Домой Регистрация
Приветствуем вас, Гость



Форма входа

Население


Вступайте в нашу группу Вконтакте! :)




ПОИСК


Опросник
Используете ли вы афоризмы и цитаты в своей речи?
Проголосовало 514 человек


Отп токен что это такое


Перепрограммируеммые OTP токены – будущее двухфакторной аутентификации

17 Марта, 2016

После того, как у пользователей Google и других ресурсов, поддерживающих технологию U2F, появилась возможность использовать аппаратные токены для защиты своих аккаунтов, вышло много статей о том, что аппаратные токены гораздо надежней программных или SMS. С этим трудно не согласиться. Давайте вспомним почему.

Почему аппаратные токены лучше

  1. Злоумышленник может перехватить GSM сигнал, по которому передается SMS с одноразовым паролем.
  2. Недавно обнаруженные вирусы, такие как Android.Bankosy или Acecard, способны перехватывать одноразовые пароли, передаваемые посредством не только SMS, но и голосовых звонков.
  3. Одноразовый пароль, сгенерированный программным токеном, также может быть перехвачен, если смартфон жертвы будет заражен вирусом.
  4. Смартфон может разрядиться в самый неподходящий момент, или вы можете оказаться вне зоны доступа сети.
В свою очередь, OTP пароли, сгенерированные при помощи аппаратных токенов, перехватить невозможно, так как аппаратные токены не подключаются к какой-либо сети (GSM, Internet) или компьютеру, если речь не идет об USB-токенах.

Почему перепрошиваемые аппаратные токены надежней обычных

При генерации одноразового пароля учитывается два основных параметра: секретный ключ + точное время (алгоритм TOTP) / счетчик событий (алгоритм HOTP) / случайное значение (алгоритм OCRA). Главная секретная составляющая этой схемы, без которой злоумышленник не может воссоздать одноразовый пароль – это секретный ключ. Потому основная задача компаний, предоставляющих услуги строгой аутентификации, и компаний, пользующихся этими услугами, - не допустить того, чтобы секретные ключи стали известны посторонним лицам.Но секретные ключи вшиваются в токены еще на заводе-производителе. И до того, как токен попадет к конечному потребителю, он пройдет через руки внушительного числа людей. Таким образом, нельзя исключать вероятность того, что на одном из этапов производства секретные ключи могут быть скомпрометированы недобросовестным работником компании. То есть небольшой риск того, что секретный ключ токена, которым пользуетесь вы, ваши подчиненные или ваши клиенты, все же остается.

Решить эту проблему помогают перепрошиваемые бесконтактные аппаратные токены, которые появились на рынке 2FA совсем недавно. Выход подобных токенов был анонсирован компанией Protectimus .

Эти OTP токены выполнены в 2-х форм-факторах: обычная банковская карта ISO/IEC 7810 ID-1 (85.6 x 53.98 x 0.76 mm) Protectimus SLIM и мини карта Protectimus SLIM mini размером 64 x 38 mm. Они используют в своей работе алгоритм генерации одноразовых паролей TOTP. Но самое главное – эти OTP токены поддерживают технологию NFC и могут быть легко перепрошити при помощи специального приложения на обычном смартфоне. Это же приложение позволяет увидеть всю информацию о токене, а также выставить интервал времени, в течение которого одноразовый пароль будет оставаться валидным - 30 или 60 секунд.Приобретая перепрошиваемые токены, заказчик получает возможность изменить вшитые еще на заводе секретные ключи на новые, известные только ему. Тем самым исключается любая возможность того, что секретные ключи этих токенов попадут в руки злоумышленников.Такие OTP токены также подойдут для систем двухуровневой аутентификации реализованных на основе Google Authenticator. Секретные ключи в подобных решениях генерирует сама система, потому подключить к ней обычные аппаратные токены невозможно. Но вшить секретный ключ, сгенерированный системой в перепрошиваемый токен Protectimus серии SLIM с поддержкой NFC возможно.Если система двухуровневой аутентификации реализована на основе Google Authenticator и секретные ключи генерируются самой системой, но есть желание использовать аппаратные токены, в этом случае также можно воспользоваться перепрошиваемыми токенами. Использование перепрошиваемых токенов решает и еще одну проблему. Раньше один токен мог использоваться только на одном ресурсе. Если пользователь по какой-либо причине отказывался от ресурса, то его токен оставался бесполезным, его можно было просто выбросить. А стоимость одного аппаратного токена может доходить до $60 и больше. Перепрошиваемые токены можно использовать повторно. Достаточно лишь вшить в токен новый секретный ключ.

