Softwarový token - Software token

A softwarový token (aka měkký token) je kousek a dvoufaktorové ověřování bezpečnostní zařízení, které lze použít k povolení používání počítačových služeb. Softwarové tokeny jsou uloženy na univerzálním elektronickém zařízení, jako je například stolní počítač, notebook, PDA nebo mobilní telefon a lze je duplikovat. (Kontrast hardwarové tokeny, kde jsou pověření uložena na vyhrazeném hardwarovém zařízení, a proto je nelze duplikovat (chybí fyzická invaze zařízení).)

Protože softwarové tokeny jsou něco, co člověk fyzicky nevlastní, jsou vystaveni jedinečným hrozbám založeným na duplikaci podkladového kryptografického materiálu - například počítačové viry a software útoky. Hardwarové i softwarové tokeny jsou vůči botům zranitelné útoky typu man-in-the-middle nebo jednoduše phishing útoky, při nichž jednorázové heslo poskytnutý tokenem je vyžádán a následně včas dodán na originální web. Softwarové tokeny mají výhody: není k dispozici žádný fyzický token, neobsahují je baterie které dojdou a jsou levnější než hardwarové tokeny.^[1]

Bezpečnostní architektura

Existují dvě primární architektury pro softwarové tokeny: sdílené tajemství a kryptografie veřejného klíče.

Pro sdílené tajemství, an správce obvykle vygeneruje a konfigurační soubor pro každého koncového uživatele. Soubor bude obsahovat uživatelské jméno, a osobní identifikační číslo a tajný. Tento konfigurační soubor je dán uživateli.

Sdílená tajná architektura je potenciálně zranitelná v řadě oblastí. Konfigurační soubor může být prolomen, pokud je odcizen a zkopírován token. S časově založenými softwarovými tokeny je možné si půjčit jednotlivce PDA nebo notebook, nastavte hodiny dopředu a vygenerujte kódy, které budou v budoucnu platné. Jakýkoli softwarový token, který používá sdílená tajemství a ukládá PIN společně se sdíleným tajemstvím v softwarovém klientovi, může být odcizen a vystaven offline útokům. Sdílené tajné tokeny může být obtížné distribuovat, protože každý token je v podstatě jiný software. Každý uživatel musí obdržet kopii tajemství, která může vytvářet časová omezení.

Na některé novější softwarové tokeny se spoléhá kryptografie veřejného klíče nebo asymetrická kryptografie. Tento architektura eliminuje některé tradiční slabiny softwarových tokenů, ale neovlivňuje jejich primární slabost (schopnost duplikovat). PIN lze uložit na vzdálené ověření serveru namísto použití tokenového klienta je zneužití ukradeného softwarového tokenu dobré, pokud není znám také PIN. V případě virové infekce však může být kryptografický materiál duplikován a poté může být PIN zachycen (pomocí keyloggingu apod.) Při příští autentizaci uživatele. Pokud dojde k pokusům o odhad PIN, může být detekován a zaznamenán na ověřovacím serveru, který může token deaktivovat. Použití asymetrické kryptografie také zjednodušuje implementaci, protože klient tokenu může generovat vlastní pár klíčů a vyměňovat si veřejné klíče se serverem.

Viz také

• Ověření
• Elektronické ověřování
• Google Authenticator
• Vícefaktorové ověřování
• Bezpečnostní token

Reference

externí odkazy

• Microsoft opustit hesla,
• Banky budou používat dvoufaktorové ověřování do konce roku 2006