Token (valtuutus)

Kokeneet kirjoittajat eivät ole vielä tarkistaneet sivun nykyistä versiota, ja se voi poiketa merkittävästi 15. elokuuta 2022 tarkistetusta versiosta . tarkastukset vaativat 3 muokkausta .

Token (myös hardware token , USB key , cryptographic token ) - kompakti laite, joka on suunniteltu varmistamaan käyttäjän tietoturva, jota käytetään myös sen omistajan tunnistamiseen , tietoresurssien etäkäytön turvaamiseen jne. Tämä on pääsääntöisesti fyysinen laite käytetään todennuksen yksinkertaistamiseen . Tämä termi voi viitata myös ohjelmistotunnuksiin , jotka myönnetään käyttäjälle onnistuneen valtuutuksen jälkeen ja jotka ovat avain palveluihin pääsyyn. Käytetään usein tunkeilijoiden luvattomaan pääsyyn tilille.

Tokenit on tarkoitettu sähköiseen tunnistamiseen (esimerkiksi pankkitiliä käyttävän asiakkaan), mutta niitä voidaan käyttää sekä salasanan sijaan että yhdessä sen kanssa.

Tietyssä mielessä token on elektroninen avain johonkin pääsyyn.

Yleensä laitteistorahakkeet ovat tarpeeksi pieniä kuljetettavaksi taskussa tai kukkarossa, usein ne on suunniteltu avainrenkaiden muotoon . Jotkut niistä on suunniteltu tallentamaan salausavaimia , kuten sähköisiä allekirjoituksia tai biometrisiä tietoja (kuten sormenjälkikuvion yksityiskohtia ). Joissakin on sisäänrakennettu suojaus hakkerointia vastaan, toisissa on mininäppäimistö PIN-koodin syöttämiseen tai pelkkä painike generointimenettelyn kutsumiseen ja näyttö luodun avaimen näyttämiseksi. Tokeneissa on USB -liitin, RFID - toiminto tai langaton Bluetooth - liitäntä luodun avainsarjan siirtämiseksi asiakasjärjestelmään.

Salasanatyypit

Kaikki tunnukset sisältävät salaisia ​​tietoja, joita käytetään henkilöllisyyden vahvistamiseen. Näitä tietoja voidaan käyttää neljällä eri tavalla:

Laite sisältää salasanan, joka on fyysisesti piilotettu (ei näy omistajalle), mutta joka välitetään jokaisen todennuksen yhteydessä . Tämä tyyppi on alttiina toistaville hyökkäyksille .

Laite luo uuden yksilöllisen salasanan tietyllä aikavälillä. Tunnusteen ja palvelimen on oltava synkronoituja , jotta salasana voidaan hyväksyä.

Kertakäyttöinen salasana luodaan ilman kelloa käyttämällä Vernam-salausta tai muuta salausalgoritmia .

Julkisen avaimen kryptografiaa käyttämällä voidaan todistaa yksityisen avaimen omistajuus paljastamatta sitä. Todennuspalvelin salaa haasteen ( yleensä satunnaisluku tai ainakin satunnaisia ​​osia sisältävä data) julkisella avaimella. Laite todistaa, että sillä on kopio vastaavasta yksityisestä avaimesta antamalla salauksen purkamisen.

Aika - synkronoidut kertakäyttöiset salasanat

Aikasynkronoituja kertakäyttöisiä salasanoja vaihdetaan jatkuvasti tiettyyn aikaan, esimerkiksi kerran minuutissa. Tätä varten asiakastunnuksen ja todennuspalvelimen välillä on oltava synkronointi . Laitteille, joita ei ole liitetty verkkoon, tämä synkronointi suoritetaan ennen kuin asiakas on ostanut tunnuksen. Muun tyyppiset tunnukset synkronoidaan, kun merkki lisätään syöttölaitteeseen. Synkronoitujen merkkien suurin ongelma on, että ne voivat tulla epäsynkronoiduksi pitkän ajan kuluttua. Jotkut järjestelmät, kuten RSA :n SecurID , sallivat kuitenkin käyttäjän synkronoida palvelimen tunnuksen kanssa syöttämällä useita peräkkäisiä pääsykoodeja. Useimmissa niistä ei voi olla vaihdettavia paristoja, joten niiden käyttöikä on rajoitettu.