Перепрошиваемые токены для аутентификации в Google и других системах

Перепрошиваемые аппаратные токены отлично подходят для аутентификации на большинстве популярных ресурсов – Amazon, Bitbucket, Dropbox, Electronic Arts, Facebook, GitHub, Google Apps, KeePass, Kickstarter, Microsoft account, Salesforce.com, Teamviewer, VK, War Thunder и множестве других. Пользователь сможет легко вшить в OTP токен Protectimus с поддержкой NFC любой секретный ключ, который выдаст ему ресурс. С обычными аппаратными токенами проделать такое не получится.Следует отметить также, что большинству пользователей Google, Facebook, Twitter, Dropbox и других подобных систем токены в виде смарт-карт покажутся более удобными. И причина довольно проста – такие токены не нужно подключать к USB. Многие привыкли заходить в сеть с планшета или смартфона, где попросту нет USB-разъема. Отличным выходом для таких пользователей станет аппаратный OTP токен карта.

Перепрошиваемые OTP токены открывают новые возможности, ранее недоступные в индустрии двухфакторной аутентификации. Такие токены более выгодны для компаний и более удобны для индивидуальных пользователей. Их можно подключить практически к любой системе строгой аутентификации, их можно использовать повторно без особого труда, они станут выгодным и удобным решением, как для компаний, так и для индивидуальных пользователей.

OTP аутентификация / PKI Guru

1 читатель, 4 топика

Что такое OTP? С чем её едят? Едят ли её вообще?

И многое другое об OTP.

Администраторы (1) dkovalenko

Модераторы (0)

Модераторов здесь не замечено Всем привет! Т.к. каждый из нас работает в определёны сферах и в различных компаниях. нам приходится сталкиваться с разными решениями и продуктами. Данный пост не является рекламой конкретного решения или компании, а является передачей информации.

Что такое аутентификация? rlepricon.

Что такое OTP? Ответила я чуть раньше. Какие есть методы аутентификации с помощью OTP? dkovalenko Какие бывают OTP устройства? Но вот на вопрос: Какие системы могут помочь и обеспечить аутентификацию по OTP? Пока нет. И так, попробую я. Есть несколько видов аутентификации, например парольная аутентификация, аутентификация с помощью биометрических характеристик, аутентификация на основе системы открытых ключей, с помощью одноразовых паролей и др. Сейчас я расскажу об аутентификации с помощью одноразовых паролей, точнее о системе (программно-аппаратный комплексе), который позволяет обеспечить двухфакторную аутентификацию с использованием бесконтактных токенов. Этот программно-аппаратный комплекс называется SAS (SafeNet Authentication Service), разработка компании SafeNet Inc.

Читать дальше →

OTP устройства могут различаться на основе методов аутентификации. Но мне бы хотелось рассказать о их реализации, виде и фирмах. OTP устройства бывают, как аппаратные, так и программные. Чаще всего они имеют небольшой размер и не имеют конкретного контакта с компьютером, или какими другими устройствами, поэтому их часто называют «бесконтактными». Например:

Читать дальше →

Существует четыре основных метода аутентификации с помощью OTP. — Challenge-response — Response — Time synchronous — Event synchronous Некоторые OTP устройства, могут работать в нескольких режимах методов аутентификации. Для генерации одноразовых паролей на OTP устройствах используются криптографические алгоритмы или хеш-функции. Хеш-функция — это преобразование некоторого числа по определённому алгоритму. Обычно в OTP устройствах используется симметричная криптография, т.е. криптография с одним ключом (в этом случае сервер аутентификации и пользователь используют один секрет). Обычно разделяют методы OTP аутентификации на две группы, которые подразумевают режимы работы OTP устройств: — синхронный (к ним относится Response, Time synchronous,Event synchronous) — асинхронный (Challenge-response)

Читать дальше →

OTP (англ. one time password; рус. одноразовый пароль) — это некая комбинация цифр, которая генерируется неким аутентификационным устройством и действует для единичного сеанса аутентификации. В качестве аутентификационных устройств используются так называемые OTP токены. OTP токены — это некое мобильное персональное устройство, оно принадлежит конкретному пользователю, используется для аутентификации одного пользователя и генерирует одноразовые пароли. OTP токены бывают разных видов: — в виде брелока — смарт-карты с окошком для отображения OTP пароля — комбиинированные — в виде программного обеспечения — похожи на маленький калькулятор

Одноразовый пароль генерируется аутентификационным устройством, он действителен один раз в течении ограниченного времени, тем самым, тот кто захочет его использовать, даже перехватив его методом анализа сетевого трафика, имеет очень ограниченную возможность им воспользоваться.



Токены vs Пароли

Пост навеян недавней темой про токены, в комментариях к которой царила некоторая неразбериха. Я сделал вывод, что многие не до конца понимают или даже вообще не понимают, что такое токен, с чем его едят и чем токен не является. Желание расставить все точки над i привело к написанию нижеследующего текста. Далее речь пойдет именно о USB-токенах, которые можно подключать к компьютеру, давать команды и получать результаты их выполнения. Приступим.

Аспекты хранения информации на токенах

Сразу хочется пояснить, что токен – это не флэшка. Конечно, он может хранить некоторое количество информации, но весьма ограниченное, например, 64 Кб. Существуют токены, которые содержат в себе флэш-память на несколько Гб. Однако данные хранятся в этой флэш-памяти при помощи той же самой технологии, что и на обычной флэшке. Поэтому функцию хранения больших объемов данных можно расценивать как второстепенную или побочную. Можно сказать, что первоначальная функция токенов – это не извлекаемое хранение ключевой информации. Очевидно, с флэшкой общего мало. Что значит «не извлекаемое»? Это значит, что ключ из токена никогда не попадает никуда извне, например, в оперативную память компьютера. Данную строгую политику можно ослабить до того, что разрешается экспорт ключа из токена в оперативную память только в зашифрованном виде. Также существует опция экспорта ключа в открытом виде. Но даже при выборе владельца токена использовать только эту опцию, уровень безопасности все равно выше, чем хранение ключа на обычной флэшке. Выше он потому, что для экспорта ключа требуется знание PIN-кода, а для копирования ключа с флэшки PIN-код не требуется. Многие скажут: так можно же хранить ключ на флэшке и шифровать его паролем при помощи, например, RAR-а, и токен не нужен! Но, чтобы перебрать все пароли к архиву у нарушителя будет сколь угодно большое количество попыток, а токен после трех последовательных попыток ввода неверного PIN-а блокируется. Вывод: даже при самых скромных настройках безопасности хранить ключ на токене безопаснее, чем на флэшке. С хранением ключей все.

Другие функции токена

Что ещё умеет делать токен? Токен может самостоятельно: 1. Шифровать\расшифровывать в соответствии с алгоритмами симметричного и асимметричного шифрования 2. Генерировать ключи шифрования 3. Формировать и проверять ЭЦП 4. Хешировать данные и т.д. Токен представляет собой некий «черный ящик» во время осуществления криптографических операций: данные поступают на вход, преобразуются с помощью ключа и передаются на выход. Его можно сравнить с микрокомпьютером. Ввод и вывод информации для токена происходит по USB, есть свой процессор, оперативная и защищенная долговременная память.

