Реклама
Токены одноразового пароля (OTP) обычно считаются наиболее полезными для обеспечения безопасности при входе в систему. Они являются ключевой частью в использовании Двухфакторная аутентификация система, которая значительно повышает безопасность входа в систему от типичной однофакторной системы имени пользователя / пароля.
Схема безопасности имени пользователя / пароля считается очень небезопасной по ряду причин, включая простоту перехвата пакетов или нажатия клавиш, фишинг-атаки и другие проблемы социальной инженерии. Двухфакторные схемы аутентификации добавляют еще один уровень безопасности, так как пользователь получает другой пароль из внешнего источника, такого как устройство генерации пароля (например, OTP-токен) или SMS текст.
Поскольку этот пароль постоянно меняется через определенные промежутки времени, потенциальный хакер почти не может украсть ваше имя пользователя и пароль и войти в систему, не имея этого токена.
Эти токены обычно платные, поскольку они являются физическим устройством, но с недавним увеличением числа приложений Доступные для мобильных устройств многие поставщики OTP теперь предлагают бесплатные приложения, которые заменяют физические устройство.
Ниже приведены некоторые из наиболее популярных генераторов паролей, которые я встречал, и примеры их скриншотов в действии:
VeriSign Identity Protection (VIP) доступ для мобильных устройств
Verisign - один из крупнейших поставщиков физических токенов одноразового пароля. Их аппаратные токены имеют низкую стоимость для конечного пользователя и могут использоваться на многих популярных онлайн-сайтах, включая eBay, SalesForce, Box.net, Paypal и другие. Вы можете заказать недорогой ключ ($ 5) в Paypal или, как я недавно обнаружил, загрузить бесплатное приложение для мобильных устройств.
Verisign предлагает программное обеспечение для самых разных мобильных устройств, включая iPhone, Android, Windows Mobile, Blackberry и другие. Просто загрузите программное обеспечение и запустите программу генератора паролей - при первом запуске генерируется уникальная подпись, которая регистрируется на серверах VeriSign. Ваше устройство имеет уникальный идентификатор, который вы затем регистрируете, используя свой логин на внешнем сайте.
После этого всякий раз, когда вы открываете программу, она будет показывать вам текущий пароль для использования во время двухфакторной аутентификации. Легко.
Еще один крупный игрок в области двухфакторной аутентификации - RSA. RSA на самом деле пионер в области безопасности, изначально патентование метод шифрования данных канала связи еще в 1983 году и выпуск его с открытым исходным кодом в 2000 году.
Как и приложение VeriSign, RSA выпустила бесплатное приложение SecureID для iPhone, Blackberry, Windows Mobile и некоторых других платформ. К сожалению, они не выпустили приложение для платформы Android на эту дату публикации. У вас также есть решение RSA для использования мобильного генератора OTP, которое может быть получено с вашего рабочего места, из банка или любого другого логина, который может потребоваться защитить.
Решения RSA широко используются во всем мире.
FireID - это запуск в пространстве двухфакторной аутентификации. Хотя они и новички в этой области, у них действительно хорошее приложение для iPhone. На их сайте говорится, что они также поддерживают устройства Blackberry, Android, Windows Mobile и Symbian, но я не смог найти никакой информации об этих продуктах, и я не уверен, что они были выпущены пока что.
Это определенно компания, за которой нужно следить.
ArcotOTP [Больше не доступно]
ArcotOTP - еще один генератор одноразовых паролей. Будучи менее известным, чем другие, Arcot является начинающей компанией в этой области и считает почтенного Брюса Шнайера советником компании. ArcotOTP - это запатентованная технология, в которой вам потребуется использовать программное обеспечение, связанное с решением ArcotOTP.
SafeNet предоставляет набор различных решений для обеспечения безопасности и аутентификации, а также имеет хороший выбор приложений OTP для нескольких платформ, включая iPhone, Blackberry, Windows Mobile и SMS. Примечательно, что Android отсутствует в этом списке.
Хотя это и не полный список бесплатных мобильных генераторов OTP, вышесказанное дает вам хорошее представление о некоторых крупные игроки в этой области и более популярные решения, которые предлагают мобильный клиент, а не аппаратный маркер. Существует множество провайдеров OTP, каждый из которых имеет собственную платформу для безопасного входа в систему.
VeriSign - это, вероятно, тот, с которым вы будете наиболее знакомы и пользующийся наибольшим спросом в электронной коммерции, поскольку их используют Paypal / eBay, Salesforce и другие популярные веб-приложения. Какое бесплатное приложение вы бы использовали, вероятно, продиктовано веб-сайтами, на которые вам нужно войти, и какую двухфакторную схему они используют.
Какой бы способ оплаты вы ни выбрали для реализации двухфакторной аутентификации, эти бесплатные приложения указывают вам на поставщиков, которые были прогрессирующий в отношении «конвергенции мобильного устройства», позволяющий вам отказаться от отдельного токена и использовать одно устройство для увеличения вашего логина безопасность.
Сообщите нам, насколько просто вы можете использовать эти генераторы паролей или какие другие схемы безопасности вы используете для защиты ваших паролей.
[Как постскриптум, я просто хотел указать, что в двухфакторной аутентификации есть дыра, которая является зияющим - атака «Человек посередине» все еще может победить эту схему аутентификации. По сути, злоумышленник находится между вами (вход в систему) и сервером, передавая вашу информацию на законный сервер, включая одноразовый пароль. Это довольно непонятная проблема безопасности для обычного потребителя, поэтому добавление двухфакторной аутентификации к процессам входа в систему обеспечивает гораздо большую безопасность, чем обычная однофакторная схема. ]
Кредит изображения: Майк Бейрд.
Дейв Драгер работает в XDA Developers в пригороде Филадельфии, штат Пенсильвания.