Matemaattiseen algoritmiin perustuvat OTP :t

Toinen kertakäyttöisen salasanan tyyppi käyttää monimutkaista matemaattista algoritmia , kuten hash-ketjua , luomaan sarjan kertaluonteisia salasanoja salaisesta avaimesta. Mitään salasanoja ei voida arvata, vaikka aiemmat salasanat olisivat tiedossa. On olemassa julkinen, standardoitu OATH -algoritmi ; muut algoritmit ovat Yhdysvaltain patenttien kattamia. Jokaisen uuden salasanan on oltava yksilöllinen, jotta luvaton käyttäjä ei voi arvata, mikä uusi salasana voi olla aiemmin käytetyistä salasanoista.

Tokenien tyypit

Tokenit voivat sisältää siruja, joilla on erilaisia ​​toimintoja erittäin yksinkertaisista erittäin monimutkaisiin, mukaan lukien useita todennusmenetelmiä . Yksinkertaisimmat suojaustunnukset eivät vaadi yhteyttä tietokoneeseen. Tokeneilla on fyysinen näyttö; Käyttäjä syöttää vain näytetyn numeron kirjautuakseen sisään. Muut tunnukset muodostavat yhteyden tietokoneisiin langattomien tekniikoiden , kuten Bluetoothin , avulla . Nämä tunnukset välittävät avainsarjan paikalliselle asiakkaalle tai lähimmälle tukiasemalle . Lisäksi toinen laajalti saatavilla oleva tunnuksen muoto on mobiililaite, joka kommunikoi kaistan ulkopuolisella kanavalla (kuten SMS tai USSD ). Kuitenkin muut tunnukset muodostavat yhteyden tietokoneeseen ja PIN -koodi voidaan vaatia . Tokenin tyypistä riippuen tietokoneen käyttöjärjestelmä joko lukee tunnuksen avaimen ja suorittaa sille salaustoimintoja tai pyytää tunnuksen laiteohjelmistoa suorittamaan nämä toiminnot itse. Tällainen sovellus on laitteistoavain ( dongle ), jota jotkut tietokoneohjelmat vaativat ohjelmiston omistajuuden todistamiseksi. Avain asetetaan syöttölaitteeseen ja ohjelmisto käyttää kyseistä syöttö-/tulostuslaitetta salliakseen kyseisen ohjelmiston käytön . Kaupallisia ratkaisuja tarjoavat useat toimittajat, joista jokaisella on omat (ja usein omat ) suojausominaisuudet. Tietyt suojausstandardit täyttävät Token-projektit on sertifioitu Yhdysvalloissa FIPS 140 :n, Yhdysvaltain liittovaltion turvallisuusstandardin, mukaisiksi . Tokenit ilman minkäänlaista sertifikaattia eivät usein täytä Yhdysvaltain hallituksen turvallisuusstandardeja, ne eivät ole käyneet läpi tiukkaa testausta, eivätkä ne todennäköisesti voi tarjota samaa salaussuojausta kuin kolmannen osapuolen virastojen kehittämät ja vahvistamat tunnukset.

Unconnected Tokens

Yhteydettömillä tunnuksilla ei ole fyysistä tai loogista yhteyttä asiakkaan tietokoneeseen. Tyypillisesti ne eivät vaadi erityistä syöttölaitetta, vaan ne käyttävät upotettua näyttöä tuottamaan luotuja todennustietoja, jotka puolestaan ​​​​käyttäjä syöttää manuaalisesti näppäimistön avulla. Yhteydetttömät tunnukset ovat yleisin tunnustyyppi (valtuutus), jota käytetään (yleensä salasanan kanssa) kaksivaiheisessa todentamisessa online-tunnistukseen. [yksi]