Для чего нам нужны пароли?

Для большинства из нас повсеместное использование паролей стало стандартом «де факто» или, если угодно, классикой современности. Хотим аутентифицироваться на почте или соцсетях – легко, зашифровать файл RAR-ом – пожалуйста. Главное преимущество паролей в простоте их использования. Однако, такие вопросы как забывчивость, передача по незащищенным каналам (теще по телефону), набор пароля на клавиатуре, предсказуемость и т.д. ставят под сомнение некоторые важные с точки зрения безопасности операции. Если сравнивать пароль с криптографическим ключом, то выводы напрашиваются весьма неутешительные. В ГОСТ 28147-89 длина ключа составляет 256 бит (32 байта). При использовании генератора псевдослучайных чисел, ключ обладает хорошими статистическими свойствами. Пароль же, который является, например, словом из словаря, можно свести к псевдослучайному числу длиной 16 бит, что короче ГОСТ-ового ключа в 16 раз. Это сравнение само по себе представляет по криптографическим понятиям полный и безоговорочный fail! Мое утверждение состоит в следующем: токены способны решать все те задачи, для которых сейчас применяются пароли. Все без исключения. И решать их более качественно и безопасно. Считаю, давно пора заменить схемы на паролях на полноценные криптографические протоколы с ключами. И в этом деле, лучшего помощника, нежели токен, не найти. Чтобы не быть голословным, рассмотрим пару конкретных примеров: аутентификация и шифрование данных.

Аутентификация

Подробно останавливаться на минусах парольной аутентификации нет смысла. Слишком много сообщений о взломанных страничках и почтовых ящиках нам приходилось слышать. А с помощью криптографии на токенах реально реализовать «любой из тысячи» существующих протоколов аутентификации, для которого ни перехват с модификацией трафика, ни кража БД с сервера не дадут результата для нарушителя. Пользователь может забыть пароль, но не может забыть ключ, т.к. последний надежно хранится на токене. Аутентифицироваться с токеном также удобно, как и по паролю.

Шифрование данных

Обычно данные шифруются на криптографическом ключе, а сам ключ шифруется на пароле. Безопасность всей схемы целиком и полностью зависит от пароля, который опять же не всегда сложен и случаен, набирается на клавиатуре, может быть забыт и т.д. В случае с токеном, возможны два варианта решения: 1. Ключ хранится на токене и не покидает его. Такой способ подходит только для малых объемов информации, т.к. скорость дешифрования при помощи токена не достаточно велика. Нарушителю извлечь ключ нереально. 2. Ключ хранится на токене, но при шифровании попадает в оперативную память. Этот способ применяется, например, для де/шифрования тома целиком. Извлечь ключ возможно, но не совсем тривиально. Пароль же украсть гораздо проще. Конечно, за решения с помощью токенов придется платить, но к счастью, рублями, а не нервами и временем. Несмотря на то, что токены содержат полный арсенал криптографических операций, достаточно сложных для понимания большинством пользователей, само применение токена не представляет особого труда и интуитивно понятно. Токен действительно не требует от пользователя специальных профильных знаний и глубокого понимания заложенных в него механизмов. И он потенциально способен прийти на смену паролей и всего, что с ними связано.

Заключение

Уверен, что при распространенности решений на основе токенов удастся избежать различных неприятных случаев, связанных с кражей паролей, а также увеличить уровень безопасности в глобальном смысле.

Искренне надеюсь, что у читателей остались вопросы, ведь рассказал о токенах я крайне мало. С удовольствием отвечу на них в комментариях!

