Διαφήμιση
Τα μάρκες One Time Password (OTP) θεωρούνται τυπικά το απόλυτο χρήσιμο εργαλείο για την ασφάλεια των χρηστών. Είναι ένα βασικό μέρος στη χρήση ενός Έλεγχος ταυτότητας δύο παραγόντων σύστημα που αυξάνει δραματικά την ασφάλεια μιας σύνδεσης από ένα τυπικό σύστημα παράγοντα με όνομα χρήστη / κωδικό πρόσβασης.
Το σύστημα ασφαλείας ονόματος χρήστη / κωδικού πρόσβασης θεωρείται πολύ ανασφαλές για διάφορους λόγους, όπως η ευκολία πακεταρίσματος ή εισπνοής πληκτρολογίου, επιθέσεις ηλεκτρονικού ψαρέματος (phishing) και άλλα προβλήματα κοινωνικής μηχανικής. Συστήματα ταυτότητας δύο παραγόντων προσθέτουν σε ένα άλλο επίπεδο ασφάλειας, έχοντας έναν χρήστη να ανακτήσει ένα άλλο κωδικό πρόσβασης από μια πηγή εκτός ζώνης, όπως μια συσκευή δημιουργίας κωδικού πρόσβασης (όπως ένα OTP token) ή ένα SMS κείμενο.
Δεδομένου ότι ο κωδικός πρόσβασης αλλάζει συνεχώς σε χρονικά διαστήματα - είναι σχεδόν αδύνατο για έναν πιθανό χάκερ να κλέψει το όνομα χρήστη και τον κωδικό πρόσβασής σας και να συνδεθεί χωρίς αυτό το διακριτικό.
Αυτά τα μάρκες είναι συνήθως για πληρωμή δεδομένου ότι είναι μια φυσική συσκευή, αλλά με την πρόσφατη αύξηση των εφαρμογών που διατίθενται για κινητές συσκευές, πολλοί πάροχοι OTP προσφέρουν τώρα δωρεάν εφαρμογές που αντικαθιστούν τη φυσική συσκευή.
Παρακάτω είναι μερικές από τις πιο δημοφιλείς γεννήτριες κωδικών πρόσβασης που έχω συναντήσει και δείγματα στιγμιότυπων τους σε δράση:
VeriSign Προστασία ταυτότητας (VIP) για κινητά
Ένας από τους μεγαλύτερους παρόχους φυσικών μαρκών μίας ώρας είναι το Verisign. Τα μάρκες υλικού τους είναι χαμηλού κόστους για τον τελικό χρήστη και είναι χρησιμοποιήσιμα σε διάφορους δημοφιλείς σε απευθείας σύνδεση ιστότοπους όπως το eBay, το SalesForce, το Box.net, το Paypal και άλλα. Μπορείτε να παραγγείλετε ένα κλειδί χαμηλού κόστους ($ 5) από το Paypal ή, όπως ανακάλυψα πρόσφατα, να πραγματοποιήσετε λήψη μιας δωρεάν εφαρμογής για κινητές συσκευές.
Η Verisign προσφέρει λογισμικό για μια μεγάλη ποικιλία κινητών συσκευών, όπως iPhone, Android, Windows Mobile, Blackberry και πολλά άλλα. Απλά κατεβάστε το λογισμικό και εκτελέστε το πρόγραμμα δημιουργίας κωδικών πρόσβασης - στην πρώτη του εκκίνηση δημιουργείται μια μοναδική υπογραφή και καταχωρείται στους διακομιστές της VeriSign. Η συσκευή σας έχει ένα μοναδικό αναγνωριστικό το οποίο καταχωρείτε στη συνέχεια με τα στοιχεία σύνδεσής σας σε έναν εξωτερικό ιστότοπο.
Μετά από αυτό, κάθε φορά που ανοίγετε το πρόγραμμα, θα σας δείξει τον τρέχοντα κωδικό πρόσβασης που θα χρησιμοποιηθεί κατά τον έλεγχο ταυτότητας δύο παραγόντων. Ανετα.
Ένας άλλος μεγάλος παίκτης στο πεδίο ελέγχου ταυτότητας δύο παραγόντων είναι το RSA. Η RSA είναι πρωτοπόρος στον τομέα της ασφάλειας, αρχικά κατοχύρωσης με δίπλωμα μια μέθοδο για την κρυπτογράφηση δεδομένων καναλιών επικοινωνίας το 1983 και την απελευθέρωσή της με ανοικτή πηγή το 2000.
Όπως η εφαρμογή VeriSign, η RSA έχει κυκλοφορήσει την εφαρμογή SecureID δωρεάν για iPhone, Blackberry, Windows Mobile και μερικές άλλες πλατφόρμες. Δυστυχώς, δεν έχουν κυκλοφορήσει μια εφαρμογή στην πλατφόρμα Android από την ημερομηνία δημοσίευσης. Μπορείτε επίσης να έχετε μια λύση RSA για να χρησιμοποιήσετε τη κινητή γεννήτρια OTP, αυτό θα προέρχεται από το χώρο εργασίας σας, την τράπεζά σας ή οποιαδήποτε άλλη σύνδεση που ίσως χρειαστεί να εξασφαλιστεί.
