Autentizace: Software token
Lze uvažovat o nahrazení klasického HW tokenu používaného v procesu vícefaktorové autentizace SW tokenem?
SW token má podobu aplikace, která se musí nainstalovat na zařízení, jehož hardware bude pro výpočty použit. Jsou tedy zpravidla uloženy na stejném zařízení, jako ze kterého probíhá autentizace. Úroveň bezpečnosti, kterou je SW token schopen poskytnout je tak přímo závislá na bezpečnosti hostitelského systému, kterým může být jak klasický počítač, tak i notebook nebo smartphone.
Aby mohl uživatel začít token používat, musí zadat správný PIN. Pokud uživatel několikrát po sobě zadá chybný PIN, tak se šifrovací klíče na něm uložené zničí. Pokud by token takto nefungoval, mohl by útočník proti němu vést útok hrubou silou a postupně zkoušet všechny možné kombinace dokud by nenarazil na ten správný PIN. A vzhledem k tomu, že PIN dost často bývá jen numerický, příliš času by to útočníkovi nezabralo.
Všimněte si, že ve výše uvedeném odstavci jsem vůbec neuvedl, zda mám na mysli hardwarový nebo softwarový token. Neuvedl jsem to úmyslně, protože jak hardwarový, tak i softwarový token mohou na útok hrubou silou reagovat naprosto stejně. Rozdíl mezi nimi spočívá v tom, že v případě softwarového tokenu opatření zabraňující útoku hrubou silou selže. Je tomu tak proto, že softwarový token může útočník poměrně snadno duplikovat a pokračovat v útoku tam, kde předtím skončil.
O něco lépe je na tom softwarový token, který PIN neukládá na zařízení, na kterém je nainstalován, ale na server, vůči kterému autentizace probíhá. Útočníkovi tedy nestačí jen zcizit token, ale musí uhádnout i heslo. A vzhledem k tomu, že hádání hesla by musel útočník provést přímo proti autentizačnímu serveru, může být token v takovém případě po několika chybných pokusech o přihlášení snadno zablokován.
SW token, ale nemusí být jen prostý soubor nebo šifrovací klíč chráněný heslem, ale může stejně jako HW token sloužit ke generování jednorázových hesel (One Time Password zkr. OTP). Nejrůznější smartphony vybavené potřebným softwarem tak mohou být snadno přeměněny v generátory OTP a pokud autentizace neprobíhá přímo z nich, je možné o nich uvažovat jako o vhodné náhradě klasických HW tokenů.
Výhodou SW tokenů je bezesporu jejich cena. Jsou totiž výrazně lacinější než HW tokeny a tak podstatně snižují celkové náklady. Právě tato skutečnost je pro poskytovatele služby, ke které se musí uživatelé autentizovat, velice atraktivní. Uživatelé na SW tokenech zase oceňují to, že si je mohou snadno nainstalovat na zařízení, zpravidla mobilní telefon, který již vlastní, a nemusí si žádný další autentizační předmět pořizovat.
A co vy,chtěli byste používat váš smartphone pro generování OTP?
ČERMÁK, Miroslav, 2010. Autentizace: Software token. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/autentizace-software-token/. [citováno 08.12.2024].
Štítky: autentizace, informační bezpečnost
K článku “Autentizace: Software token” se zde nachází 1 komentář.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.
V následující studii je popsáno, jak snadné/těžké je pro potencionálního útočníka naklonovat RSA SecureID software token, který je dostupný pro iPhone, Nokia a Windows platformu. Byť je útok veden proti RSA SecureID software tokenu provozovaném na platformě Windows, nedělejme si iluzi, že ostatní platformy na tom budou, co se týká zabezpečení nějak výrazně lépe. Jedno je jisté, pokud by zařízení obsahovalo TPM, byla by bezpečnost někde úplně jinde. Pokud víte o jiné podobné studii, např. pro Vasco Digipass, napište.