Malli RSA SecurID SID700 on pieni avaimenperä. [2]

Yhdistetyt tunnukset

Yhdistetyt tunnukset on linkitettävä fyysisesti tietokoneeseen, jolla käyttäjä todennetaan ( todennettu ). Tämän tyyppiset tunnukset siirtävät automaattisesti todennustiedot asiakastietokoneeseen heti, kun fyysinen yhteys on muodostettu, mikä eliminoi käyttäjän tarpeen syöttää todennustietoja manuaalisesti. Yhteystunnuksen käyttö vaatii sopivan liitäntäpistorasian . Yleisimmät liitetyt tunnukset ovat älykortit ja USB , jotka vaativat älykortinlukijan ja USB-portin.

PC - kortteja käytetään laajalti kannettavissa tietokoneissa . Tyypin II kortteja suositaan rahakkeina, koska ne ovat 2x ohuempia kuin tyypin III kortit.

Äänituloa (ääniliitäntäporttia) voidaan käyttää kommunikointiin mobiililaitteiden, kuten iPhonen, iPadin ja Androidin, välillä. Tunnetuin laite on Square , kortinlukija iPhonelle ja Androidille.

Teknologia tietojen siirtämiseen tällä laitteella on Applen patentin kattamana , mutta Michiganin yliopiston sähkötekniikan ja tietojenkäsittelytieteen laitoksen opettajat ja opiskelijat ovat kehittäneet " HiJack "-laitteen, joka mahdollistaa tietojen vaihdon matalan tason välillä. teho-oheislaite ja i-laite. Pieni määrä virtaa , jonka HiJack saa ääniportista, riittää TI MSP430 -mikro -ohjaimen virran kytkemiseen ja HiJackin liittämiseen erityisesti suunniteltuun iOS - sovellukseen. [3]

Tokeneita voidaan käyttää myös kuvallisena henkilötodistuksena. Matkapuhelimet ja PDA-laitteet voivat toimia suojaustunnuksina, jos ne on ohjelmoitu oikein.

Älykortit

Monet yhdistetyt tunnukset käyttävät älykorttitekniikkaa . Älykortit ovat erittäin halpoja ja sisältävät todistettuja turvamekanismeja (jotka käyttävät rahoituslaitokset, kuten maksukortit). Älykorttien laskentateho on kuitenkin melko rajallinen alhaisen virrankulutuksen ja erittäin ohuiden muotojen vaatimuksen vuoksi.

USB-tokeneihin perustuvat älykortit, jotka sisältävät älykorttisirun, tarjoavat sekä USB- että älykorttien toiminnallisuuden . Ne sisältävät laajan valikoiman tietoturvaratkaisuja ja tarjoavat suojan perinteiselle älykortille ilman ainutlaatuista syöttölaitetta. Tietokoneen käyttöjärjestelmän kannalta tällainen token on USB:n kautta kytketty älykortinlukija, jonka sisällä on yksi ei-irrotettava älykortti. [neljä]

Esimerkki tunnuksen

Tunnilla voit suojata tilin tietokoneella monimutkaisella salasanalla muistamatta sitä. Tätä varten sinun on ostettava ohjelmisto (esimerkiksi: eToken Network Logon) ja sitä vastaava tunnus. Ohjelman avulla token saa avaimen järjestelmään pääsemiseksi. Kun käynnistät uudelleen, sinun on asetettava tunnus (esimerkiksi USB - porttiin) ja syötettävä PIN -koodi . Suoritettujen toimintojen jälkeen pääset järjestelmään.

