon) és egy hozzá tartozó tokent. A program segítségével a token kulcsot kap a rendszerbe való belépéshez. Újraindításkor be kell helyeznie egy tokent (például egy USB - portba), és meg kell adnia a PIN -kódot . Az elvégzett műveletek után hozzáférést kap a rendszerhez.

Vezeték nélküli tokenek

A csatlakoztatott tokenektől eltérően a vezeték nélküli tokenek logikai kapcsolatot képeznek az ügyfél számítógépével, és nem igényelnek fizikai kapcsolatot. A fizikai kontaktus igényének hiánya kényelmesebbé teszi őket, mint a csatlakoztatott és nem csatlakoztatott tokenek. Ennek eredményeként ez a fajta token népszerű választás a kulcs nélküli beléptető és elektronikus fizetési rendszerekben, mint például a Mobil Speedpass , amelyek RFID -t használnak a kulcstartó token hitelesítési információinak továbbítására. Vannak azonban különféle biztonsági aggályok, miután a Johns Hopkins Egyetem és az RSA Laboratories kutatása szerint az RFID - címkék könnyen feltörhetők. [5] További probléma, hogy a vezeték nélküli tokenek viszonylag rövid, 3-5 éves élettartammal rendelkeznek, míg az USB tokenek akár 10 évig is.

Bluetooth tokenek

A Bluetooth tokenek kényelmesen használhatók, hiszen használatukhoz nincs szükség az eszköz fizikai csatlakoztatására, a token a felhasználó zsebében lehet. Ezenkívül a Bluetooth tokenek egyik előnye a mobileszközökkel való együttműködés lehetősége, amelyek közül sok nem támogatja a fizikai csatlakozás lehetőségét. A Bluetooth tokeneknek saját akkumulátorra van szükségük a vezeték nélküli modul és a kriptográfiai eszköz működtetéséhez, így van bennük egy akkumulátor, amelyet időszakonként kell tölteni (a modern eszközök esetében az üzemidő kb. 40 óra). A beépített akkumulátor töltése speciális tápegységgel vagy hagyományos USB-csatlakozóval történik, amely egyidejűleg lehetővé teszi az USB-kapcsolat használatát, ha nincs lehetőség Bluetooth -on keresztüli csatlakozásra . A Bluetooth hitelesítés körülbelül 10 méteres távolságban működik, amely lehetővé teszi bizonyos műveletek végrehajtását, ha a felhasználó távol van (például blokkolja a munkahelyi számítógépet).

Token és egyszeri bejelentkezési technológiák

Az egyszeri bejelentkezés bizonyos típusai tokeneket használnak a gyors hitelesítést lehetővé tevő szoftverek tárolására . Mivel a jelszavak a tokenen vannak tárolva, a felhasználónak nem kell emlékeznie rá, és biztonságosabb, összetettebb jelszavak is használhatók.

Munkavégzés webes alkalmazásokkal a

Ha tokent vagy intelligens kártyát használ webes alkalmazásokban, a böngésző és az elektronikus aláírási eszköz közötti interakció egy speciális beépülő modulon keresztül valósul meg . A beépülő modul használatával a webalkalmazás megkapja az elérhető tanúsítványok listáját a csatlakoztatott tokenektől, és kéri az elektronikus aláírás telepítését.

Ugyanakkor egy bizonyos gyártótól származó beépülő modul használata megnehezíti a más gyártók elektronikus aláírási eszközeinek használatát. A probléma megoldására univerzális bővítményeket fejlesztenek ki, például:

  • beépülő modul a közszolgáltatási portállal való együttműködéshez, amely támogatja az elektronikus aláírás leggyakoribb eszközeit. A bővítmény az e-kormányzati infrastruktúrában való használatra készült, csak minősített elektronikus aláírási eszközöket támogat. 2016 elejétől nem működik a Mac OS X és a Google Chrome böngésző legújabb verzióin.

