Токен (авторизации)

Материал из Википедии — свободной энциклопедии
Перейти к: навигация, поиск
Токен от VeriSign
Токен от компании АВТОР

Токен (также аппаратный токен, USB-ключ, криптографический токен) — компактное устройство, предназначенное для обеспечения информационной безопасности пользователя, также используется для идентификации его владельца, безопасного удаленного доступа к информационным ресурсам и т.д. Как правило, это физическое устройство, используемое для упрощения аутентификации. Также этот термин может относиться и к программным токенам, которые выдаются пользователю после успешной авторизации и являются ключом для доступа к службам.

Токены предназначены для электронного удостоверения личности (например, клиента, получающего доступ к банковскому счёту), при этом они могут использоваться как вместо, так и вместе с паролем. В некотором смысле токен — это электронный ключ для доступа к чему-либо.

Обычно аппаратные токены обладают небольшими размерами, что позволяет носить их в кармане или кошельке, часто они выглядят в виде брелоков. Некоторые предназначены для хранения криптографических ключей, таких как электронная подпись или биометрические данные (например, детали дактилоскопического узора). В одни встроена защита от взлома, в другие — мини-клавиатура для ввода PIN-кода или же просто кнопка вызова процедуры генерации и дисплей для вывода сгенерированного ключа. Токены обладают разъёмом USB, функциями RFID или беспроводным интерфейсом Bluetooth для передачи сгенерированной последовательности ключей на клиентскую систему.

Типы паролей[править | править вики-текст]

Все токены содержат некоторые секретные сведения, которые используются для подтверждения личности. Есть четыре различных способа, в которых эта информация может быть использована:

  • Токен со статическим паролем.

Устройство содержит пароль, который физически скрыт (не виден обладателю), но который передается для каждой аутентификации. Этот тип уязвим для атак повторного воспроизведения.

  • Токен с синхронно динамическим паролем.

Устройство генерирует новый уникальный пароль с определенным интервалом времени. Токен и сервер должны быть синхронизированы, чтобы пароль был успешно принят.

  • Токен с асинхронным паролем.

Одноразовый пароль генерируется без использования часов, с помощью шифра Вернама или другого криптографического алгоритма.

  • Токен вызов-ответ.

Используя криптографию с открытым ключом, можно доказать владение частным ключом, не раскрывая его. Сервер аутентификации шифрует вызов (обычно случайное число или по крайней мере, данные с некоторыми случайными частями) с помощью открытого ключа. Устройство доказывает, что обладает копией соответствующего частного ключа, путем предоставления расшифрованного вызова.

Одноразовые пароли, синхронизированные по времени[править | править вики-текст]

Синхронизированные по времени одноразовые пароли постоянно меняются в установленное время, например, раз в минуту. Для этого должна существовать синхронизация между токеном клиента и сервером аутентификации. Для устройств не подключенных к сети, эта синхронизация сделана до того, как клиент приобрел токен. Другие типы токенов синхронизируются, когда токен вставляется в устройство ввода. Главная проблема с синхронизированными токенами состоит в том, что они могут рассинхронизоваться, спустя какой-то большой период времени. Тем не менее, некоторые системы, такие как SecurID компании RSA, позволяют пользователю синхронизировать сервер с токеном, путем ввода нескольких последовательных кодов доступа. Большинство из них не может иметь сменные батареи, следовательно имеют ограниченный срок службы.

Одноразовые пароли на основе математического алгоритма[править | править вики-текст]

Другой тип одноразовых паролей использует сложный математический алгоритм, например, хэш-цепи, для создания серии одноразовых паролей из секретного ключа. Ни один из паролей нельзя отгадать, даже тогда, когда предыдущие пароли известны. Существует общедоступный, стандартизированный алгоритм OATH; другие алгоритмы покрыты американскими патентами. Каждый новый пароль должен быть уникальным, поэтому неавторизованный пользователь не сможет догадаться, что новый пароль может быть, на основе ранее использованных паролей.

