Pamiętaj o tokenach!
-
- 05.04.2011
Czy będą ataki na konkretne cele?
Z samej kradzieży kodów seed nie wynika jeszcze przełamanie zabezpieczeń tokenów RSA Securid, gdyż włamywacz musiałby poznać numer tokenu przypisany konkretnemu użytkownikowi. Oznacza to jednak zwiększone prawdopodobieństwo ataków profilowanych, kierowanych przeciw konkretnemu podmiotowi. Zatem przedsiębiorstwa, które korzystają z SecurID, powinny niezwłocznie poprawić politykę bezpieczeństwa, wprowadzając mocne kody PIN razem z odczytem z tokena i zrezygnować z trybu bez kodu PIN.
W przypadku logowania do desktopów Windows i do usług terminalowych warto zrezygnować ze zintegrowanego logowania, wprowadzając tradycyjny zestaw login + hasło, potwierdzany później PIN-em i kodem podawanym przez token. Chociaż jest to mniej wygodne, wymaga od włamywacza pozyskania z firmy większej ilości poufnych informacji. Dodatkowo należy chronić wewnętrzne informacje z działu IT, które łączą numer seryjny tokena z identyfikatorem użytkownika, i szkolić użytkowników, by numer tokena traktowali jako informację poufną.
Zobacz również:
- Przeglądarka Chrome będzie jeszcze jakiś czas akceptować pliki cookie
- Usługa WhatsApp uruchamiana na urządzeniach iOS będzie bardziej bezpieczna
- Cyberobrona? Mamy w planach
Token OTP jest wyposażony w mikroprocesor, który na podstawie zaprogramowanego kodu seed oraz daty i godziny odczytanej z wewnętrznego zegara oblicza kod odpowiedzi, wykorzystując przy tym jawny algorytm AES (początkowo tokeny RSA SecurID stosowały starszy własnościowy algorytm). Serwer, analizując wprowadzony kod, uwierzytelnia (lub nie) użytkownika, jednocześnie wprowadzając poprawki na chód zegara w tokenie.
Niekiedy zachodzi potrzeba resynchronizacji tokena, która wymaga wprowadzenia dwóch kolejnych odczytów, ponadto w wątpliwych przypadkach, takich jak nieudane próby zalogowania, system żąda kolejnego odczytu.
Token jest oferowany w obudowie, która chroni elektronikę i "zaszyty" kod seed przed odtworzeniem metodą wstecznej inżynierii, ale nie spełni już swojego zadania, jeśli złodziej posiądzie seed inną drogą.
Niektóre firmy zamiast kupować tokeny sprzętowe, wybierają token programowy, który działa w środowisku stacji roboczych Windows i MacOS X oraz urządzeń przenośnych (telefony klasy smartphone: Android, BlackBerry, iPhone, Nokia, Windows Mobile oraz MIDlety Java MIDP). Sprawą dyskusyjną jest bezpieczeństwo takiego rozwiązania, gdyż komputer, na którym wykonywany jest kod tokena, nie jest chroniony przed naruszeniem bezpieczeństwa tak dobrze jak oryginalny token. Zaletą rozwiązania programowego jest niższy koszt.
Problem ten nie dotyczy tokenów takich jak ActivCard, w których losowo generowany kod seed jest programowany do tokena przez IT w organizacji. Zatem w przypadku jakichkolwiek podejrzeń naruszenia bezpieczeństwa tokenów programowanych wystarczy wygenerować i wprowadzić do tokena nowy kod seed. To samo dotyczy programowanych tokenów USB.