Теги:

eToken NG-OTP (Java)/72K

eToken NG-OTP (Java) – комбинированный USB-ключ с генератором одноразовых паролей, не требующий подключения к компьютеру

Одноразовые пароли

Одноразовые пароли — это пароли, действительные только для одного сеанса аутентификации. Преимущество одноразового пароля по сравнению с обычным состоит в том, что одноразовый пароль невозможно использовать повторно. Таким образом, злоумышленник, перехвативший данные из успешной сессии аутентификации, не может использовать скопированный пароль для получения доступа к защищаемой информационной системе.

Для генерации одноразовых паролей предназначен электронный ключ eToken NG-OTP (Java).

Назначение генератора одноразовых паролей eToken NG-OTP (Java)

Электронный ключ eToken NG-OTP (Java) – это комбинированный токен, сочетающий возможности средства аутентификации и генератора одноразовых паролей (OTP), аппаратно поддерживающее работу с цифровыми сертификатами и электронно-цифровой подписью (ЭЦП). Для двухфакторной аутентификации пользователя с применением электронного ключа eToken NG-OTP (Java) возможно использование в качестве второго критерия идентификации:

Используя генератор одноразовых паролей eToken NG-OTP (Java), Вы можете организовать безопасный доступ к корпоративным ресурсам без установки дополнительного клиентского программного обеспечения и без физического подключения токена к компьютеру.

eToken NG-OTP (Java) расширяет спектр аппаратных платформ и операционных систем, на которых возможно использование электронных ключей eToken, добавляя к ним портативные компьютеры, смартфоны, а также обычные компьютеры, на которых отсутствуют или недоступны USB-порты (например, при работе в интернет-кафе).

При использовании eToken NG-OTP (Java) в режиме генератора одноразовых паролей не требуется ни наличие портов, ни драйверов, ни ридеров — сгенерированный одноразовый пароль отображается на дисплее токена и может быть введен в компьютер через клавиатуру или перьевой ввод.

Функционально eToken NG-OTP (Java) аналогичен USB-ключу eToken PRO (Java) и дополнительно оснащен кнопкой и дисплеем для отображения сгенерированных одноразовых паролей, а также имеет встроенные элементы питания и световой индикатор режимов работы.

Режимы работы:

Рекомендации по применению

Электронные ключи eToken NG-OTP (Java) рекомендуется использовать в проектах, где требуются преимущества двухфакторной аутентификации вне зависимости от доступности USB-портов и возможности устанавливать дополнительное программное обеспечение, например:

Аппаратный токен: что за «зверь» такой?

ОТП токен может выглядеть по разному — в виде приложения на смартфон, брелока, USB-флешки, или смарт-карт. Но его функции, как и назначение, остаются неизменными. Это небольшое компактное устройство для генерации одноразовых паролей (one-time passwords или OTP), которое является одним из ключевых элементов современных систем двухфакторной аутентификации. Сама же двухфакторная аутентификация — важнейшая составляющая большинства систем обеспечения информационной безопасности пользователя.

Область применения

Аппаратные токены генерируют одноразовые пароли, которые нужны для надежной аутентификации пользователя в той или иной системе. Аутентификация с помощью одноразовых паролей позволяет обеспечить безопасность удаленного доступа к конфиденциальным данным. В большинстве случаев, двухфакторная аутентификация с использованием аппаратных OTP токенов применяется для входа в банковские или платежные системы, электронную почту, социальные сети и любые другие ресурсы, на которых хранится важная информация о пользователе.

Посредством токенов любая организация может обеспечить надежный процесс электронного удостоверения личности, причем действие может сопровождаться вводом пароля или обходиться без него. Именно поэтому токены нередко называют электронными ключами для доступа к чему-либо.

Особенности конструкции

Типичный аппаратный токен представляет собой компактное устройство, которое удобно носить в кармане. Как упоминалось ранее, он может быть изготовлен в форме брелока, флешки, небольшого калькулятора, или даже пластиковой карты. На практике они используются для генерации одноразовых паролей согласно специальным алгоритмам — HOTP, TOTP, OCRA. Аппаратные бесконтактные токены считаются более надежными, чем программные или USB-токены. Они работают автономно, не требуют подключения к компьютеру, на котором может оказаться вирус, и не нуждаются в подсоединении к сети Internet или GSM . Некоторые разновидности токенов снабжаются PIN-кодом для защиты от несанкционированного доступа и взлома.