Типы токенов[править | править вики-текст]

Токены могут содержать чипы с различными функциями от очень простых, до очень сложных , в том числе и несколько методов аутентификации. Простейшим токенам безопасности не нужны никакие подключения к компьютеру. Токены имеют физический дисплей; Пользователь просто вводит отображаемое число для входа. Другие токены подключаются к компьютерам, используя беспроводные технологии, такие как Bluetooth. Эти токены передают ключевую последовательность локальному клиенту или ближайшей точке доступа. Кроме того, другая форма токена, который был широко доступен много лет, является мобильное устройство, которое взаимодействует с использованием внеполосного канала (например, SMS или USSD). Тем не менее, другие токены подключаются к компьютеру, и может потребоваться PIN-код. В зависимости от типа токена, операционная система компьютера или прочитает ключ от токена и выполнит криптографические операции на нем, или попросит, чтобы программируемое оборудование токена выполнило эти операции самостоятельно. Таким приложением является аппаратный ключ (электронный ключ), необходимый для некоторых компьютерных программ, чтобы доказать право собственности на программное обеспечение. Ключ помещается в устройство ввода, и программное обеспечение получает доступ к рассматриваемому устройству ввода / вывода, чтобы разрешить использование данного программное обеспечение. Коммерческие решения предоставляются различными поставщиками, каждый со своими собственными (и часто запатентованными) функциями безопасности. Проекты токенов, соответствующие определенным стандартам безопасности, удостоверены в Соединенных Штатах как совместимые с FIPS 140, федеральный стандарт безопасности США. Токены без какой-либо сертификации часто не отвечают стандартам безопасности принятым правительством США, они не прошли тщательное тестирование, и, вероятно, не могут обеспечить такой же уровень криптографической защиты, как токены, которые были разработаны и проверены сторонними агентствами.

Токены без подключения[править | править вики-текст]

Токены SecurID от RSA Security в виде брелоков.

Токены без подключения не имеют ни физического, ни логического подключения к компьютеру клиента. Как правило, они не требуют специального устройства ввода, а вместо этого используют встроенный экран для отображения сгенерированных данных аутентификации, которые, в свою очередь, пользователь вводит вручную с помощью клавиатуры. Токены без подключения являются наиболее распространенным типом токена (авторизации), используемый (обычно в сочетании с паролем) в двухфакторной аутентификации для онлайн-идентификации.[1]

Модель RSA SecurID SID700  представляет собой небольшой брелок.[2]

Карт-ридер square

Токены с подключением[править | править вики-текст]

Токены с подключением должны быть физически связаны с компьютером, на котором пользователь проходит проверку подлинности (аутентификацию). Токены данного типа автоматически передают информацию для аутентификации на компьютер клиента, как только устанавливается физическая связь. Что избавляет пользователя вводить данные аутентификации вручную. Чтобы использовать токен с подключением, должно быть установлено соответствующее устройство ввода. Наиболее распространенные токены с подключением - это смарт-карты и USB, которые требуют смарт-карт ридер и USB порт, соответственно.

PC Card широко используются в ноутбуках. Предпочтительными в качестве токена являются карты типа II, потому что они в 2 раза тоньше чем, карты типа III.

Аудио вход (audio jack port) может быть использован для установления связи между мобильными устройствами, такими как iPhone, iPad и Android. Наиболее известное устройство - это Square, карт ридер для iPhone и Android.

Технология передачи данных с помощью данного устройства скрыта патентом компании Apple, но преподаватели и студенты факультета электротехники и компьютерных наук Мичиганского университета разработали устройство "HiJack", которое позволяет обмениваться данными между периферическим устройством с низким энергопотреблением и i устройством. Небольшой мощности, которую получает HiJack с аудио порта, достаточно для питания микроконтроллера TI MSP430 и соединения HiJack со специально разработанным для iOS приложением.[3]

Токены могут также использоваться в качестве фото удостоверения личности. Сотовые телефоны и PDAs могут служить токенами безопасности при правильном программировании.


Инициализация системы с использованием токена
Пример схемы использования токена

Смарт-карты[править | править вики-текст]

Многие токены с подключением используют технологии смарт-карт. Смарт-карты очень дешевые и содержат проверенные механизмы безопасности (которые используются финансовыми учреждениями, как расчетные карты). Однако, вычислительная производительность смарт-карт весьма ограничена из-за низкого энергопотребления и требования ультра тонких форм.

