Oglas
Tokeni za jednokratnu lozinku (OTP) obično se smatraju najboljom korisnom sigurnošću prijave korisnika. Ključni su dio korištenja a Dvofaktorska provjera autentičnosti sustav koji drastično povećava sigurnost prijave iz tipičnog jednofaktorskog sustava korisničkog imena / lozinke.
Sigurnosna shema korisničkog imena / lozinke smatra se vrlo nesigurnim iz više razloga, uključujući lakoću njuškanja paketa ili pritiska tipke, phishing napade i druge probleme društvenog inženjeringa. Dvije faktorske sheme provjere autentičnosti dodaju drugi sloj sigurnosti tako što korisnik mora dohvatiti drugi lozinka iz izvora van opsega, kao što je uređaj za generiranje lozinke (poput OTP tokena) ili SMS tekst.
Budući da se ta lozinka neprestano mijenja u vremenskim intervalima - skoro je nemoguće da će potencijalni haker ukrasti vaše korisničko ime i lozinku i prijaviti se, a da to nema.
Ovi se tokeni obično plaćaju jer su fizički uređaj, ali s nedavnim porastom aplikacija dostupno za mobilne uređaje, mnogi davatelji usluga OTP sada nude besplatne aplikacije koje zauzimaju mjesto fizičkog uređaj.
Ispod su neki od popularnijih generatora zaporki koje sam naišao i uzorkovao njihove snimke zaslona:
Pristup VeriSign identiteta (VIP) za mobilne uređaje
Jedan od najvećih pružatelja fizičkih žetona za jednokratnu lozinku je Verisign. Njihovi hardverski tokeni za krajnjeg korisnika su niski i upotrebljivi su na brojnim popularnim internetskim stranicama, uključujući eBay, SalesForce, Box.net, Paypal i još mnogo toga. Možete naručiti jeftin ključ (5 USD) od Paypala ili, kako sam nedavno otkrio, preuzeti besplatnu aplikaciju za mobilne uređaje.
Verisign nudi softver za širok izbor mobilnih uređaja, uključujući iPhone, Android, Windows Mobile, Blackberry i još mnogo toga. Jednostavno preuzmite softver i pokrenite program za generiranje lozinki - na prvom se pokretu generira jedinstveni potpis i registrira na poslužiteljima VeriSign. Vaš uređaj ima jedinstveni ID koji zatim registrirate svojom prijavom na vanjskoj web lokaciji.
Nakon toga, kad god otvorite program, prikazat će vam se trenutna lozinka koju ćete koristiti tijekom dvofaktorske provjere identiteta. Lako.
Drugi veliki igrač u polju Dvofaktorske autentifikacije je RSA. RSA je izvorno pionir u sigurnosnom polju patentiranje metoda šifriranja podataka komunikacijskih kanala još 1983. i objavljivanje otvorenog koda 2000. godine.
Slično kao i VeriSign aplikacija, RSA je svoju SecureID aplikaciju izdala besplatno za iPhone, Blackberry, Windows Mobile i nekoliko drugih platformi. Nažalost, od ovog datuma objave nisu objavili aplikaciju na Android platformi. Također imate RSA rješenje za korištenje mobilnog OTP generatora, to dolazi s vašeg radnog mjesta, banke ili bilo koje druge prijave za koju je možda potrebno osigurati.
Rješenja RSA nalaze se u širokoj uporabi u cijelom svijetu.
FireID je pokretanje u dvofaktorskom prostoru za provjeru autentičnosti. Iako su novi na terenu, imaju zaista lijepu aplikaciju za iPhone. Njihova web stranica navodi da oni također podržavaju uređaje Blackberry, Android, Windows Mobile i Symbian, ali nisam mogao pronaći nikakve podatke o tim proizvodima i nisam siguran jesu li objavljeni još.
Oni su definitivno društvo na koje ćete paziti.
ArcotOTP [Više nije dostupno]
ArcotOTP je još jedan generator vremenskih zaporki. Iako je manje poznat od ostalih, Arcot je tvrtka u usponu na ovom polju i uglednog Brucea Schneiera smatra savjetnikom te tvrtke. ArcotOTP je zaštićena tehnologija gdje će vam trebati softver koji je vezan za ArcotOTP rješenje.
SafeNet nudi niz različitih sigurnosnih i provjere autentičnosti, a imaju i lijep raspon OTP aplikacija za više platformi, uključujući iPhone, Blackberry, Windows Mobile i SMS. Na ovom popisu nedostaje Android.
Iako nije sveobuhvatan popis besplatnih mobilnih OTP generatora, gore navedeno vam daje dobru ideju o nekim od glavni igrači na terenu i sve popularnija rješenja koja nude mobilni klijent, a ne baziran na hardveru token. Tamo je mnogo pružatelja OTP usluga, svaki sa svojom platformom za osiguranje prijava.
Vjerojatno je VeriSign onaj s kojim ćete biti najpoznatiji i ima najviše prihvaćanja e-trgovine, jer ih koriste Paypal / eBay, Salesforce i druge popularne web aplikacije. Koju ćete besplatnu aplikaciju vjerojatno diktirati web stranice na koje se morate prijaviti i koje dvofaktorske sheme koriste.
Bez obzira na vašu preferiranu metodu za implementiranje dvofaktorske provjere, ove besplatne aplikacije usmjeravaju vas prema nekim dobavljačima koji su bili progresivan na način razmišljanja „konvergencija mobilnog uređaja“, omogućavajući vam da odustanete od zasebnog tokena i da pomoću jednog uređaja povećate svoju prijavu sigurnost.
Recite nam kako lako možete pronaći ove generatore zaporki ili koje druge sigurnosne sheme koristite za zaštitu lozinki.
[Kao poštanski post, samo sam htio istaknuti da dvofaktorska provjera autentičnosti ima rupu u sebi - napad Čovjeka u sredini još uvijek može pobijediti ovu shemu provjere autentičnosti. U osnovi, napadač sjedi između vas (prijave) i poslužitelja, prosljeđujući vaše podatke legitimnom poslužitelju, uključujući i jednokratnu lozinku. Ovo je prilično nejasan sigurnosni problem za općeg potrošača, tako da dodavanje dvije faktorske autentifikacije vašim postupcima prijave pruža mnogo veću sigurnost od uobičajene sheme s jednim faktorom. ]
Kreditna slika: mikebaird.
Dave Drager radi u XDA Developersu u predgrađu Philadelphije, PA.