Langattomat tunnukset

Toisin kuin yhdistetyt tunnukset, langattomat tunnukset muodostavat loogisen linkin asiakkaan tietokoneeseen eivätkä vaadi fyysistä yhteyttä. Fyysisen kontaktin tarpeen puute tekee niistä kätevämpiä kuin yhdistetyt ja kytkemättömät tunnukset. Tämän seurauksena tämän tyyppinen token on suosittu valinta avaimettomissa sisäänpääsy- ja elektronisissa maksujärjestelmissä, kuten Mobil Speedpassissa , jotka käyttävät RFID :tä välittämään todennustiedot avaimenperästä. On kuitenkin olemassa useita turvallisuusongelmia, kun Johns Hopkins Universityn ja RSA Laboratoriesin tutkimukset havaitsivat, että RFID - tunnisteet voidaan helposti hakkeroida. [5] Toinen ongelma on se, että langattomien tokenien käyttöikä on suhteellisen lyhyt, 3–5 vuotta, kun taas USB-tokenit voivat kestää jopa 10 vuotta.

Bluetooth-tunnukset

Bluetooth-tokenit ovat käteviä käyttää, koska niiden käyttö ei vaadi laitteen fyysistä yhteyttä, token voi olla käyttäjän taskussa. Yksi Bluetooth-tunnusten eduista on myös kyky työskennellä mobiililaitteiden kanssa, joista monet eivät tue fyysistä yhteyttä. Bluetooth-tokenit tarvitsevat oman akun langattoman moduulin ja kryptografisen laitteen toimintaan, joten niissä on akku, joka on ladattava säännöllisesti (nykyaikaisissa laitteissa käyttöaika on noin 40 tuntia). Sisäänrakennettu akku ladataan joko erityisellä virtalähteellä tai tavallisella USB-liittimellä, joka mahdollistaa samanaikaisesti USB-yhteyden käytön, jos Bluetooth -yhteyttä ei ole mahdollista . Bluetooth-todennus toimii noin 10 metrin etäisyydellä, jolloin voit suorittaa tiettyjä toimintoja, jos käyttäjä on poissa (esim. estää työtietokoneen).

Token- ja kertakirjautumistekniikat

Joissakin kertakirjautumistyypeissä käytetään tunnuksia nopean todennuksen mahdollistavien ohjelmistojen tallentamiseen . Koska salasanat on tallennettu tunnukselle, käyttäjän ei tarvitse muistaa sitä, vaan voidaan käyttää turvallisempia, monimutkaisempia salasanoja.

Työskentely verkkosovellusten kanssa laajennuksen

Käytettäessä tunnusta tai älykorttia verkkosovelluksissa selaimen ja sähköisen allekirjoitustyökalun välinen vuorovaikutus tapahtuu erityisen laajennuksen kautta . Laajennusta käyttämällä verkkosovellus vastaanottaa luettelon käytettävissä olevista varmenteista yhdistetyiltä tunnuksilta ja pyytää asentamaan sähköisen allekirjoituksen.

Samaan aikaan tietyn valmistajan laajennuksen käyttö vaikeuttaa muiden valmistajien sähköisten allekirjoitustyökalujen käyttöä. Tämän ongelman ratkaisemiseksi kehitetään yleisiä laajennuksia, esimerkiksi:

  • laajennus julkisten palveluportaalien kanssa työskentelyyn, joka tukee yleisimpiä sähköisen allekirjoituksen keinoja. Laajennus on tarkoitettu käytettäväksi sähköisen hallinnon infrastruktuurissa, se tukee vain hyväksyttyjä sähköisen allekirjoituksen työkaluja. Alkuvuodesta 2016 ei toimi Mac OS X:n ja Google Chrome -selaimen uusimmissa versioissa.

Mobiililaitteet tunnuksena

Tokenina voidaan käyttää mobiililaitteita, kuten älypuhelimia tai tabletteja . Ne tarjoavat myös kaksivaiheisen todennuksen , mikä ei edellytä käyttäjän kuljettavan mukanaan ylimääräistä fyysistä laitetta. Jotkut toimittajat tarjoavat mobiililaitteen todennusratkaisun , joka käyttää salausavainta käyttäjän todentamiseen. Tämä tarjoaa korkean turvallisuustason , mukaan lukien mies-in-the-middle-hyökkäyssuojauksen .