Некоторые токены снабжены модулями для передачи информации. Это может быть USB-разъем или беспроводной интерфейс Bluetooth, обеспечивающий возможность передачи сгенерированного ключа в систему безопасности.

ОТП токены, которые предлагает своим клиентам компания Protectimus, сертифицированы отраслевой инициативой OATH и используют в своей работе стандартные алгоритмы генерации OTP — HOTP (по событию), TOTP (по времени) и OCRA (запрос-ответ).

Одноразовый пароль, который сгенерировал токен, вводится пользователем при входе в аккаунт, после чего сервер, который одновременно генерирует аналогичный пароль по тому же алгоритму и с использованием того же секретного ключа, проверяет его корректность.

Основное преимущество аппаратных токенов перед программными токенами или доставкой одноразовых паролей с помощью SMS заключается в том, что их невозможно взломать или перехватить с помощью атаки «человек посередине». А значит, аутентификация пользователей с помощью аппаратных токенов — наиболее надежное средство защиты данных на сегодняшний день.

(Пока нет оценок) Загрузка...

Интернет-банкинг - банковское обслуживание через Интернет

Интернет-банкинг является в настоящее время одной из самых популярных технологий дистанционного банковского обслуживания (ДБО), которые предоставляют банки своим клиентам. Под Интернет-банкингом обычно понимается предоставление банками юридическим лицам и частным клиентам удаленных банковских услуг  посредством Интернет при помощи соответствующих программных и аппаратных средств.

Интернет-банкинг - это удобно и выгодно банкам и клиентам

Термин Интернет-банкинг используется в различных случаях. В широком смысле под Интернет-банкингом можно понимать самые разнообразные системы, начиная от обычных сайтов банков и заканчивая сложными виртуальными расчетно-платежными системами. В более узком значении Интернет-банкинг — это аналог системы «банк — клиент», работающей через Интернет. Обычно системы, с помощью которых можно осуществлять Интернет-банкинг, называют «Интернет-банк«

Возможности использования Интернета в области дистанционного банковского обслуживания постоянно расширяются, появляются новые службы и технологии, которые доступны теперь даже самым неопытным пользователям.

Существуют информационно-технологические системы, в которых Интернет используется только как средство передачи данных, и системы, в которых Интернет используется как самостоятельная информационная технология.

В первом случае Интернет выступает как канал связи между банком и клиентом и, по сути, представляет собой только дополнение к классическим системам «банк — клиент».

Во втором случае прикладное программное обеспечение (ПО) представляет собой специальное Интернет-приложение, функционирующее только в сеансе диалоговой связи клиента с банком. При помощи этого приложения клиент, введя свои идентификационные данные (логин и пароль), осуществляет доступ к серверу банка с любого компьютера, подключенного к Интернет, получая тем самым возможность управления своими банковскими счетами. При использовании подобных систем «Интернет-банк» клиенту не нужно устанавливать ПО и хранить соответствующие электронные базы данных на своем компьютере.

Система Интернет-банк - проведение операций без посещения банка

Для повышения безопасности в системах «Интернет-банк» применяются различные способы защиты экономической информации от несанкционированного доступа.

Перечень возможных услуг, которые банк может предложить клиенту через Интернет, в том числе и с использованием систем «Интернет-банк» очень разнообразен, например:

Банковские операции, которые клиент осуществляет с помощью Интернет-банкинга, проводятся банком практически без какого-либо участия банковского персонала, при этом клиент может быть полностью освобожден от каких-либо посещений банка, тем более что у банка вообще может не быть офиса.


Смотрите также




© 2012 - 2020 "Познавательный портал yznai-ka.ru!". Содержание, карта сайта.