Mobileszközök tokenként

A mobil számítástechnikai eszközök, például okostelefonok vagy táblagépek tokenként használhatók. Kéttényezős hitelesítést is biztosítanak , amihez nem szükséges, hogy a felhasználó további fizikai eszközt vigyen magával. Egyes szállítók olyan mobileszköz- hitelesítési megoldást kínálnak, amely kriptográfiai kulcsot használ a felhasználó hitelesítésére. Ez magas szintű biztonságot nyújt, beleértve a középső támadás elleni védelmet is .

Sebezhetőségek

A token legegyszerűbb sebezhetősége az elvesztése vagy ellopása. A kompromittált esemény valószínűsége csökkenthető személyes biztonsággal, például: zárak, elektronikus kábelköteg , riasztó. Az ellopott tokenek haszontalanok a tolvaj számára, ha kétfaktoros hitelesítési technológiát alkalmaznak. A hitelesítéshez általában meg kell adni egy személyes azonosító számot ( PIN ) a token adataival együtt.

Minden olyan rendszer, amely lehetővé teszi a felhasználók számára a hitelesítést egy nem megbízható hálózaton (például az interneten) keresztül, ki van téve a köztes támadásnak . A MITM attack (eng. Man in the middle) egy olyan kifejezés a kriptográfiában, amely azt a helyzetet jelöli, amikor a kriptoanalizátor (támadó) tetszés szerint képes elolvasni és módosítani a levelezők között váltott üzeneteket, és ez utóbbiak egyike sem sejtheti jelenlétét a csatorna . Kommunikációs csatorna kompromittálására szolgáló módszer , amelyben a támadó a felek közötti csatornához csatlakozva aktívan beavatkozik az átviteli protokollba, törli, torzítja az információkat vagy hamis információkat állít fel.

Digitális aláírás

Ugyanolyan biztonságos, mint a normál kézzel írott aláírás, a digitális aláírást olyan privát kulccsal kell elkészíteni, amelyet csak az aláírásra jogosult személy ismer. A privát kulcsok biztonságos generálását és tárolását lehetővé tevő, biztonságos digitális aláírást biztosító , valamint a felhasználó hitelesítésére is használható tokenek, a privát kulcs a felhasználó azonosítására is szolgál .

Trust Screen

A TrustScreen technológiát úgy tervezték, hogy javítsa az online tranzakciók biztonságát a távoli banki szolgáltatásokban (RBS) és más kritikus alkalmazásokban. Feladata, hogy az aláírási folyamat során megvédje az aláírt dokumentumot vagy kivonatát a támadó általi helyettesítéstől, valamint a PIN-kód sikeres elfogása esetén a jogosulatlan műveletek végrehajtásától. A technológia lehetővé teszi az aláírt adatok vizuális ellenőrzését, amelyek közvetlenül az aláírás előtt jelennek meg a készülék képernyőjén. Az aláírásra küldött adatokkal kapcsolatos minden jelentős műveletet a készülék „fedélzetén” hajtják végre:

  • a dokumentum megjelenítése a képernyőn a helyesség ellenőrzése érdekében,
  • dokumentum hash számítása,
  • a dokumentumkivonat vissza nem állítható kulccsal van aláírva,
  • PIN-kód vagy aláírás-megerősítő parancs beírása a számítógép billentyűzetének megkerülésével.

Lásd még

Jegyzetek

  1. de Borde, Duncan Kéttényezős hitelesítés  (angol)  (a hivatkozás nem elérhető) . Siemens Insight Consulting (2007. június 28.). Az eredetiből archiválva: 2012. január 12.
  2. RSA SecurID 700 . Hozzáférés dátuma: 2013. december 19. Az eredetiből archiválva : 2013. január 10.
  3. HiJack . Hozzáférés dátuma: 2013. december 19. Az eredetiből archiválva : 2014. január 6..
  4. Az integrált áramkör(ek) kártyáinak interfészeszközeinek specifikációja archiválva : 2005. december 29.
  5. Biba, Erin Jelent-e biztonsági kockázatot az autókulcs?  (angol) . PC World (2005. február 14.). Letöltve: 2013. november 25. Az eredetiből archiválva : 2011. június 5..

Linkek