Οι λύσεις RSA χρησιμοποιούνται ευρέως σε ολόκληρο τον κόσμο.
Το FireID είναι μια εκκίνηση στον χώρο ελέγχου ταυτότητας δύο παραγόντων. Ενώ είναι νέοι στο πεδίο, έχουν μια πολύ ωραία εφαρμογή iPhone. Ο ιστότοπός τους αναφέρει ότι υποστηρίζει επίσης συσκευές BlackBerry, Android, Windows Mobile και Symbian, αλλά δεν βρήκα καμία πληροφορία σχετικά με αυτά τα προϊόντα και δεν είμαι σίγουρος αν έχουν απελευθερωθεί Ακόμη.
Είναι σίγουρα μια εταιρεία για να παρακολουθείτε.
ArcotOTP [δεν διατίθεται πλέον]
Το ArcotOTP είναι μια άλλη γεννήτρια κωδικού πρόσβασης μίας ώρας. Ενώ είναι λιγότερο γνωστός από τους άλλους, η Arcot είναι μια "επερχόμενη" εταιρεία στον τομέα αυτό και θεωρεί τον σεβάσμιο Bruce Schneier σύμβουλο της εταιρείας. Το ArcotOTP είναι μια ιδιόκτητη τεχνολογία όπου θα χρειαστείτε να χρησιμοποιήσετε λογισμικό το οποίο είναι συνδεδεμένο με μια λύση ArcotOTP.
Το SafeNet παρέχει μια σειρά διαφορετικών λύσεων ασφάλειας και ελέγχου ταυτότητας και επίσης διαθέτει μια ευρεία γκάμα εφαρμογών OTP για πολλές πλατφόρμες, όπως iPhone, Blackberry, Windows Mobile και SMS. Αξίζει να σημειωθεί ότι το Android λείπει από αυτήν τη λίστα.
Ενώ δεν είναι μια ολοκληρωμένη λίστα των δωρεάν γεννήτριες OTP για κινητά, τα παραπάνω σας δίνουν μια καλή ιδέα για κάποια από τα σημαντικούς παίκτες στον τομέα και τις πιο δημοφιλείς λύσεις που προσφέρουν έναν πελάτη κινητής τηλεφωνίας παρά ένα βασισμένο στο υλικό ένδειξη. Υπάρχουν πολλοί πάροχοι OTP εκεί έξω, ο καθένας με τη δική του πλατφόρμα για να ασφαλίσει τα στοιχεία σύνδεσης.
Το VeriSign είναι ίσως αυτό που θα εξοικειωθείτε και θα έχετε την πιο ηλεκτρονική έκδοση, καθώς τα χρησιμοποιούν οι Paypal / eBay, Salesforce και άλλες δημοφιλείς εφαρμογές ιστού. Ποια δωρεάν εφαρμογή θα χρησιμοποιούσατε πιθανώς υπαγορεύεται από τους ιστοτόπους στους οποίους πρέπει να συνδεθείτε και ποιο σύστημα δύο συντελεστών χρησιμοποιούν.
Όποια και αν είναι η μέθοδος που προτιμάτε για την εφαρμογή ελέγχου ταυτότητας δύο παραγόντων, αυτές οι δωρεάν εφαρμογές σάς δείχνουν προς κάποιους παρόχους που έχουν ήδη υπάρξει προοδευτική στη νοοτροπία «σύγκλισης της κινητής συσκευής», επιτρέποντάς σας να παραιτηθείτε από ένα ξεχωριστό διακριτικό και να χρησιμοποιήσετε μια συσκευή για να αυξήσετε την ταυτότητά σας ασφάλεια.
Ενημερώστε μας πόσο εύκολα μπορείτε να βρείτε αυτές τις γεννήτριες κωδικών πρόσβασης που χρησιμοποιείτε ή ποια άλλα συστήματα ασφαλείας χρησιμοποιείτε για να διασφαλίσετε τους κωδικούς πρόσβασής σας.
[Ως postscript, ήθελα απλώς να επισημάνω ότι η ταυτότητα δύο παραγόντων έχει μια τρύπα γεμάτη με αυτό - ένας άνθρωπος στη Μέση επίθεση εξακολουθεί να είναι σε θέση να νικήσει αυτό το σύστημα ελέγχου ταυτότητας. Βασικά, ένας εισβολέας κάθεται μεταξύ σας (σύνδεση) και του διακομιστή, διαβιβάζοντας τις πληροφορίες σας στον νόμιμο διακομιστή, συμπεριλαμβανομένου του κωδικού πρόσβασης μιας ώρας. Αυτό είναι ένα αρκετά ασαφές ζήτημα ασφαλείας για τον γενικό καταναλωτή, οπότε η προσθήκη δύο στοιχείων ταυτότητας στις διεργασίες σύνδεσης σας παρέχει πολύ μεγαλύτερη ασφάλεια από ένα κανονικό σχέδιο ενός παράγοντα. ]
Image Credit: mikebaird.
Ο Dave Drager εργάζεται στο XDA Developersin στα προάστια της Φιλαδέλφειας, PA.
