реклама
Токените за еднократна парола (OTP) обикновено се считат за най-добрата в полезната сигурност за влизане на потребителите. Те са ключова част за използването на Двуфакторна автентификация система, която драстично повишава сигурността на вход от типична еднофакторна потребителско име / парола.
Схемата за сигурност на потребителско име / парола се счита за много несигурна поради редица причини, включително лекота на подслушване на пакет или натискане на клавиши, фишинг атаки и други проблеми в социалния инженеринг. Две факторни схеми за удостоверяване добавят в друг слой сигурност, като потребителят извлича друг парола от източник извън лентата, като устройство за генериране на парола (като OTP маркер) или SMS текст.
Тъй като тази парола се променя непрекъснато на интервали от време - почти е невъзможно потенциалният хакер да открадне вашето потребителско име и парола и да влезе, без да има този знак.
Тези символи обикновено са срещу заплащане, тъй като са физическо устройство, но с скорошното увеличение на приложенията налични за мобилни устройства, много доставчици на OTP вече предлагат безплатни приложения, които заемат мястото на физическо устройство.
По-долу са някои от по-популярните генератори на пароли, на които попаднах и примерни скрийншоти от тях в действие:
Достъп за мобилни устройства VeriSign Identity Protection (VIP)
Един от най-големите доставчици на физически маркери за еднократна парола е Verisign. Техните хардуерни жетони са с ниска цена за крайния потребител и могат да се използват в редица популярни онлайн сайтове, включително eBay, SalesForce, Box.net, Paypal и други. Можете да поръчате ключ с ниска цена ($ 5) от Paypal или както наскоро открих, да изтеглите безплатно приложение за мобилни устройства.
Verisign предлага софтуер за голямо разнообразие от мобилни устройства, включително iPhone, Android, Windows Mobile, Blackberry и други. Просто изтеглете софтуера и стартирайте програмата за генериране на пароли - при първото си изпълнение се генерира уникален подпис и се регистрира на сървърите на VeriSign. Вашето устройство има уникален идентификационен номер, който след това регистрирате със своя вход на външен сайт.
След това, когато отворите програмата, тя ще ви покаже текущата парола, която да използвате по време на двуфакторно удостоверяване. Лесно.
Друг голям играч в полето за двуфакторно удостоверяване е RSA. RSA всъщност е пионер в областта на сигурността, първоначално патентоването метод за криптиране на данните на комуникационните канали през 1983 г. и освобождаването му с отворен код през 2000 г.
Подобно на приложението VeriSign, RSA пусна своето приложение SecureID безплатно за iPhone, Blackberry, Windows Mobile и няколко други платформи. За съжаление те не са пуснали приложение към платформата Android към тази дата на публикуване. Също така имате много RSA решение, за да използвате мобилния OTP генератор, това ще дойде от работното ви място, банката или всяко друго вход, което може да се наложи да бъде защитено.
Решенията на RSA са широко използвани в целия свят.
FireID е стартиране в двуфакторното пространство за удостоверяване. Макар и нови в областта, те имат наистина приятно приложение за iPhone. Техният уебсайт посочва, че те също поддържат устройства Blackberry, Android, Windows Mobile и Symbian, но не можах да намеря информация за тези продукти и не съм сигурен дали са пуснати още.
Те определено са компания, за да следите.
ArcotOTP [Няма по-дълги налични]
ArcotOTP е друг генератор за еднократна парола. Макар да е по-малко известен от останалите, Arcot е компания, която се развива в тази област, и счита честимия Брус Шнайер за съветник на компанията. ArcotOTP е патентована технология, при която ще се нуждаете от софтуер, който е обвързан с решение на ArcotOTP.
SafeNet предоставя набор от различни решения за сигурност и удостоверяване, а също така разполага с хубава гама от OTP приложения за множество платформи, включително iPhone, Blackberry, Windows Mobile и SMS. По-специално Android липсва от този списък.
Макар да не е изчерпателен списък на безплатни мобилни OTP генератори, горепосоченото ви дава добра представа за някои от основни играчи в областта и по-популярните решения, които предлагат мобилен клиент, а не базиран на хардуер жетон. Има много доставчици на OTP там, всеки със своя платформа за осигуряване на вход.
Вероятно VeriSign е този, с който ще бъдете най-запознати и има най-голямо приемане на електронна търговия, тъй като Paypal / eBay, Salesforce и други популярни уеб приложения ги използват. Кое безплатно приложение бихте използвали вероятно е продиктувано от уебсайтовете, в които трябва да влезете и коя двуфакторна схема използват.
Независимо от предпочитания от вас метод за реализиране на двуфакторна автентификация, тези безплатни приложения ви насочват към някои доставчици, които са били прогресивно в нагласата „конвергенция на мобилното устройство“, което ви позволява да се откажете от отделен маркер и да използвате едно устройство, за да увеличите своя вход сигурност.
Уведомете ни колко лесно можете да намерите тези генератори на пароли, които да използвате или какви други схеми за защита използвате, за да защитите паролите си.
[Като постскрипт, просто исках да отбележа, че двуфакторното удостоверяване има пропусната дупка в него - атака на човек в средата все още е в състояние да победи тази схема за удостоверяване. По принцип един нападател седи между вас (влизане) и сървъра, като предава вашата информация на законния сървър, включително еднократната парола. Това е доста неясен проблем със сигурността за широкия потребител, така че добавянето на две факторни удостоверяване към вашите процеси за влизане дава много по-голяма сигурност от обикновената еднофакторна схема. ]
Кредит за изображение: mikebaird.
Дейв Драгър работи в XDA Developers в предградията на Филаделфия, Пенсилвания.