Смарт-карты на основе USB токенов, которые содержат чип смарт-карты внутри, обеспечивают функциональность как USB, так и смарт-карт. Они включают широкий ряд решений по безопасности и обеспечивают защиту традиционной смарт-карты, не требуя уникального устройства ввода. С точки зрения операционной системы компьютера, такой токен является подключенным через USB смарт-карт ридером с одной несъемной смарт-картой внутри.[4]

Пример использования токена[править | править вики-текст]

С помощью токена можно защитить учетную запись на компьютере, используя сложный пароль, не запоминая его. Для этого вы должны купить программное обеспечение(например: eToken Network Logon) и токен, подходящий к нему. С помощью программы токен получит ключ для входа в систему. При повторном запуске вам потребуется вставить токен (например в USB порт) и ввести PIN. После проделанных операций вы получаете доступ к системе.

Беспроводные токены[править | править вики-текст]

В отличии от токенов с подключением, беспроводные токены формируют логическую связь с компьютером клиента и не требуют физического подключения. Отсутствие необходимости физического контакта делает их более удобными, чем токены с подключением и токены без подключения. В результате данный тип токенов является популярным выбором для систем входа без ключа и электронных платежей, таких как Mobil Speedpass, которые используют RFID, для передачи информации об аутентификации от токена брелока. Тем не менее существуют различные проблемы безопасности, после исследований в Университете имени Джона Хопкинса, и Лаборатории RSA обнаружили, что RFID метки могут быть легко взломаны.[5] Еще одной проблемой является то , что беспроводные токены имеют относительно короткий срок службы 3-5 лет,в то время как USB токены могут работать до 10 лет.

Bluetooth токены[править | править вики-текст]

Bluetooth токены часто включают в себя USB штекер, тем самым, можно использовать USB подключение, если нет возможности подключения через Bluetooth. Bluetooth аутентификация работает на расстоянии порядка 10 метров.

Токен и технологии единого входа[править | править вики-текст]

Некоторые виды единого входа используют токены для хранения программного обеспечения, которое позволяет быстро пройти аутентификацию. Поскольку пароли хранятся на токене, то пользователю не требуется запоминать его, тем самым можно использовать более безопасные, сложные пароли.

Мобильные устройства в качестве токена[править | править вики-текст]

Мобильные вычислительные устройства, такие как смартфоны или планшеты, могут быть использованы в качестве токена. Они также обеспечивают двухфакторную аутентификацию, которая не требует, чтобы пользователь носил с собой дополнительное физическое устройство. Некоторые производители предлагают решение для аутентификации через мобильное устройство, использующее криптографический ключ для аутентификации пользователя. Это обеспечивает высокий уровень безопасности, включая защиту от атаки “человек посередине”.

Уязвимости[править | править вики-текст]

Самая простейшая уязвимость с любым токеном - это его потеря или кража. Вероятность случая компрометации может быть уменьшена с помощью личной безопасности, например: замки, электронная привязь, сигнализация. Украденные токены - бесполезны для вора, если использована технология двухфакторной аутентификации. Как правило для проверки подлинности требуется вводить персональный идентификационный номер (PIN) вместе с информацией на токене.

Любая система, которая позволяет пользователям аутентифицироваться через ненадежную сеть (например, Интернет) является уязвимой к атаке “человек посередине”. MITM-атака (англ. Man in the middle) — термин в криптографии, обозначающий ситуацию, когда криптоаналитик (атакующий) способен читать и видоизменять по своей воле сообщения, которыми обмениваются корреспонденты, причём ни один из последних не может догадаться о его присутствии в канале. Метод компрометации канала связи, при котором взломщик, подключившись к каналу между контрагентами, осуществляет активное вмешательство в протокол передачи, удаляя, искажая информацию или навязывая ложную.

Цифровая подпись[править | править вики-текст]

Надежная, как обычная рукописная подпись, цифровая подпись должна быть сделана с помощью закрытого ключа, известного только лицу, уполномоченному сделать подпись. Токены, которые позволяют безопасное генерирование и хранение закрытых ключей, обеспечивают безопасную цифровую подпись, а также могут быть использованы для проверки подлинности пользователя, закрытый ключ также служит для идентификации пользователя.

См. также[править | править вики-текст]

Ссылки[править | править вики-текст]

Примечания
  1. de Borde, Duncan Two-factor authentication. Siemens Insight Consulting (28 июня 2007).
  2. RSA SecurID 700
  3. HiJack
  4. Specification for Integrated Circuit(s) Cards Interface Devices
  5. Biba, Erin Does Your Car Key Pose a Security Risk?. PC World (14 февраля 2005).
Источники
Основной источник