Autentizace: zasuň token

V tomto příspěvku se dozvíte, jaké jsou hlavní výhody a nevýhody autentizace založené na tom, že uživatel něco má.

Tento typ autentizace je založen na vlastnictví nějakého předmětu. V běžném životě se člověk s touto formou autentizace nejčastěji setkává při výběru peněz z bankomatu nebo při platbě kartou v obchodě.

token

Výhody

Hlavní výhoda autentizačních předmětů spočívá v tom, že je lze velice obtížně zkopírovat. Dražší předměty dokonce i samy sebe chrání před násilným vniknutím a šifrovací klíč, který je v nich uložen, je tak při snaze o násilné vniknutí do předmětu zničen. Přístup ke klíči, který bývá obvykle na předmětu uložen, je chráněn PINem. Pokud dojde k opakovanému chybnému zadání PINu, předmět se zablokuje. Předmět, pokud má např. podobu karty, může být použit i pro identifikaci.

Nevýhody

V okamžiku, kdy uživatel předmět ztratí nebo se mu rozbije, tak se už nepřihlásí. K selhání předmětu může dojít prakticky kdykoliv. Uživatel v takovém případě musí požádat o vydání předmětu nového, což je dost často spojeno s fyzickou návštěvou místa, kde se předměty po ověření totožnosti vydávají. Zařízení, pomocí kterého se autentizace provádí, musí uživatel v některých případech nosit sebou. Podpora těchto předmětů je nákladnější a náročnější než správa hesel.

Výhody a nevýhody

Výhodou i nevýhodou těchto autentizačních předmětů je, že jsou přenosné, stejně jako hesla. To ale znamená, že nikdy nevíme, kdo opravdu autentizaci provádí. V podstatě kdokoliv se může vydávat za někoho jiného. V následujících odstavcích si nejčastěji používané autentizační předměty stručně popíšeme.

SMART card

Může obsahovat jak magnetický proužek, tak i chip, který může být proveden jako kontaktní nebo bezkontaktní. Kromě karty je uživatele nutné ještě vybavit čtečkou. Na kartu je možné umístit fotografii a použít ji i k identifikaci. Přístup k autentizačním údajům bývá chráněn PINem.

USB token

Je založen na stejné technologii jako čipová karta, výhoda spočívá v tom, že USB port je dnes již prakticky v každém počítači a není tak potřeba si pořizovat drahou čtečku. Také životnost USB tokenů se uvádí vyšší. Na druhou stranu ho nelze použít k fyzické identifikaci osoby, neboť na jeho malou plochu není možné umístit fotografii v takové kvalitě, v jaké může být na kartě. Přístup k autentizačním údajům bývá též chráněn PINem.

Autentizační kalkulátor

Tento prostředek může mít nejrůznější podobu. Obvykle ale vypadá jako karta nebo token a je vybaven displejem. Může mít i klávesnici, v takovém případě bývá chráněn PINem. Nejčastěji je založen na synchronizaci času se serverem, který je umístěn v prostorách společnosti, do jejichž systému se autentizujeme. Na displeji tohoto kalkulátoru se objevuje číslo, které je nutné do určité doby někam zadat. Hlavní výhodou těchto zařízení je, že uživatel nemusí na zařízení, ze kterých se chce autentizovat, instalovat žádný HW a SW. Autentizovat se tak může prakticky z jakéhokoliv zařízení, které umožňuje vygenerované jednorázové heslo zadat.

Mobilní telefon

Vůbec za největší výhodu mobilních zařízení lze považovat skutečnost, že je naprostá většina lidí již vlastní a nemusí si tak žádný další autentizační předmět pořizovat. Pro autentizaci pak stačí pouze zavolat z telefonu na číslo, na kterém je poskytována daná služba. Další možností je vybavit mobilní telefon patřičným softwarem a využívat ho jako autentizační kalkulátor a synchronní nebo asynchronní generátor jednorázových hesel. Stejně tak může být mobilní telefon použit pro příjem OTP zaslaných formou SMS.

TAN, scratch card, grid cards

Jedná se o papírovou nebo plastovou kartu, na které jsou uvedena jednorázová hesla. Uživatel je na vyzvání sdělí nebo zadá do aplikace. Tyto karty dávají některé banky svým klientům a na základě sdělení jednorázového hesla, které je na kartě uvedeno, po telefonu bankovnímu úředníkovi, je možné provést např. bezhotovostní převod. Tyto karty mohou být různého druhu. Může se jednat o prostý očíslovaný seznam, kdy je u každého čísla uvedeno jednorázové heslo nebo o tabulku, kde jsou v buňkách uvedeny buď jednotlivé znaky nebo skupiny znaků a uživatel je vyzýván, aby zadal znaky, které se nachází na dané souřadnici.

Na adrese http://www.elca.ch/elcard/en si můžete vyzkoušet, jak tato metoda funguje. U tohoto systému si uživatel musí navíc pamatovat tzv. tajnou cestu, což je umístění jednotlivých znaků od počáteční souřadnice. Tyto znaky tvoří jednorázové heslo. Útočník neví, jak daleko a jakým směrem od počáteční souřadnice se nachází první znak nebo skupina znaků a jaký tvar a délku má tzv. tajná cesta. Samozřejmě jen v případě, že si to uživatel nenapíše nebo nenakreslí na druhou stranu karty.

Poznámka: Tuto v minulosti nejpoužívanější metodu jsem úmyslně uvedl až jako poslední. Patří opravdu do skupiny autentizačních prostředků, kdy uživatel něco má a jen on to má, co myslíte?

Důležité pojmy

PIN

Aby bylo možné některá autentizační zařízení použít, je nutné zadat PIN (Personal Identification Number). Jak již tato zkratka napovídá, obvykle se jedná skutečně jen o číslo, mající obvykle 4 až 8 cifer. Nové tokeny umožňují zadat i písmena a speciální znaky. Nicméně to nic nemění na tom, že tento PIN nebo spíš heslo pro přístup k předmětu uživatel příliš často nemění a tak může být pro útočníka poměrně snadné ho odpozorovat a poté autentizační předmět oprávněnému uživateli ukrást nebo si ho prostě jen na malou chvíli vypůjčit. Pro úplnost je třeba dodat, že drtivá většina autentizačních SMS se posílá nešifrovaně, takže zde existuje určité riziko, že se k nim dostane minimálně mobilní operátor.

OTP

Jak již bylo řečeno, OTP (One Time Password) může být použito jen jednou, takže případná kompromitace hesla v okamžiku jeho zadávání nepředstavuje riziko. OTP může být zařízením generováno v podstatě neustále v pravidelných krátkých intervalech (tzv. synchronní mód) nebo je OTP generováno až po zadání serverem poskytnutých dat (tzv. asynchronní mód).

Certifikát

Pro účely tohoto příspěvku předpokládáme, že na SMART card nebo USB tokenu je uložen uživatelský certifikát a privátní klíč, pak se jedná o tzv. HW token. Pokud by byl certifikát a soukromý klíč uložen přímo na počítači, ze kterého se autentizace provádí, jednalo by se o tzv. SW token. Ten však není možné považovat za bezpečný, protože může být snadno zkopírován. Nicméně tento způsob autentizace se používá pro autentizaci stroje.

Otázka

Jaký autentizační předmět považujete za nejlepší, jaký byste chtěli nejraději používat?


Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on FacebookShare on LinkedInTweet about this on TwitterShare on Google+Email this to someonePrint this page

Štítky: ,


K článku “Autentizace: zasuň token” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: