Owen Little
0 
2494
209
Tokeni za jednokratnu lozinku (OTP) obično se smatraju najboljom korisnom sigurnošću prijave korisnika. Ključni su dio korištenja dvofaktorskog sustava provjere autentičnosti koji drastično povećava sigurnost prijave iz tipičnog jednofaktorskog sustava korisničkog imena / lozinke.
Sigurnosna shema korisničkog imena / lozinke smatra se vrlo nesigurnim iz više razloga, uključujući lakoću njuškanja paketa ili pritiska tipke, phishing napade i druge probleme društvenog inženjeringa. Dvije faktorske sheme provjere autentičnosti dodaju drugi sloj sigurnosti tako što korisnik mora dohvatiti drugu lozinku iz izvora van opsega, poput uređaja za generiranje lozinke (poput OTP tokena) ili SMS teksta.
Budući da se ta lozinka neprestano mijenja u vremenskim intervalima - skoro je nemoguće da će potencijalni haker ukrasti vaše korisničko ime i lozinku i prijaviti se, a da ne bude imao token.
Ovi se tokeni obično plaćaju jer su fizički uređaj, ali s nedavnim porastom aplikacija dostupnih za mobilne uređaje mnogi OTP pružatelji besplatnih aplikacija koji zamjenjuju fizički uređaj.
Ispod su neki od popularnijih generatora zaporki koje sam naišao na uzorke zaslona:
Pristup VeriSign identiteta (VIP) za mobilne uređaje
Jedan od najvećih pružatelja fizičkih žetona za jednokratnu lozinku je Verisign. Njihovi hardverski tokeni krajnjem su korisniku niski i upotrebljivi su na brojnim popularnim internetskim stranicama, uključujući eBay, SalesForce, Box.net, Paypal i još mnogo toga. Možete naručiti jeftini ključ (5 USD) od Paypala ili, kako sam nedavno otkrio, preuzeti besplatnu aplikaciju za mobilne uređaje.
Verisign nudi softver za širok izbor mobilnih uređaja, uključujući iPhone, Android, Windows Mobile, Blackberry i još mnogo toga. Jednostavno preuzmite softver i pokrenite program za stvaranje lozinki - pri prvom pokretanju jedinstveni potpis generira se i registrira na VeriSign-ovim poslužiteljima. Vaš uređaj ima jedinstven ID koji potom registrirate svojom prijavom na vanjskom mjestu.
Nakon toga, kad god otvorite program, prikazat će vam se trenutna lozinka koju ćete koristiti tijekom dvofaktorske provjere identiteta. Lako.
RSA SecureID
Drugi veliki igrač u polju Dvofaktorske provjere autentičnosti je RSA. RSA je zapravo pionir na polju sigurnosti, prvobitno je patentirao metodu za šifriranje podataka komunikacijskih kanala još 1983. godine i puštanje je u open source 2000. godine.
Slično kao i VeriSign aplikacija, RSA je svoju SecureID aplikaciju izdala besplatno za iPhone, Blackberry, Windows Mobile i nekoliko drugih platformi. Nažalost, od ovog datuma objave nisu objavili aplikaciju na Android platformi. Također imate RSA rješenje za korištenje mobilnog OTP generatora, to dolazi s vašeg radnog mjesta, banke ili bilo koje druge prijave za koju je možda potrebno osigurati.
Rješenja RSA nalaze se u širokoj uporabi u cijelom svijetu.
FireID
FireID je pokretanje u dvofaktorskom prostoru za provjeru autentičnosti. Iako su novi na terenu, imaju zaista lijepu iPhone aplikaciju. Njihova web stranica navodi da oni također podržavaju uređaje Blackberry, Android, Windows Mobile i Symbian, ali nisam mogao pronaći nikakve podatke o tim proizvodima i nisam siguran jesu li još objavljeni..
Oni su definitivno društvo na koje ćete paziti.
ArcotOTP
ArcotOTP je još jedan generator vremenskih zaporki. Iako je manje poznat od ostalih, Arcot je tvrtka u usponu na ovom polju i uglednog Brucea Schneiera smatra savjetnikom te tvrtke. ArcotOTP je zaštićena tehnologija gdje ćete trebati koristiti softver koji je vezan za ArcotOTP rješenje.
SafeNet MobilePASS
SafeNet nudi skup različitih rješenja za sigurnost i provjeru autentičnosti, a imaju i lijep raspon OTP aplikacija za više platformi, uključujući iPhone, Blackberry, Windows Mobile i SMS. Na ovom popisu nedostaje Android.
Iako nije sveobuhvatan popis besplatnih mobilnih OTP generata, gore navedeno daje vam dobru ideju o nekim glavnim igračima na terenu i sve popularnijim rješenjima koja nude mobilni klijent, a ne hardverski temeljen. Tamo je mnogo pružatelja OTP usluga, svaki sa svojom platformom za osiguranje prijava.
Vjerojatno je VeriSign onaj s kojim ćete biti najpoznatiji i ima najviše prihvaćanja e-trgovine, jer ih koriste Paypal / eBay, Salesforce i druge popularne web aplikacije. Koju biste besplatnu aplikaciju koristili, vjerojatno će diktirati web stranice na koje se morate prijaviti i koje dvofaktorske sheme koriste.
Bez obzira na vašu preferiranu metodu za implementiranje dvofaktorske provjere autentičnosti, ove besplatne aplikacije usmjeravaju vas prema nekim davateljima usluga koji su bili progresivni na način razmišljanja „konvergencija mobilnog uređaja“, omogućujući vam da odustanete od zasebnog tokena i upotrebite jedan uređaj da biste povećali sigurnost prijave.
Recite nam kako lako možete pronaći ove generatore lozinki ili koje druge sigurnosne sheme koristite za zaštitu svojih lozinki.
[Kao poštanski post, samo sam htio istaknuti da dvofaktorska provjera autentičnosti ima rupu u sebi - napad Čovjeka u sredini još uvijek može pobijediti ovu shemu provjere autentičnosti. U osnovi, napadač sjedi između vas (prijavljuje se) i poslužitelja, prosljeđujući vaše podatke legitimnom poslužitelju, uključujući jednokratnu lozinku. Ovo je prilično nejasan sigurnosni problem za općeg potrošača, tako da dodavanje dvije faktorske autentifikacije vašim postupcima prijave pruža mnogo veću sigurnost od uobičajene sheme s jednim faktorom. ]
Kreditna slika: mikebaird.