Problemów z tokenami jest kilka. Po pierwsze - w przypadku breloczków łatwo je zgubić, no i (to po drugie) są dosyć drogie. Natomiast nadają się znakomicie na potrzeby działów IT, do zabezpieczenia dostępu administracyjnego do systemów operacyjnych i kluczowych aplikacji. Podobnie w przypadku bankowości internetowej lub portali finansowych, gdzie waga składowanych danych usprawiedliwia poniesienie kosztów - tutaj, szczególnie ze względu na cenę, narzucają się rozwiązania OATH. Z kolei tokeny software'owe są znacznie tańsze, ale wymagają instalacji. Pojawia się także pytanie o sposób zabezpieczenia tzw. ziarna (seed-a) służącego do generowania liczb pseudolosowych na tokenie. Druga sprawa to zapewnienie właściwej synchronizacji czasu, na której bazuje większość rozwiązań (nawet komórki and PDA nie zostały stworzone jako stabilne źródło czasu, a nikt ich nie synchronizuje z serwerami NTP). Wątpliwości nasuwają się także przy wykorzystaniu tokenów opartych nie na czasie, a na zdarzeniach. O ile bowiem upływający czas jest niepowtarzalnym czynnikiem, który znakomicie nadaje się do generowania kodów, o tyle bezpieczeństwo mechanizmów "zdarzeniowych" jest nieco bardziej kontrowersyjne. Coraz częściej podnosi się również kwestie skutecznego wykorzystania ataków MITM/Phishing na serwisy bankowe (w ub.r. np. Citibank) także tam, gdzie transakcje zabezpieczane są przy użyciu tokenów (60-sekundowe okno pomiędzy jednym kodem a drugim podczas ataków zautomatyzowanych w zupełności wystarcza na przesłanie danych uwierzytelniających pomiędzy sfałszowaną a prawdziwą stroną bankową).

Porzućmy na chwilę tokeny i spójrzmy na bardziej "miękkie" rozwiązania. Wśród nich największą popularnością, zwłaszcza w systemach konsumenckich, cieszą się zdrapki lub karty bingo. Są one tak naprawdę jedynie namiastką prawdziwych rozwiązań OTP. Podczas procesu uwierzytelniania z wykorzystaniem karty bingo użytkownik, oprócz hasła, musi wprowadzić wartość znajdującą się na przecięciu współrzędnych (na karcie) przekazanych przez system - trochę jak gra w statki. Im więcej rzędów i kolumn na karcie, tym więcej możliwości i większy poziom bezpieczeństwa. Rozwiązania te kuszą szczególnie ze względu na niskie koszty implementacji oraz utrzymania (zniszczenie tokenu kontra zniszczenie kawałka plastiku). Niestety liczba możliwych do wykorzystania kombinacji jest stosunkowo niewielka. Wystarczy odpowiednio długo działający keylogger i szansa na trafienie właściwej kombinacji rośnie.

Inny pomysł na system haseł jednorazowych bez wykorzystania dodatkowego "sprzętu" (w postaci tokenów lub oprogramowania) po stronie użytkownika prezentuje firma Swivel (http://www.swivelsecure.com ). Tutaj użytkownik również musi znać kod PIN, ale nie ma potrzeby nigdzie go wprowadzać. Proces uwierzytelnienia przedstawiono w ramce.

Przy okazji pojawia się kolejny problem związany z silnym uwierzytelnianiem - sposób dostarczenia użytkownikowi kodu. Przesyłanie danych uwierzytelniających jednym kanałem informacyjnym niesie oczywiste zagrożenia (keyloggery, phishing itp.) Dlatego też coraz częściej spogląda się w stronę wykorzystania kilku różnych dróg i stąd pomysł na uwierzytelnianie OOB (Out-Of-Band). Wykorzystując tę koncepcję, część danych koniecznych do poprawnego uwierzytelnienia może zostać przesłana za pomocą np. SMS-a. Możliwy i stosowany jest również scenariusz, gdzie do zakończenia operacji konieczna jest weryfikacja telefoniczna - np. automat nawiązuje połączenie z użytkownikiem, a ten musi wypowiedzieć określoną frazę. Na tej podstawie dokonywania jest biometryczna identyfikacja głosu.

Plastik inteligentny

Dużą estymą wśród rozwiązań silnego uwierzytelniania cieszą się nie bez powodu karty inteligentne. Ich niezaprzeczalnymi zaletami są duże możliwości składowania szerokiego spektrum informacji. Ponadto są odporne na wszelkie próby ingerencji osób niepowołanych. W większości przypadków opierają się one na certyfikatach X.509.

Różnice pomiędzy poszczególnymi rozwiązaniami polegają przede wszystkim na sposobie implementacji, zastosowanych mechanizmach oraz ich fizycznej postaci. Ten ostatni element jest najbardziej różnorodny i według niego można wyróżnić dwie podstawowe formy, w jakich występuje "inteligentny plastik".

Pierwsza ma postać karty kredytowej i jest zgodna ze standardami ISO 7816(1-15). Format ten jest o tyle pożyteczny, że umożliwia połączenie z funkcjonalnością karty identyfikacyjnej. Dodatkową zaletą standardu ISO 7816 jest uwzględnienie wykorzystania karty w systemach dostępu fizycznego dzięki interfejsowi bezdotykowemu (karty zbliżeniowe). Najpopularniejszą technologią zbliżeniową wykorzystywaną w rozwiązaniach enterprise jest HID pracująca w częstotliwości 125 KHz. Karty w standardzie ISO 7816 mają, oprócz niewątpliwych zalet, podstawową wadę - wymagają zewnętrznego czytnika. Nie są więc zbyt wygodne w przypadku użytkowników mobilnych, a i koszt wdrożenia rośnie.

Dlatego też bardzo często w zastosowaniach korporacyjnych wykorzystywane są karty inteligentne wbudowane w token USB. "Wbudowanie" to może polegać bądź na fizycznym zespoleniu karty z elektroniką tokenu, bądź na wyposażeniu breloczka w odpowiednie gniazdo umożliwiające umieszczenie w nim karty smart. Ponadto coraz częściej łączy się funkcjonalność tokenu OTP z kartą inteligentną, a dzięki temu zaoszczędza na ilości sprzętu, który użytkownicy muszą ze sobą nosić.

Karty inteligentne bez względu na formę mają wiele zalet. Przede wszystkim oferują bodajże najwyższy poziom bezpieczeństwa spośród wszystkich rozwiązań silnego uwierzytelniania - wysoką odporność na ingerencję. Niebagatelne znaczenie ma też integracja z Windowsami. Jest to jedyna natywnie wspierana metoda silnego uwierzytelnia w tych systemach. Dzięki możliwości składowania dodatkowych danych karty inteligentne znakomicie nadają się do SSO (Single-Sign-On).

Ale nie ma róży bez kolców. Implementacja rozwiązań opartych na kartach inteligentnych wymaga też dodatkowych działań - np. zbudowania urzędu certyfikacji, systemu zarządzania wydawaniem i unieważnianiem kart, prac deweloperskich. Stąd rozwiązania te polecane są w szczególności tam, gdzie część infrastruktury jest już przygotowana.Inne ciekawostki