Haavoittuvuudet

Yksinkertaisin haavoittuvuus minkä tahansa tunnuksen kanssa on sen katoaminen tai varkaus. Kompromissitapahtuman todennäköisyyttä voidaan vähentää henkilökohtaisilla turvatoimilla, esimerkiksi: lukot, elektroniset valjaat , hälyttimet. Varastetuista tokeneista ei ole hyötyä varkaalle, jos käytetään kaksivaiheista todennustekniikkaa. Tyypillisesti todennus vaatii henkilökohtaisen tunnusnumeron ( PIN ) syöttämisen tunnuksen tietojen kanssa.

Kaikki järjestelmät, joiden avulla käyttäjät voivat todentaa epäluotettavan verkon (kuten Internetin) kautta, ovat alttiina välimieshyökkäykselle . MITM-hyökkäys (eng. Man in the middle) on kryptografian termi, joka tarkoittaa tilannetta, jossa kryptanalyytikko (hyökkääjä) pystyy lukemaan ja muokkaamaan kirjeenvaihtajien välillä vaihdettuja viestejä halutessaan, eikä kukaan jälkimmäisistä voi arvailla läsnäoloaan kanava. Menetelmä viestintäkanavan vaarantamiseksi , jossa hyökkääjä, joka on liittynyt vastapuolten väliseen kanavaan, puuttuu aktiivisesti siirtoprotokollaan poistaen, vääristelemällä tai esittämällä vääriä tietoja.

Digitaalinen allekirjoitus

Yhtä turvallinen kuin tavallinen käsinkirjoitettu allekirjoitus, digitaalinen allekirjoitus on tehtävä yksityisellä avaimella , jonka vain allekirjoittamiseen valtuutettu henkilö tietää. Tokenit, jotka mahdollistavat yksityisten avainten turvallisen luomisen ja tallentamisen , tarjoavat suojatun digitaalisen allekirjoituksen ja joita voidaan käyttää myös käyttäjän todentamiseen, yksityinen avain palvelee myös käyttäjän tunnistamiseen .

Trust Screen

TrustScreen-teknologia on suunniteltu parantamaan verkkotapahtumien turvallisuutta etäpankkitoiminnassa (RBS) ja muissa kriittisissä sovelluksissa. Sen tehtävänä on suojautua allekirjoitetun asiakirjan tai sen tiivisteen vaihtamiselta hyökkääjän toimesta allekirjoitusprosessin aikana sekä luvattomalta toiminnalta, jos PIN-koodi siepataan onnistuneesti. Tekniikka mahdollistaa allekirjoitettujen tietojen visuaalisen ohjauksen, joka näkyy laitteen näytöllä välittömästi ennen allekirjoitusta. Kaikki merkittävät toiminnot allekirjoitettavaksi lähetetyillä tiedoilla suoritetaan "laitteen sisällä":

  • asiakirjan visualisointi näytöllä oikeellisuuden valvomiseksi,
  • asiakirjan hajautuslaskenta,
  • asiakirjatiiviste on allekirjoitettu ei-palautettavalla avaimella,
  • PIN-koodin tai allekirjoituksen vahvistuskomennon syöttäminen ohittaen tietokoneen näppäimistön.

Katso myös

Muistiinpanot

  1. de Borde, Duncan Kaksivaiheinen todennus  (englanniksi)  (linkki ei ole käytettävissä) . Siemens Insight Consulting (28. kesäkuuta 2007). Arkistoitu alkuperäisestä 12. tammikuuta 2012.
  2. RSA SecurID 700 . Käyttöpäivä: 19. joulukuuta 2013. Arkistoitu alkuperäisestä 10. tammikuuta 2013.
  3. HiJack . Käyttöpäivä: 19. joulukuuta 2013. Arkistoitu alkuperäisestä 6. tammikuuta 2014.
  4. Integroitujen piirien korttien rajapintalaitteiden tekniset tiedot arkistoitu 29. joulukuuta 2005.
  5. Biba, Erin Aiheuttaako autosi avaimesi turvallisuusriskin?  (englanniksi) . PC World (14. helmikuuta 2005). Haettu 25. marraskuuta 2013. Arkistoitu alkuperäisestä 5. kesäkuuta 2011.

Linkit