Pamiętaj o tokenach!

Wykorzystanie do uwierzytelnienia użytkownika dwóch elementów, takich jak token i hasło, znacząco podwyższa bezpieczeństwo firmowych aplikacji, ale go nie gwarantuje.

Co naprawdę mogło wyciec z RSA?

Na podstawie oświadczenia firmy można zatem wywnioskować, że skradziony został przynajmniej fragment bazy kodów seed, ale są to jedynie spekulacje. Możliwe, że wyciekły inne dane, na przykład informacje do uwierzytelnienia offline (bez dostępu do serwera, SecurID daje taką możliwość) lub kody do odzyskiwania haseł. Ale żaden z tych elementów nie pasuje tak dobrze do opisu RSA jak wartości seed.

Tokeny na dobre zagościły w firmach, gdzie są wykorzystywane do uwierzytelnienia przy dostępie do szczególnie ważnych firmowych aplikacji lub zasobów via VPN. Token jest niedużym urządzeniem, które wyświetla hasło jednorazowe ważne tylko przez krótką chwilę albo umożliwia wprowadzenie kodu podawanego przez serwer (challenge). Serwer jest podpisany przez token, dając odpowiedź w postaci kodu, który należy wprowadzić do aplikacji (response). W takim przypadku token jest chroniony kodem PIN.

Aby system uwierzytelnienia działał, obie strony muszą posiadać tajny kod, który determinuje wskazania tokenu - jest to tzw. plik seed.

Zobacz również:

Najpopularniejszym tokenem używanym w Polsce jest RSA Securid, przeważnie w formie breloczka lub karty. Token taki jest zaprogramowany przez producenta, przy czym nie ma możliwości zmiany kodu seed, zatem w przypadku ujawnienia go moc ochrony rażąco spada, gdyż wskazania tokenu można odtworzyć. Plik seed jest dołączany do każdej sprzedanej partii tokenów i podlega importowaniu do serwera uwierzytelnienia. Zazwyczaj plik seed jest dobrze chroniony w organizacji, która kupiła tokeny, zatem oprócz firmy jedynym podmiotem, który te kody znał, był producent.

Po włamaniu do serwisów RSA opublikowano jedynie oficjalną informację o tym fakcie, z której można wywnioskować, że skradziona została część bazy zawierającej kody seed.


TOP 200