Pamiętaj o tokenach!
- 05.04.2011
Wykorzystanie do uwierzytelnienia użytkownika dwóch elementów, takich jak token i hasło, znacząco podwyższa bezpieczeństwo firmowych aplikacji, ale go nie gwarantuje.
Na podstawie oświadczenia firmy można zatem wywnioskować, że skradziony został przynajmniej fragment bazy kodów seed, ale są to jedynie spekulacje. Możliwe, że wyciekły inne dane, na przykład informacje do uwierzytelnienia offline (bez dostępu do serwera, SecurID daje taką możliwość) lub kody do odzyskiwania haseł. Ale żaden z tych elementów nie pasuje tak dobrze do opisu RSA jak wartości seed.
Aby system uwierzytelnienia działał, obie strony muszą posiadać tajny kod, który determinuje wskazania tokenu - jest to tzw. plik seed.
Zobacz również:
- Palo Alto wzywa pilnie użytkowników jej zapór sieciowych, aby jak najszybciej zaktualizowali zarządzające nimi oprogramowanie
- Ponad pół miliona kont Roku w niebezpieczeństwie po ataku
- FBI ostrzega - masowy atak phishingowy w USA
Najpopularniejszym tokenem używanym w Polsce jest RSA Securid, przeważnie w formie breloczka lub karty. Token taki jest zaprogramowany przez producenta, przy czym nie ma możliwości zmiany kodu seed, zatem w przypadku ujawnienia go moc ochrony rażąco spada, gdyż wskazania tokenu można odtworzyć. Plik seed jest dołączany do każdej sprzedanej partii tokenów i podlega importowaniu do serwera uwierzytelnienia. Zazwyczaj plik seed jest dobrze chroniony w organizacji, która kupiła tokeny, zatem oprócz firmy jedynym podmiotem, który te kody znał, był producent.
Po włamaniu do serwisów RSA opublikowano jedynie oficjalną informację o tym fakcie, z której można wywnioskować, że skradziona została część bazy zawierającej kody seed.